Анализиране на NetFlow статистика с Nfsen

Тази статия описва инсталирането и използването на анализатора Nfsen, който пренарежда уеб интерфейса към nfdump - помощни програми за събиране и анализиране на статистика на NetFlow. Съответните помощни програми са инсталирани и конфигурирани в Linux CentOS. Инсталирането и настройката на други дистрибуции може леко да се различават. Първата стъпка е да инсталирате и конфигурирате сензора. Подробна процедура за инсталиране на сензора на оборудване на Linux и Cisco е в статията Събиране на статистически данни за NetFlow на Linux с помощта на помощните програми за инструменти за поток. В тази статия помощните програми на flow-tools бяха използвани за събиране и анализиране на статистика на NetFlow в Linux OS. Основният недостатък на този подход е липсата на повече или по-малко разбираем графичен интерфейс за изграждане на отчети. Започваме да събираме и изпращаме статистика към колектора и избрания порт. В този пример 9796.

Инсталиране на nfdump

Изтеглете най-новата версия на nfdump и я разархивирайте.

За нормална работа на nfdump и nfsen трябва да инсталирате пакета rrdtool-devel, flex и byacc

Конфигуриране на nfdump за работа с nfsen и rrdtool.

Инсталирайте помощната програма checkinstall, за да изградите пакета. Събираме RPM пакета за последваща инсталация на nfdump.

Инсталирайте вградения RPM от мястото, посочено в края на компилацията.

Можете също да инсталирате от източника, без да създавате RPM пакет.

Nfsen инсталация

Изтеглете и разопаковайте най-новата версия.

Инсталирайте необходимите perl модули.

Копираме шаблона на конфигурационния файл и променяме настройките в nfsen.conf на тези, от които се нуждаем.

Инсталирайте Nfsen с променени настройки и го стартирайте.

Даваме достъп до Nfsen от браузъра, като добавяме необходимия запис към конфигурацията на уеб сървъра на Apache.

Заавтоматично стартиране на Nfsen, когато системата се стартира, добавете ред към файла /etc/rc.d/rc.local

Използване на NFS

Прилагане на nfdump филтри

В момента се събира пълна статистика за рутерното устройство, изпратена до порт 9796. За подробен анализ на статистиката отидете в раздела Подробности, изберете необходимия интервал от време за анализ и в полето Филтър задайте подходящия филтър nfdump и след това щракнете върху процес. Също така в секцията Опции можете да зададете подходящите опции за групиране и показване.

netflow
статистика
netflow

Например, искаме да видим всички статистики за използването на ssh протокола. Той е конфигуриран на стандартния порт 22. Следователно трябва да зададете следния филтър:

Кой от нашата подмрежа използва отдалечена връзка не само към терминалния сървър?

Вижте ръководството за nfdump за повече информация относно филтрите.

Графика и настройка на профил

Nfsen предоставя възможност за начертаване на графики от RRD базата данни с помощта на подходящите филтри. Първоначално има само един профил, наречен Live. Този профил се използва за запис на данни от източниците, посочени в конфигурационния файл nfsen.conf, за изграждане на различни графики, трябва да създадете съответните профили. В уеб интерфейса изберете На живо -> Нов профил и създайте необходимия профил. Ако трябва да изградите графики от определено време, задайте началната дата за чертане. В противен случай данните ще бъдат записани в базата данни на RRD от текущия момент.

анализиране
nfsen

Сравнение на типове профили NfsenТип профил Описание Предимства Недостатъци
1:1 канали от профила на живоЕдин или повече канали съответстват на профил на живо-остаряла версия,присъства за съвместимост с Nfsen 1.2.x
отделни каналиИндивидуално конфигурируем профилНай-гъвкава система (препоръчително)-
Истински профилЗапазва данни от NetFlow, които съответстват на филтрите на профила, в отделни файловеУскорява вземането на проби от данни по време на анализЗаема допълнително място на диска
Shadow ProfileПолучава данни от профил на живоНе дублира данни на дискаПо-бавно вземане на проби от данни по време на анализ

анализиране
netflow
профил

След изчертаване (ако началният час на изобразяване е бил зададен в миналото, в противен случай данните ще се начертаят от текущото време), този профил може да се използва подобно на профила на живо, като се правят селекции според необходимите параметри.

Как да възстановя графиката след добавяне на нови филтри?

При добавяне на нови филтри, графиките, базирани на тях, започват да се изграждат от текущия момент във времето. Ако е необходимо да възстановите всички графики и данни в базата данни RRD от началото на този канал, направете следното: