La Xenoeye Netflow-kolektilo haveblas, kio permesas vin kolekti trafikfluajn statistikojn de diversaj retaj aparatoj transdonitaj per la Netflow v9 kaj IPFIX-protokoloj, prilabori datumojn, generi raportojn kaj konstrui grafikaĵojn. Krome, la kolektanto povas ruli kutimajn skriptojn kiam sojloj estas superitaj. La kerno de la projekto estas skribita en C, la kodo estas distribuita sub la ISC-licenco.
Karakterizaĵoj de kolektanto:
- La datumoj agregitaj per la postulataj Netflow-kampoj estas eksportitaj al PostgreSQL. Antaŭ-agregado okazas ene de la kolektanto.
- Nur la baza aro de Netflow-kampoj estas subtenata el la skatolo, sed preskaŭ ajna kampo povas esti aldonita.
- La agado de la kolektanto, depende de la naturo de la trafiko kaj raportoj, povas atingi kelkcent mil "fluojn por sekundo" sur ununura CPU. La ŝarĝa distribua modelo estas per aparato (enkursigilo) per fadeno.
- La Kolektanto uzas movantajn mezumojn por kalkuli trafikajn preterpasojn.
- La kolektanto povas esti uzata por serĉi infektitajn gastigantojn (sendanta retpoŝtan spamon, HTTP(S)-inundo, SSH-skaniloj), por detekti pikilojn en DoS/DDoS-atakoj.
- Retaj raportoj povas esti bildigitaj uzante diversajn ilojn: gnuplot, Python + Matplotlib-skriptoj uzante Grafana
- Male al multaj modernaj kolektantoj, la projekto ne uzas Apache Kafka, Elastic, ktp, la ĉefaj kalkuloj okazas ene de la kolektanto mem.
fonto: opennet.ru