Opublikowano wydanie kolektora Netflow/IPFIX Xenoeye 23.11, który umożliwia zbieranie statystyk dotyczących przepływów ruchu z różnych urządzeń sieciowych, przesyłanych za pomocą protokołów Netflow v5, v9 i IPFIX, a także przetwarzanie danych, generowanie raportów i budowanie wykresów. Trzon projektu napisany jest w języku C, kod rozpowszechniany jest na licencji ISC.
Kolektor agreguje ruch sieciowy według wybranych pól i eksportuje dane do PostgreSQL. Korzystając z tych danych, możesz budować raporty, wykresy (przy użyciu skryptów gnuplot, Python + Matplotlib) lub dashboardy w Grafanie. Ponadto kolektor może uruchamiać niestandardowe skrypty w przypadku przekroczenia progów. Średnie kroczące służą do obliczania prędkości ruchu. Kolekcjoner otrzymuje przykład skryptu robota Telegram, który może powiadomić komunikatora o przekroczeniu określonej prędkości.
Zmiany w nowej wersji:
- Dodano możliwość korzystania z GeoIP przy użyciu baz danych ipapi. Korzystając z funkcji GeoIP, możesz tworzyć obiekty geomonitoringu (na przykład przydzielać cały ruch tylko do Rosji do osobnego obiektu monitorowania) i eksportować dane w podziale na GeoIP. Kolektor obsługuje szczegółowość według kraju, regionu i miasta. Ponadto możesz uzyskać długość i szerokość geograficzną z adresu IP (chociaż musisz zrozumieć, że wszystko to działa w przybliżeniu).
- W przypadku routerów, które nie mogą eksportować numerów systemów autonomicznych do Netflow/IPFIX, możliwe jest uzyskanie tych numerów i ich opisu tekstowego za pomocą baz danych ip-location-db. Podobnie jak w przypadku GeoIP, możesz tworzyć osobne obiekty monitorowania, które obejmują ruch wybranych AS, lub eksportować nazwy systemów autonomicznych do SZBD.
- Dodano klasyfikację ruchu według pól przepływu sieci. Kolektor może klasyfikować monitorowane obiekty za pomocą niektórych pól (flagi TCP, porty, rozmiary pakietów)
- Dodano narzędzie konsoli xegeoq, które umożliwia uzyskanie informacji GeoIP i informacji AS z adresów IP przy użyciu lokalnych baz danych.
Źródło: opennet.ru