12 meilleurs analyseurs et outils de collecte NetFlow pour 2022

NetFlow est un protocole réseau développé par Cisco qui note et rapporte toutes les conversations IP passant par une interface. NetFlow est avec état et fonctionne en termes d'abstraction appeléecouler: c'est-à-dire une séquence de paquets qui constitue une conversation entre une source et une destination, analogue à un appel ou une connexion.

Un périphérique d'exportation NetFlow collecte des données sur le trafic IP entrant/sortant du périphérique ; il inspecte les paquets et les regroupe en flux en inspectant des champs particuliers : les adresses source et de destination, les protocoles, les ports, etc.

Les données sur les flux observés sont regroupées à partir des paquets et mises en cache localement (dans lecache de flux), puis il est périodiquement exporté vers le collecteur en fonction des délais d'attente actifs et inactifs. NetFlow donc seulement gère la propriété intellectuelle , en se concentrant sur Modèle OSI couches 3 et 4 . Sa connaissance des protocoles IP lui permet d'interpréter les paquets et de travailler en termes de flux.

Voici notre liste des meilleurs analyseurs et collecteurs NetFlow :

1. Analyseur de trafic SolarWinds NetFlow CHOIX DE L'ÉDITEUR Le principal analyseur de trafic réseau. Fonctionne sur Windows Server. Démarrez un essai gratuit de 30 jours.
2. Analyseur ManageEngine NetFlow (ESSAI GRATUIT)Un analyseur de trafic qui s'installe sur Windows Server et Linux et déploie les standards NetFlow, IPFIX, J-Flow, NetStream.
3. Surveillance du trafic réseau Site24x7 (ESSAI GRATUIT)Un service cloud qui suit les données de trafic réseau en direct et offre une prise en charge de la planification de la capacité.
4. Moniteur réseau Paessler PRTG (ESSAI GRATUIT)Capteurs NetFlow, sFlow et J-Flow qui font partie d'un moniteur de réseau, de serveur et d'applications. S'installe sur Windows Server.
5. Nprobe et ntopng Un système de surveillance de réseau simple en versions gratuite et payante.
6. Scrutateur Plixer Un moniteur d'activité de cybersécurité disponible pour l'installation, en tant que service basé sur le cloud ou en tant qu'appliance.
7. Analyseur de flux NoctionSurveille les performances du réseau en direct et propose une analyse du trafic réseau. Fonctionne sous Linux.
8. Nagios XI et Core Un système complet de surveillance du réseau en versions gratuite (Nagios Core) et payante (Nagios XI).
9. Cliquez sur Détecter Un service basé sur le cloud qui peut analyser votre trafic sur site.
10. Splunk Un renifleur de paquets bien connu et très respecté qui peut collecter des données par analyse via des outils plus sophistiqués.
11. Pile élastique Outils de collecte et d'analyse de fichiers journaux pouvant être adaptés pour fonctionner avec NetFlow.
12. Pile TICK d'Influxdata Telegraf, Influxdb, Chronograf et Kapacitor sont des outils de collecte et d'analyse de données réseau qui peuvent utiliser sFlow et SNMP.

Les différences entre NetFlow et sFlow

Avi Freedman fait un analogie appropriée à la surveillance du trafic automobile : « … alors que NetFlow peut être décrit comme l'observation des modèles de trafic (« Combien de bus sont allés d'ici à là ? »), avec sFlow, vous prenez simplement des instantanés des voitures ou des bus qui passent à ce moment-là. moment particulier'.

Voici les principales différences entre les deux technologies.

Précision et évolutivité

Les partisans de NetFlow soutiennent depuis longtemps que NetFlow peut être plus précis que sFlow. NetFlow regroupe les données sur tous les paquets en flux localement sur l'appareil ; il ne peut donc pas manquer une conversation par hasard en ne parvenant pas à échantillonner les paquets pertinents. Cette granularité de NetFlow est intéressante pour examiner le trafic avec un hôte individuel. Il est facile de voir les détails par hôte, de remarquer des anomalies localisées et d'enquêter sur des flux particuliers. Mais à mesure que le volume du trafic augmente, il devient de moins en moins possible de collecter chaque flux. Si vous n’effectuez pas d’échantillonnage, l’évolutivité devient un problème.

sFlow est ainsi plus évolutif que NetFlow traditionnel. Cependant, l'échantillonnage présente l'inconvénient de provoquer des lacunes dans la visibilité. Les paquets échantillonnés peuvent ne pas refléter tous les flux (par exemple, de courtes rafales). Pour détecter et analyser les problèmes de sécurité, cela peut être important.

Performances de l'appareil à des volumes élevés

Comme indiqué ci-dessus, sFlow effectue un travail minimal sur le périphérique réseau, contrairement à NetFlow qui utilise le processeur et la RAM du périphérique pour implémenter le cache de flux. Cela peut devenir un problème avec les appareils à haut débit où de nombreuses conversations sont concentrées sur une seule liaison. La charge CPU supplémentaire en plus du « travail réel » effectué par l'appareil augmente en fonction du nombre de flux par seconde et peut consommer une fraction importante du CPU par an. Livre blanc Cisco (PDF). En revanche, sFlow effectue généralement son échantillonnage de paquets dans l'ASIC de commutation/routage, permettant au processeur du périphérique réseau de se concentrer sur son travail principal.

À des volumes de centaines de gigabits par seconde, comme dans le routage périphérique et les grands centres de données, l'ingénierie du trafic devient la préoccupation centrale ; l'accent est mis sur les modèles à grande échelle et les changements brusques de volume. La visibilité fine sur les hôtes individuels devient moins importante. Désormais, l’échantillonnage commence à devenir le grand gagnant. Pour cette raison, NetFlow a ajouté l'option Sampled NetFlow, qui rend NetFlow évolutif, mais perd la granularité élevée et précise du NetFlow traditionnel.

Couverture du protocole

NetFlow est uniquement IP (avec une prise en charge de la couche 2 ajoutée récemment). Ainsi, les protocoles existants (par exemple Appletalk, IPX) et les autres protocoles non Internet n'apparaissent pas. En revanche, sFlow peut couvrir les couches 2 à 7.

Latence

sFlow peut avoir une latence inférieure à NetFlow. Un appareil collectant des métriques NetFlow dans son cache de flux les exporte périodiquement en fonction des délais d'attente actifs et inactifs. Ainsi, les rapports sur les conversations récentes et en cours peuvent être retardés, en fonction des délais d'attente. En revanche, sFlow envoie les préfixes et compteurs de paquets collectés en temps réel. Si une latence inférieure à la minute est un problème – et que vos outils de surveillance/analyse le prennent en charge – sFlow peut être le meilleur choix.

Types et extensions NetFlow

Flux net flexible et IPFIX offrent la possibilité d'avoir des modèles extensibles par le fournisseur pour peaufiner l'ensemble des champs de paquets d'intérêt. NetFlow v9 et IPFIX ajoutent également la possibilité de surveiller la couche 2 des champs. NetFlow échantillonné aléatoirement ajoute la possibilité de faire de l'échantillonnage à NetFlow (l'échantillonnage est obligatoire dans sFlow).

Voir également: sFlow – Guide ultime des analyseurs sFlow et sFlow

Les meilleurs analyseurs et collecteurs NetFlow

Lorsque votre réseau se développe au point qu’il devient difficile de voir ce qui se passe, les outils exploitant NetFlow peuvent être la solution.

Notre méthodologie de sélection des analyseurs et collecteurs NetFlow

Nous avons examiné le marché des analyseurs et collecteurs NetFlow et analysé les options en fonction des critères suivants :

• Un système capable d'échantillonner, de capturer ou de résumer les paquets qui passent
• La capacité de communiquer avec d'autres systèmes de capture de paquets tels que sFlow et J-Flow, pas seulement NetFlow
• Alerte de seuil de capacité de bande passante
• Rapports statistiques en direct avec interprétations graphiques des données
• Outils de planification des capacités et d’investigation des goulots d’étranglement
• Un essai gratuit pour une évaluation sans risque ou un outil gratuit
• Un bon ensemble d'utilitaires payants ou un outil gratuit qui vaut la peine d'être installé

Ci-dessous, nous examinons plusieurs outils populaires de surveillance et d'analyse de réseau basés sur NetFlow pour Windows. Tous sont sophistiqués et nécessitent une courbe d’apprentissage considérable ; une formation en ligne et un bon support sont donc essentiels.

1. Analyseur de trafic SolarWinds NetFlow(ESSAI GRATUIT)

LeAnalyseur de trafic SolarWinds NetFlow(NTA) est un moniteur de bande passante qui gère non seulement le Cisco Netflow d'origine, mais également bon nombre de ses variantes d'autres fabricants, ainsi que la principale alternative de NetFlow, sFlow.

Une fois installé, NTA vous propose une large gamme d'installations sophistiquées pour gérer les réseaux multi-fournisseurs. Il comportesurveillance de la bande passante,analyse du trafic,analyse de performance,alertes,rapports personnalisables,optimisation des politiques, et plus.

L'analyseur de trafic NetFlowrassemble les données de flux exportées par les appareils compatibles avec le fluxsuivi par le logiciel de surveillance du réseau SolarWinds.

Principales caractéristiques:

• Suivi de la capacité de bande passante
• Moniteur de modèle de trafic
• NetFlow, IPFIX, J-Flow, sFlow, NetStream, CFlow et RFlow
• Suivi de la qualité de service
• Analyseur de protocole NBAR

Le résumé par défaut de NetFlow Traffic Analyzer comporte plusieurs sections telles que Les 5 principales applications , 5 principaux points de terminaison , Top 5 des conversations , 10 principales sources par % d'utilisation , etc.

En tant qu'analyseur de flux, NTA identifie les utilisateurs, les applications et les protocoles consommant le plus de bande passante. Vous pouvez trier par ports, sources, destinations et protocoles, et afficher les modèles de trafic sur plusieurs minutes, jours ou mois.

Avantages:

• Excellente interface utilisateur, facile à naviguer et reste épurée même lorsqu'elle est utilisée sur des réseaux à volume élevé
• Prend en charge plusieurs technologies de mise en réseau telles que Cisco Netflow, Juniper Networks J-Flow et Huawei Netstream, ce qui en fait une solution indépendante du matériel
• Les modèles prédéfinis vous permettent d'extraire immédiatement des informations de la capture de paquets
• S'installe sur Windows ainsi que sur plusieurs versions de Linux
• Conçu pour l'entreprise, offre des fonctionnalités de suivi et de surveillance SLA

Les inconvénients:

• Conçu pour les entreprises qui traitent beaucoup de données, ce n'est pas la meilleure solution pour les petits réseaux locaux ou les utilisateurs domestiques.

Si vous disposez d’un réseau sophistiqué avec des appareils compatibles NetFlow, les capacités de NTA valent la peine d’être explorées. Pour plus de détails sur NTA, consultez notreExamen de l’analyseur de trafic SolarWinds NetFlow. Vous pouvez également démarrer un30 jours d'essai gratuit.

LE CHOIX DES ÉDITEURS

Analyseur de trafic SolarWinds NetFlowest notre premier choix pour un analyseur et un collecteur NetFlow, car il est également capable de collecter des données de trafic avec les protocoles utilisés par d'autres fabricants, tels que J-Flow de Juniper Networks et NetStream de Huawei. Cet outil peut suivre les performances des réseaux sans fil et des virtualisations VMWare vSphere. Les installations du NTA vous permettent de mettre en œuvre des mesures de gestion du trafic et de tirer le meilleur parti de vos ressources réseau existantes, sans compromettre la qualité du service.

Télécharger:Obtenez un essai GRATUIT de 30 jours

Site officiel:https://www.solarwinds.com/netflow-traffic-analyzer/registration/

TOI:Serveur Windows

2. Analyseur ManageEngine NetFlow (ESSAI GRATUIT)

LeAnalyseur ManageEngine NetFlowoffre une visibilité en temps réel sur la bande passante du réseau et les modèles de trafic. L'outil visualise le trafic par applications, conversations, protocoles, etc.Des alertes peuvent être définies en fonction de seuils de trafic. Il existe une variété de rapports prédéfinis utiles, allant du dépannage à la planification de la capacité et à la facturation. Des rapports de recherche personnalisés peuvent être créés.

NetFlow Analyzer dispose d'une suite d'outils orientés NetFlow pour gérer les réseaux complexes. L'interface utilisateur Web dispose d'un tableau de bord par défaut avec plusieurs diagrammes circulaires en temps réel, notamment une carte thermique montrant l'état des interfaces surveillées, les principales applications, les principaux protocoles, les principales conversations, les alarmes récentes, la meilleure qualité de service, etc.

Principales caractéristiques:

• Analyse du trafic
• Alertes de problèmes
• Suivi de la qualité de service

Le survol d'un graphique affiche généralement une fenêtre contextuelle explicative et le fait de cliquer sur n'importe quel graphique permet d'accéder à plus de détails sur l'élément sélectionné. Il y aaffichages spécifiques pour détecter les problèmes de sécurité. Les tableaux de bord sont personnalisables.

Les alertes s'affichent sous forme de fenêtres contextuelles sur l'interface utilisateur. Le trafic multi-sites peut être analysé ; il existe une application pour smartphone pour la surveillance et les alertes mobiles.

Les technologies de flux prises en charge incluentFlux net,IPFIX,Flux J,NetStream, et plusieurs autres. L'outil exploite les fonctionnalités avancées des appareils Cisco, notamment la prise en charge de l'ajustement de la gestion du trafic et des politiques de QoS sur votre réseau.

Avantages:

• Prend en charge plusieurs protocoles comme NetFlow, idéal pour surveiller les équipements Cisco
• Les deux outils fonctionnent bien ensemble pour vous aider à visualiser les modèles de trafic et l'utilisation de la bande passante.
• L'interface facile à utiliser met automatiquement en évidence les monopolisateurs de bande passante et autres valeurs aberrantes du trafic réseau.
• Bien évolutif, conçu pour les réseaux des grandes entreprises
• Peut visualiser le trafic par saut, permettant une analyse granulaire du trafic

Les inconvénients:

• Conçu pour une utilisation en entreprise, non conçu pour les petits réseaux domestiques

LeAnalyseur ManageEngine NetFlowfournit une gamme de fonctionnalités pour gérer des réseaux complexes faisant un usage intensif de NetFlow. La version gratuite permet une surveillance illimitée pendant 30 jours mais revient ensuite à la surveillance de seulement deux interfaces. ManageEngine propose divers produits connexes pour étendre au-delà de l'analyse de données orientée trafic NetFlow vers une suite complète de gestion de réseau. Téléchargez le30 jours d'essai gratuit.

ManageEngine NetFlow Analyzer Téléchargez un essai GRATUIT de 30 jours

3. Surveillance du trafic réseau Site24x7 (ESSAI GRATUIT)

La surveillance du trafic réseau Site24x7 est un basé sur le cloud analyseur de trafic qui fait partie de plusieurs packages de gestion de système. Site24x7 propose une surveillance de l'infrastructure, une gestion de sites Web, un moniteur de performances des applications et un système pour les fournisseurs de services gérés.

Cet outil permet une surveillance en direct du trafic réseau et stocke également des données pour la planification de la capacité et l'analyse des tendances. En tant que service cloud, le tableau de bord est accessible via n'importe quel navigateur Web standard . Tout le traitement du service est effectué sur les serveurs Site24x7 mais il doit également y avoir un agent installé sur site.

Principales caractéristiques:

• Service basé sur le cloud
• Livré avec d'autres moniteurs système
• Alertes pour les problèmes du système

Le moniteur communique avec les commutateurs réseau à travers un certain nombre de protocoles. Ceux-ci incluent NetFlow, sFlow, J-Flow, IPFIX, CFlow, NetStream et AppFlow. Le système extrait des statistiques de trafic et peut également échantillonner les en-têtes de paquets. Les informations extraites du trafic permettent au moniteur de trafic d'identifier le trafic par application, par source et destination, et par compte utilisateur. Le système peut communiquer avec les périphériques réseau fournis par plus de 200 vendeurs .

En plus de repérer les embouteillages, l'analyseur affiche des graphiques de séries chronologiques et peut identifier les heures de pointe. Ces informations permettent aux gestionnaires de réseau de extraire une valeur supplémentaire des ressources existantes en déplaçant les tâches non urgentes telles que les processus d'administration par lots vers des périodes moins chargées de la journée.

Les informations affichées par le système de surveillance du réseau sont capables tracer les charges de trafic lien par lien et également de bout en bout à travers le réseau. Il est capable de détecter les goulots d'étranglement et de contribuer à l'élaboration de mesures de gestion du trafic, telles que les files d'attente et la priorisation.

Le moniteur impose seuils de performance qui sont fixés à des niveaux qui laissent le temps de résoudre les problèmes. Si un seuil est dépassé, le service génère une alerte. Ceci est affiché sur la console du système et peut également être envoyé au personnel clé sous forme d'e-mail, de SMS ou d'appels vocaux.

Avantages:

• Possède l'une des meilleures interfaces utilisateur parmi les analyseurs NetFlow similaires
• Comprend une application mobile pour Android et iOS
• Peut mesurer la latence, la gigue et les performances au fil du temps, ce qui en fait une solution viable à long terme pour la surveillance des pings.
• Peut être intégré et surveiller jusqu'à 200 appareils de fournisseurs différents
• La version gratuite peut prendre en charge jusqu'à 100 hôtes, ce qui en fait une excellente option de lancement pour les petites entreprises

Les inconvénients:

• Site24x7 est une plate-forme riche en fonctionnalités qui peut prendre du temps pour apprendre pleinement toutes ses fonctionnalités et options de personnalisation.

Le service de surveillance du trafic réseau est inclus dans le Surveillance du site Web plan, qui est proposé en quatre éditions, la moins chère commençant à 9 $ par mois. Il est également inclus dans le Infrastructure forfait, qui commence également à 9 $ par mois. Site24x7 offre un Moniteur de performances des applications (APM), qui comprend le moniteur de trafic réseau et commence à 35 $ par mois.

Un Tout en un Le forfait de Site24x7 offre tous les services inclus avec tous ses autres forfaits et qui inclut le système de surveillance du trafic. Ce plan est disponible en quatre éditions, la moins chère coûtant 35 $ par mois. Un MSP Le plan, qui est une version mutualisée du plan tout-en-un, comprend le moniteur de trafic réseau et son prix commence à 45 $ par mois. Tous les plans et éditions de Site24x7 sont disponibles pour Essais gratuits de 30 jours .

Surveillance du trafic réseau Site24x7 Commencez un essai GRATUIT de 30 jours

4. Moniteur réseau Paessler PRTG (ESSAI GRATUIT)

LeMoniteur réseau Paessler PRTGest une solution « piles incluses » quisurveille l'utilisation de la bande passante, ledisponibilitéet la santé des appareils sur votre réseau, et bien plus encore. PRTGpeut surveiller plusieurs sites,PAR,VPN, etservices cloud. La version gratuite fournit un nombre illimité de capteurs pendant un mois, puis est limitée à 100 capteurs ; un capteur est un flux de données individuel, donc chaque appareil nécessitera généralement plusieurs capteurs.

Dans l’interface utilisateur de PRTG, unla vue principale est l'arborescence des appareils montrant tous les appareils de votre réseau et les capteurs qui les surveillent chacun. Les appareils comprennent des pare-feu, des routeurs, des points d'accès, des serveurs, des postes de travail, des serveurs virtuels, du stockage, etc. L'arborescence des appareils est complétée par des tableaux de capteurs, de journaux et d'alarmes, ainsi que divers tableaux et graphiques pour la bande passante, etc. être triés et filtrés.

Principales caractéristiques:

• Package de surveillance personnalisable
• NetFlow, IPFIX, sFlow et J-Flow
• Alertes

L'exploration de l'arborescence révèle des indicateurs et des mesures à tous les niveaux. Paramètres, commeintervalle d'analyse, sont hérités et peuvent être remplacés aux niveaux inférieurs de l'arborescence des périphériques.Des alertes peuvent également être définies à tous les niveaux, afin que vous puissiez être averti des événements et des transitions de seuil d'un périphérique critique particulier, ou cumulé à partir d'un aspect global de votre réseau. Les alertes peuvent être transmises de plusieurs manières, notamment par courrier électronique SMTP et par SMS.

L’abstraction des appareils et des capteurs façonne également les tableaux de bord et les rapports. Des tableaux de bord personnalisés peuvent être créés, notamment des cartes interactives. Il existe une gamme de rapports prédéfinis et des fonctionnalités permettant de concevoir des rapports personnalisés ; des rapports peuvent également être programmés.

Les fonctionnalités d'analyse du trafic incluent la prise en charge intégrée de NetFlow. Pour les protocoles de flux, PRTG prend en charge NetFlow, sFlow et J-Flow. Les autres protocoles/mécanismes utilisés incluent SNMP, WMI et le reniflage de paquets. Paessler appelle ces systèmes de détection, tels que le collecteur NetFlow, des « capteurs ».

L’installation est simple. Il existe un assistant de configuration, ainsi qu'une vidéo fournissant des conseils étape par étape. Lors de l'installation, la sonde locale du serveur principal effectue une découverte automatique pour identifier les périphériques et configurer les capteurs. Des capteurs supplémentaires (y compris des collecteurs NetFlow) peuvent être ajoutés manuellement ; une vidéo fournit des instructions.

Le serveur principal est Windows uniquement. La surveillance d'un seul site peut être effectuée via l'application Web, mais la vue simultanée de plusieurs serveurs principaux nécessite l'utilisation de l'application d'entreprise sous Windows. Une application mobile est également fournie. Un ajout intelligent est que PRTG fournit des codes QR qui peuvent être collés sur des appareils particuliers pour une recherche rapide et un statut dans l'application mobile. PRTG prend en charge le clustering pour la tolérance aux pannes : vous pouvez configurer des instances de basculement du moniteur.

Avantages:

• Conçu pour être un outil de surveillance d'infrastructure prenant en charge plusieurs types de capteurs tels que NetFlow, sFlow et J-Flow
• Offre une surveillance supplémentaire sur la même plate-forme, prenant en charge la surveillance des performances de l'infrastructure, du réseau et des applications.
• Capture uniquement les en-têtes de paquets, permet d'accélérer l'analyse et de réduire les coûts de stockage pour la collecte à long terme
• Utilise des graphiques simples mais intuitifs pour la visualisation du trafic

Les inconvénients:

• Plateforme très détaillée – prend du temps pour apprendre et utiliser pleinement toutes les fonctionnalités disponibles

Bien que PRTG soit tout-en-un, vous n'avez donc pas besoin de plusieurs produits et licences pour bénéficier d'une surveillance complète, une question clé à évaluer est de savoir de combien de capteurs votre réseau a besoin et quel sera le coût à long terme du système basé sur les capteurs. modèle de licence à mesure que vous grandissez. Pour évaluer, vous pouvez télécharger un30 jours d'essai gratuit.

Paessler PRTG Network Monitor Téléchargez un essai GRATUIT de 30 jours

Article similaire: Meilleurs outils de surveillance J-Flow de Juniper Networks

5. Nprobe et ntopng

ntopng est un outil d'analyse du trafic Web open source qui effectue une surveillance passive du réseau basée sur des données de flux et des statistiques extraites du trafic observé. ntopng le paquet se capture-t-il ; pour recevoir des données de flux, cela dépend de nSonde , un exportateur/collecteur NetFlow/IPFIX. Les protocoles de flux incluent NetFlow v9, IPFIX et NetFlow Lite .

La version communautaire de ntopng est gratuite. Les versions professionnelles (petites entreprises) et entreprise nécessitent un licence payante , mais sont gratuits pour les organisations éducatives et à but non lucratif. nProbe peut être testé gratuitement, mais une version entièrement fonctionnelle nécessite une licence payante. L'utilisation des données NetFlow est donc limitée (sauf si vous bénéficiez d'une licence gratuite).

Principales caractéristiques:

• Version gratuite
• NetFlow et IPFIX
• Cartographie du réseau

L'interface utilisateur Web de ntopng regroupe les données dans le trafic (par exemple, les principaux locuteurs), les flux, les hôtes, les appareils et les interfaces. La plupart des catégories ont plusieurs vues, un mélange de graphiques, de tableaux et de graphiques ; et dans chacun, vous pouvez explorer en profondeur et faire des références croisées. Les tableaux peuvent être triés – ainsi, par exemple, la sélection de la colonne de débit dans le tableau des flux affiche les principaux utilisateurs actuels de bande passante.

L'affichage du flux affiche les protocoles d'application (par exemple Facebook, YouTube). Les latences et les statistiques TCP (par exemple perte de paquets) sont affichées. Les hôtes/adresses IP observés peuvent être affichés sur une carte via géolocalisation. Les alertes peuvent être définies sur les hôtes en fonction de nombreux critères et apparaîtront sous la forme d'une icône dans l'interface utilisateur.

La version professionnelle peut enregistrer et afficher des statistiques historiques d'utilisation des applications, effectuer une surveillance active via SNMP, générer des rapports de trafic personnalisés et plusieurs autres fonctionnalités supplémentaires.

Le package d'installation de ntopng et nProbe est un fichier zip contenant un assistant d'installation Windows standard. Le programme d'installation installera winpcap (pour le reniflage de paquets) si nécessaire.

Avantages:

• Outil open source, hautement personnalisable
• Prend en charge plusieurs protocoles de flux
• Excellente option pour Unix/macOS
• Options gratuites pour les organisations éducatives et à but non lucratif

Les inconvénients:

• A une courbe d'apprentissage abrupte, en particulier pour les utilisateurs non techniques
• La version entièrement fonctionnelle est derrière un paywall

Puisque ntopng est open source, il existe des possibilités considérables d’extension. Les données peuvent être exportées vers MySQL, ElasticSearch et LogStash, où elles peuvent être fusionnées dans les rapports stockés par votre Serveur Syslog .

6. Scrutinateur Plixer

Scrutateur Plixer est un système sophistiqué d’analyse du trafic orienté flux, avec un accent particulier sur les analyses de sécurité (appelé « Scrutinizer Incident Response System »). Il prend en charge à la fois NetFlow et sFlow.

Scrutateurpeut être installé en tant qu’appliance physique dédiée,en tant que machine virtuelle exécutée sur un serveur,ouen tant que solution SaaS fonctionnant dans le cloud(public ou hybride). Il s'agit d'un système sophistiqué, donc même l'essai gratuit sur une machine virtuelle nécessite des ressources considérables (par exemple, 16 Go de RAM dédiés).

Principales caractéristiques:

• Surveillance des performances et de la sécurité
• NetFlow et sFlow
• SaaS ou sur site

Scrutinizer est conçu pour offrir des performances réseau élevées et une évolutivité dans des environnements petits à très grands. Il offre une riche gamme de fonctionnalités d’analyse et de reporting.

L'essai comprend un accès complet pendant 30 jours. Après cela, la version gratuite a une limite de 10 000 flux collectés par seconde, cinq heures de flux bruts conservés et une semaine de résumés historiques conservés. La version payante comprend des notifications, la personnalisation du tableau de bord, des rapports personnalisés, des rapports par courrier électronique programmés et une assistance.

Avantages:

• Offre plusieurs options de déploiement
• Conçu pour prendre en charge les réseaux de grandes entreprises
• Offre des fonctionnalités supplémentaires d'analyse du trafic liées à la sécurité

Les inconvénients:

• Utilise une quantité considérable de ressources système
• Doit contacter les ventes pour connaître les prix
• Courbe d'apprentissage plus raide que les outils similaires sur le marché

Le prix des licences dépend de la plateforme choisie et du nombre d’exportateurs de flux à prendre en charge.

7. Analyseur de flux Noction

Analyseur de flux Noctionpropose trois stratégies principales aux gestionnaires de réseaux. Il s’agit de surveiller et de contrôler utilisation de la bande passante , implémenter planification des capacités , et pour détecter et prévenir performances du réseau problèmes.

Le système a un front-end frappant. Vous êtes libre de choisir entre les options de thème Clair, Sombre ou Auto. Ici, ci-dessous, vous pouvez voir l'écran Data Explorer, qui fournit des statistiques détaillées sur le trafic réseau sous forme de graphiques et de formulaires de rapport. Les fonctions « Regrouper par », « Filtres » et « Périphériques » sont disponibles pour concentrer ou élargir l'attention sur les aspects souhaités du trafic réseau ou sur des nœuds de réseau spécifiques. Vous pouvez consulter les détails du trafic réseau et filtrer par protocole, adresses source et destination, ports, VLAN, adresses MAC L2, TOS, étiquettes MPLS, chemins AS, etc. Toutes les requêtes de données peuvent ensuite être enregistrées sous forme de widgets et placées sur des tableaux de bord.

Plusieurs tableaux de bord peuvent être configurés dans NFA. Il s'agit d'ensembles de graphiques généralement regroupés selon un objectif spécifique, par exemple la planification de la capacité, vous permettant de visualiser les tendances et les cycles des modèles de trafic et vous donnant le choix de la stratégie de capacité à adopter.

Principales caractéristiques:

• Surveillance et planification des capacités
• Analyse du chemin
• Résumés de l'utilisation de la bande passante

Le surveillance du réseau Le système vous permet de voir les données de trafic en direct avec la possibilité d'examiner le trafic à chaque nœud ou d'examiner le trafic de bout en bout entre deux points donnés.

Vous pouvez configurer alertes sur l’une des métriques collectées par Flow Analyzer. Ce sont des seuils qui activeront des alertes lorsqu’ils seront franchis. Ces alertes peuvent être envoyées aux techniciens par e-mail ou via Slack, de sorte que le personnel n'a pas besoin de surveiller le moniteur réseau à moins qu'un problème ne se développe.

Avantages:

• Une interface Web attrayante
• Surveillance du trafic en direct
• Analyse historique des modèles de trafic pour la planification de la capacité
• Utilitaires d'interrogation de données
• Suivi de la bande passante

Les inconvénients:

• Doit être hébergé sur votre site et n'est pas disponible pour Windows

Noction Flow Analyzer est un progiciel à installer sur Ubuntu , CentOS , ou RHEL Linux. Le système crée un serveur Web afin que les écrans du système soient accessibles via n'importe quel navigateur Web standard. Même si vous hébergez vous-même le service, vous n’achetez pas directement le logiciel. A la place, vous payez un abonnement, avec un tarif mensuel ou annuel. Il existe un service complémentaire, qui consiste à collecter Protocole de passerelle frontalière données de routage Internet de la passerelle réseau. Vous pouvez essayer le système Noction sur un essai gratuit .

8. Nagios XI et Nagios Core

Nagios est une norme durable en matière de surveillance des réseaux. Nagios Core est la version gratuite open source et Nagios XI est la variante commerciale payante avec des fonctionnalités supplémentaires et une assistance automatisée pour la configuration. Nagios a la réputation d'être puissant, fiable, évolutif et extrêmement personnalisable – et complexe à configurer.

Principales caractéristiques:

• Versions gratuites et payantes
• Extensible avec des plug-ins gratuits
• Mesure le trafic via SNMP

La version gratuite a une courbe d'apprentissage mais aussi une communauté active. Il surveille les serveurs, les services et les applications, tout comme la version commerciale. Il comprend des rapports par e-mail et SMS, une interface utilisateur de base (y compris la carte du réseau) et des rapports de base.

Nagios Core manque de découverte automatique et vous devez apprendre à mettre en place et à maintenir des configurations complexes. Du côté positif, cela vous offre une grande flexibilité pour personnaliser et étendre l’outil. Les modules complémentaires développés par la communauté peuvent effectuer une découverte et vous aider à démarrer la configuration.

Vous pouvez utiliser leessai gratuit de 60 jourspour évaluer la version payante. Si vous choisissez d'utiliser la version gratuite une fois l'essai terminé, vous pouvez enregistrer les fichiers de configuration générés automatiquement à partir de |_+_| avant de désinstaller votre copie d'évaluation. Vous pouvez ensuite utiliser ces fichiers comme point de départ pour la configuration de votre nouvelle installation.

La version commerciale Nagios XI dispose d'une gamme plus riche de fonctionnalités, notamment une prise en charge automatisée de la découverte de vos appareils et hôtes, la configuration automatique de l'outil et des modules complémentaires pris en charge commercialement. Il dispose d'une interface utilisateur beaucoup plus sophistiquée et de rapports plus avancés qui couvrent les tendances, l'aide à la planification des capacités, etc.

Nagios XI est conçu pour fonctionner sur Red Hat Linux et CentOS. Pour Windows, utilisez une appliance VM avec Hyper-V ou VMware. Il comprend un outil de découverte automatique et un assistant de configuration pour ajouter un nouveau périphérique, hôte ou application.

Une fois Nagios XI installé et surveillé, le Écran des opérations vous donne une vue d'ensemble de l'état actuel du réseau, et le Centre des opérations vous permet d'accéder aux éléments mentionnés.

LeStatut de l'hôteLa page affiche un résumé des mesures pour les hôtes surveillés. Vous pouvez accéder à un hôte individuel pour voir des détails, notamment des graphiques de performances, des informations de planification de capacité, des alarmes, etc.

LeÉtat du serviceCette page résume l'état des services surveillés.

Avantages:

• Propose une version open source gratuite ainsi qu'une version payante
• La tarification est basée sur le nombre d’exportations de flux, ce qui en fait une option flexible
• Rapports détaillés et options d'alerte

Les inconvénients:

• La configuration peut être déroutante, moins intuitive que d'autres outils
• L'interface peut être difficile à utiliser, en particulier lors de la première installation de l'outil.

Nagios est une solution appréciée pour la surveillance des réseaux. Comme pour les autres outils offrant un compromis entre version entièrement gratuite et version commerciale, vous devez décider si vous possédez (ou allez développer) l'expertise et le temps nécessaires pour utiliser l'outil gratuit, ou s'il serait plus rentable de payer pour l'automatisation. et support de la version commerciale.

9. Appuyez sur Détecter

Cliquez sur Détecter , contrairement aux outils d'analyse de trafic ci-dessus, est un pur système Software-as-a-Service (SaaS). En tant que tel, il offre l’évolutivité du cloud.

Les réseaux se développent et les ressources réseau hors site sont de plus en plus essentielles au succès. Ainsi, les données de trafic deviennent du Big Data, et les solutions Big Data basées sur le cloud commencent à prendre tout leur sens.

Kentik vise à capturer les détails de plusieurs types de données, à fournir une vue unifiée de l'ensemble et à fournir des interfaces pour accéder aux données et les intégrer à d'autres systèmes. Kentik Detect est composé d'une banque de données de séries chronologiques personnalisée à haute disponibilité (Kentik Data Engine) et d'une interface utilisateur (Kentik Portal). Les protocoles incluent Netflow, IPFIX, sFlow, SNMP et BGP.

Principales caractéristiques:

• Forfait SaaS
• NetFlow, sFlow, IPFIX et SNMP
• Explorateur de données

Kentik Portal est une interface Web (bien sûr) et fournit une gamme croissante de tableaux de bord configurables.

L'explorateur de données permet une exploration ad hoc des données réseau collectées. Vous pouvez rapidement explorer et filtrer potentiellement des milliards d'enregistrements, obtenant ainsi des vues sous forme de tableaux et de graphiques.

Des alertes pour vous avertir de conditions inhabituelles peuvent être configurées en créant des politiques qui définissent le moment où une alerte entrera dans l'état d'alarme. Les alertes peuvent être envoyées par divers médias, notamment le courrier électronique, Slack, la radiomessagerie, etc.

Avantages:

• Utilise un mélange de rapports en direct et de graphiques simples pour afficher les métriques NetFlow
• Les filtres sont intuitifs et vous permettent de visualiser rapidement les données historiques collectées
• Prend en charge plusieurs protocoles NetFlow

Les inconvénients:

• Uniquement disponible sous forme SaaS
• L'interface utilisateur du portail Kentik serait plus facile à utiliser

Roulez le vôtre

Peut-être qu'aucun des analyseurs NetFlow préemballés ci-dessus n'est suffisamment personnalisable ou suffisamment puissant pour répondre à vos besoins. Peut-être êtes-vous sûr de pouvoir faire mieux, ou souhaitez-vous simplement expérimenter l'analyse des données vous-même. Il existe plusieurs packages disponibles pour la capture et l'analyse de données de séries chronologiques qui rendent cela tout à fait réalisable. Plusieurs sont des logiciels open source gratuits ; certains ne le sont pas. Certains peuvent être intégrés à des analyseurs préemballés, tels que Plixer et ntopng.

Voici quelques possibilités à découvrir.

Splunk

Splunk est un package payant pour la recherche, la surveillance et l'analyse/visualisation du Big Data. Splunk capture des données en temps réel et fournit des fonctionnalités Web d'analyse et de visualisation. Splunk a un module complémentaire pour NetFlow , et un pour IPFIX.

Principales caractéristiques:

• Processeur de données flexible
• Flux NetFlow et IPFIX
• Créez votre propre analyseur

La Suite ELK / Elastic

Le WAPITI Empiler -Elasticsearch, Logstash et Kibana– est un ensemble d'outils d'analyse open source généralement utilisé avec des données qui ressemblent à des messages de journal. Elasticsearch est un moteur de recherche et d'analyse distribué populaire. Logstash est un moteur de collecte de données et d'analyse de journaux. Kibana est un tableau de bord de visualisation de données basé sur un navigateur pour l'analyse et la recherche. Cache-journaux comprend un codec pour traiter plusieurs versions de données NetFlow.

Principales caractéristiques:

• Version gratuite
• Une suite de collecteurs et d'analyseurs de données
• Aucune recherche pré-écrite

Plusieurs groupes ont utilisé ELK Stack avec NetFlow. Cisco a un guide pour l'avoir fait, et il existe plusieurs autres articles en ligne. Les gens ont construit des systèmes en utilisant la pile ELK avec d'autres composants populaires, tels que Riemann outil de surveillance et d'alerte du système distribué. Une alternative au logstash est fluide .

Télégraphe, Influxdb, Chronographe, Condensateur

Données d'afflux TICK Stack de – Telegraf, Influxdb, Chronograf et Kapacitor – est un ensemble d'outils open source basés sur Go pour capturer, surveiller et analyser/visualiser des données de métriques de séries chronologiques. Telegraf collecte des mesures de performances ; InfluxDB est une base de données de séries chronologiques ; Chronograf effectue une visualisation en temps réel des données InfluxDB et Kapacitor est un moteur de traitement de données en streaming/par lots qui peut effectuer la surveillance et l'alerte des vues des données InfluxDB. La pile TICK a été utilisée avec les statistiques réseau de sFlow et SNMP.

Principales caractéristiques:

• Gestionnaire de données
• Peut rechercher des données sFlow
• Utilisation gratuite

Un autre outil puissant, parfois utilisé avec Influxdb est Grafana , un package open source pour l'analyse et la visualisation de séries chronologiques. Grafana est analogue à Kibana, mais là où Kibana est orienté messages de journaux, Grafana est orienté métriques.

Choisir un analyseur ou un collecteur NetFlow

Le tableau ci-dessous présente un résumé de chacune de ces options.

Plusieurs excellents outils de surveillance du réseau et d’analyse du trafic sont disponibles. Les petites organisations disposent d'un large éventail de choix gratuits, tandis que les grandes organisations ou en croissance disposent de nombreuses options payantes.

Ces dernières années, les solutions open source ont été largement mises en œuvre pour de nombreux types de logiciels de réseau ainsi que pour les applications professionnelles et de sécurité des réseaux. L’un des avantages des projets open source est que n’importe qui peut lire le code qui pilote le logiciel. Grâce à cette enquête, vous pouvez être sûr qu’aucun code malveillant n’est caché dans le programme.

Habituellement, les projets open source sont maintenus par des bénévoles. L’avantage des logiciels développés par des passionnés est qu’ils peuvent être distribués gratuitement. L’inconvénient de cette configuration est que les outils gratuits ne sont pas gérés de manière professionnelle et peuvent contenir des bugs. Le manque de revenus du logiciel libre signifie que les organisations qui le maintiennent n’ont pas les fonds nécessaires pour respecter les normes de sécurité ou résoudre les problèmes liés au code.

Lorsque vous envisagez d'utiliser un logiciel open source pour la surveillance et l'analyse du réseau, consultez les packages qui vous intéressent et testez-les minutieusement avant d'y engager le réseau. Envisagez de payer pour des outils d'analyse de réseau afin d'obtenir des performances garanties ainsi que l'assistance des organisations commerciales qui fournissent ces logiciels payants.

Quiconque souhaite contribuer à l’effort d’apprentissage dispose d’une boîte à outils de composants puissants que vous pouvez utiliser pour déployer votre propre solution. Votre choix final dépend de la taille et de la complexité de votre réseau, de l'expertise que vous apportez (ou souhaitez développer) et de la manière dont vous envisagez l'évolution de votre réseau à l'avenir.

FAQ sur les outils de collecte et d'analyse Netflow

Quelle est la différence entre SNMP et NetFlow ?

LeProtocole de gestion de réseau simple(SNMP) etFlux netIl existe deux normes pour interroger les équipements réseau.

SNMP est plus généralement utilisé pour vérifier les performances des équipements réseau, tandis que NetFlow permet de collecter des informations sur le trafic réseau qui transite par l'appareil.

Quelle est la meilleure alternative à ntopng ?

Le gratuitntopngest un outil de capture de paquets qui permet de trier et de regrouper les données d'en-tête afin d'obtenir des statistiques sur le trafic réseau. Wireshark est une bonne alternative, gratuite et dotée de fonctionnalités de base de tri de paquets et d'analyse d'en-tête dans sa visionneuse de données.

Comment puis-je changer le port MySQL dans NetFlow Analyzer à partir de 13310 ?

NetFlow Analyzer est un outil fourni par ManageEngine. Afin de changer le port MySQL utilisé par l'outil de 13310 vers un autre port,vous devez éditer le fichier mysql-ds.xml, que l'on retrouve dans le/serveur/par défaut/déployerannuaire. Cherchez la lignejdbc:mysql://localhost:13310/netflowet remplacez ce 13310 par le numéro du port que vous souhaitez utiliser.