Se ha publicado el lanzamiento del recopilador Netflow/IPFIX/sFlow Xenoeye 25.02. El recopilador permite recopilar estadísticas sobre los flujos de tráfico de varios dispositivos de red, transmitidos mediante los protocolos Netflow v5, v9, IPFIX y sFlow, procesar datos, generar informes y construir gráficos. El núcleo del proyecto está escrito en C, el código se distribuye bajo la licencia ISC.
El recopilador agrega el tráfico de red por campos seleccionados y exporta datos a PostgreSQL. A partir de estos datos, puedes crear informes, gráficos (utilizando gnuplot, scripts de Python + Matplotlib) o paneles de control en Grafana. Además, el recopilador puede ejecutar scripts personalizados cuando se superan los umbrales o cuando el tráfico cae por debajo de ellos.
Los promedios móviles se utilizan para calcular la velocidad actual del tráfico. El mecanismo que monitorea las superaciones del umbral está diseñado para notificar sobre ataques DoS/DDoS e iniciar la supresión mediante anuncios BGP (Flowspec o Blackhole). El recolector viene con un ejemplo de un script de robot de Telegram que puede notificar al mensajero sobre anomalías. El recopilador no exige muchos recursos, puede procesar el tráfico de redes pequeñas en Raspberry/Orange Pi o en una máquina virtual con 2-4 GB de RAM.
Cambios en la nueva versión:
- Se ha añadido compatibilidad con el protocolo sFlow, lo que permite analizar la carga útil de los paquetes de red y extraer información SNI de DNS y TLS (HTTPS). Los proveedores de alojamiento y los propietarios de centros de datos pueden usar esta función para combatir el phishing y evaluar qué... dominios y los sitios están alojados en la red.
- Se agregó soporte para objetos de monitoreo anidados/jerárquicos, lo que permite simplificar algunas configuraciones con una gran cantidad de objetos y mejorar el rendimiento del procesamiento en comparación con una lista "plana" de objetos de monitoreo.
- Se agregó la capacidad de clasificar interfaces: el tráfico de interfaces de red seleccionadas de enrutadores o conmutadores se puede ignorar o procesar de una manera especial.
- Se agregó la capacidad de monitorear no solo los picos de tráfico, sino también las caídas por debajo de los umbrales, lo que puede ser útil para el monitoreo indirecto de tráfico individual. servidores o servicios.
- Se agregó la capacidad de cambiar los umbrales de tráfico sin reiniciar el recolector. El mecanismo está diseñado para una situación en la que los usuarios calculan los umbrales automáticamente basándose en las estadísticas de períodos anteriores y actualizan periódicamente los umbrales en el recopilador.
- Se agregó el contenedor LXC para una rápida implementación y prueba del recopilador. El contenedor incluye un recopilador con objetos de monitorización preinstalados, PostgreSQL y Grafana.
Fuente: opennet.ru
