Доступен Netflow-коллектор Xenoeye, который позволяет собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v9 и IPFIX, обрабатывать данные, генерировать отчёты и строить графики. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов. Ядро проекта написано на языке С, код распространяется под лицензией ISC.
Особенности коллектора:
- Агрегированные по нужным Netflow-полям данные экспортируются в PostgreSQL. Предварительная агрегация происходит внутри коллектора.
- Из коробки поддерживается только базовый набор Netflow-полей, но можно добавить почти любое поле.
- Производительность коллектора в зависимости от характера трафика и отчётов может достигать нескольких сотен тысяч «flows per second» на одном CPU. Модель распределения нагрузки — по устройству (маршрутизатору) на поток.
- Коллектор использует скользящие средние для подсчёта превышения скорости трафика.
- Коллектор можно использовать для поиска заражённых хостов (рассылающих почтовый спам, HTTP(S)-flood, SSH-сканеров), для определения резких всплесков при DoS/DDoS-атаках.
- Сетевые отчёты можно можно визуализировать с помощью разных утилит: gnuplot, скриптами на Python + Matplotlib, используя Grafana
- В отличие от многих современных коллекторов в проекте не используются Apache Kafka, Elastic и т.п., основные рассчёты происходят внутри самого коллектора.
Källa: opennet.ru