Administrador De Red

Los 12 mejores analizadores y herramientas de recopilación de NetFlow para 2022

NetFlow: guía definitiva para NetFlow y analizadores NetFlow



NetFlow es un protocolo de red desarrollado por Cisco que registra e informa sobre todas las conversaciones IP que pasan a través de una interfaz. NetFlow tiene estado y funciona en términos de la abstracción llamadafluir: es decir, una secuencia de paquetes que constituye una conversación entre un origen y un destino, análoga a una llamada o conexión.

Un dispositivo exportador NetFlow recopila datos sobre el tráfico IP que entra/sale del dispositivo; inspecciona paquetes y los agrupa en flujos inspeccionando campos particulares: las direcciones de origen y destino, protocolos, puertos, etc.



Los datos sobre los flujos observados se acumulan a partir de los paquetes y se almacenan en caché localmente (en elcaché de flujo), luego se exporta periódicamente al recopilador según los tiempos de espera activos e inactivos. NetFlow por lo tanto sólo maneja propiedad intelectual , concentrándose en Modelo OSI Capas 3 y 4 . Su conocimiento de los protocolos IP le permite interpretar paquetes y trabajar en términos de flujos.

Aquí está nuestra lista de los mejores analizadores y recopiladores de NetFlow:

  1. Analizador de tráfico SolarWinds NetFlow ELECCIÓN DEL EDITOR El analizador de tráfico de red líder. Se ejecuta en Windows Server. Inicie una prueba gratuita de 30 días.
  2. Analizador ManageEngine NetFlow (PRUEBA GRATUITA)Un analizador de tráfico que se instala en Windows Server y Linux e implementa los estándares NetFlow, IPFIX, J-Flow, NetStream.
  3. Monitoreo del tráfico de red Site24x7 (PRUEBA GRATUITA)Un servicio en la nube que rastrea datos de tráfico de red en vivo y ofrece soporte para planificación de capacidad.
  4. Monitor de red Paessler PRTG (PRUEBA GRATUITA)Sensores NetFlow, sFlow y J-Flow que forman parte de una red, un servidor y un monitor de aplicaciones. Se instala en Windows Server.
  5. nprobe y ntopng Un sencillo sistema de monitoreo de red en versión gratuita y de pago.
  6. Escrutador Plixer Un monitor de actividad de ciberseguridad que está disponible para instalación, como servicio basado en la nube o como dispositivo.
  7. Analizador de flujo NoctionVigila el rendimiento de la red en vivo y ofrece análisis del tráfico de la red. Se ejecuta en Linux.
  8. Nagios XI y Núcleo Un extenso sistema de monitoreo de red tanto en versión gratuita (Nagios Core) como de pago (Nagios XI).
  9. Haga clic en Detectar Un servicio basado en la nube que puede analizar su tráfico local.
  10. Splunk Un rastreador de paquetes muy conocido y respetado que puede recopilar datos mediante análisis mediante herramientas más sofisticadas.
  11. Pila elástica Herramientas de análisis y recopilación de archivos de registro que se pueden adaptar para funcionar con NetFlow.
  12. Pila TICK de Influxdata Telegraf, Influxdb, Chronograf y Kapacitor son herramientas de análisis y recopilación de datos de red que pueden utilizar sFlow y SNMP.

Las diferencias entre NetFlow y sFlow

Avi Freedman hace un analogía adecuada para monitorear el tráfico vehicular: “… mientras que NetFlow puede describirse como una observación de patrones de tráfico ('¿Cuántos autobuses fueron de aquí para allá?'), con sFlow simplemente estás tomando instantáneas de los automóviles o autobuses que pasan en ese momento. momento particular'.



Estas son las principales diferencias entre las dos tecnologías.

Precisión y escalabilidad

Los partidarios de NetFlow han argumentado durante mucho tiempo que NetFlow puede ser más preciso que sFlow. NetFlow agrega datos sobre todos los paquetes en flujos localmente en el dispositivo; por lo tanto, no puede perderse una conversación por casualidad al no probar los paquetes relevantes. Esta granularidad de NetFlow resulta atractiva para examinar el tráfico con un host individual. Es fácil ver detalles por host, detectar anomalías localizadas e investigar flujos particulares. Pero a medida que el volumen de tráfico aumenta, se vuelve cada vez menos factible recolectar todos los flujos. Si no realiza muestreo, la escalabilidad se convierte en un problema.

Por tanto, sFlow es más escalable que el NetFlow tradicional. Sin embargo, el muestreo tiene la desventaja de que puede haber lagunas en la visibilidad. Es posible que los paquetes muestreados no reflejen todos los flujos (por ejemplo, ráfagas cortas). Para detectar y profundizar en la investigación de problemas de seguridad, esto puede ser importante.

Rendimiento del dispositivo en grandes volúmenes

Como se señaló anteriormente, sFlow realiza un trabajo mínimo en el dispositivo de red, a diferencia de NetFlow, que utiliza la CPU y la RAM del dispositivo para implementar la caché de flujo. Esto puede convertirse en un problema con los dispositivos de alta velocidad donde muchas conversaciones se concentran en un enlace. La carga de CPU adicional además del 'trabajo real' que realiza el dispositivo aumenta según la cantidad de flujos por segundo y puede consumir una fracción significativa de la CPU por segundo. Documento técnico de Cisco (PDF). Por el contrario, sFlow generalmente realiza su muestreo de paquetes en el ASIC de conmutación/enrutamiento, permitiendo que la CPU del dispositivo de red se concentre en su trabajo principal.

En volúmenes de cientos de gigabits por segundo, como en el enrutamiento perimetral y los grandes centros de datos, la ingeniería de tráfico se convierte en la preocupación central; la atención se centra en patrones a gran escala y cambios abruptos de volumen. La visibilidad detallada de los hosts individuales se vuelve menos significativa. Ahora el muestreo empieza a convertirse en el claro ganador. Debido a esto, NetFlow ha agregado la opción Sampled NetFlow, lo que hace que NetFlow sea escalable, pero pierde esa alta granularidad precisa del NetFlow tradicional.

Cobertura del protocolo

NetFlow es solo IP (con algo de soporte de Capa 2 agregado recientemente). Por lo tanto, los protocolos heredados (por ejemplo, Appletalk, IPX) y otros protocolos que no son de Internet no aparecen. Por el contrario, sFlow puede cubrir las capas 2 a 7.

Latencia

sFlow puede tener una latencia menor que NetFlow. Un dispositivo que recopila métricas de NetFlow en su caché de flujo las exporta periódicamente según los tiempos de espera activos e inactivos. Por lo tanto, los informes sobre conversaciones recientes y en curso pueden retrasarse, dependiendo de los tiempos de espera. Por el contrario, sFlow envía prefijos y contadores de paquetes recopilados en tiempo real. Si le preocupa la latencia inferior a un minuto (y sus herramientas de monitoreo/análisis la respaldan), sFlow puede ser la mejor opción.

Tipos y extensiones de NetFlow

Flujo de red flexible y IPFIX Proporciona la posibilidad de tener plantillas extensibles por el proveedor para modificar el conjunto de campos de paquetes de interés. NetFlow v9 e IPFIX también agregan la capacidad de monitorear la capa 2 campos. NetFlow muestreado aleatoriamente agrega la opción de realizar muestreo a NetFlow (el muestreo es obligatorio en sFlow).

Ver también: sFlow: guía definitiva para sFlow y analizadores de sFlow

Los mejores analizadores y recopiladores de NetFlow

Cuando su red crece hasta el punto de que resulta complicado ver lo que sucede, las herramientas que aprovechan NetFlow pueden ser la solución.

Nuestra metodología para seleccionar analizadores y recolectores NetFlow

Revisamos el mercado de analizadores y recolectores NetFlow y analizamos las opciones según los siguientes criterios:

  • Un sistema que puede muestrear, capturar o resumir paquetes que pasan.
  • La capacidad de comunicarse con otros sistemas de captura de paquetes como sFlow y J-Flow, no solo con NetFlow
  • Alerta de umbral de capacidad de ancho de banda
  • Informes de estadísticas en vivo con interpretaciones gráficas de datos.
  • Herramientas de planificación de capacidad e investigación de cuellos de botella
  • Una prueba gratuita para una evaluación sin riesgos o una herramienta gratuita
  • Un buen conjunto de utilidades de pago o una herramienta gratuita que vale la pena instalar.

A continuación, analizamos varias herramientas populares de análisis y monitoreo de red basadas en NetFlow para Windows. Todos son sofisticados y tienen una curva de aprendizaje considerable; por lo que la formación online y un buen soporte son fundamentales.

1. Analizador de tráfico SolarWinds NetFlow(PRUEBA GRATIS)

ElAnalizador de tráfico SolarWinds NetFlow(NTA) es un monitor de ancho de banda que maneja no solo el Cisco Netflow original sino también muchas de sus variantes de otros fabricantes, así como la principal alternativa de NetFlow, sFlow.

Una vez instalado, NTA le ofrece una amplia gama de funciones sofisticadas para gestionar redes de múltiples proveedores. Cuenta conmonitoreo de ancho de banda,Análisis de tráfico,análisis de rendimiento,alertas,informes personalizables,optimización de políticas, y más.

Captura de pantalla que muestra el panel principal de SolarWinds Orion, con el menú del Panel mostrado
Las pantallas de NetFlow Traffic Analyzer se enumeran en Paneles

El analizador de tráfico NetFlowrecopila datos de flujo exportados por los dispositivos habilitados para flujorastreado por el software de monitoreo de red SolarWinds.

Características clave:

  • Seguimiento de capacidad de ancho de banda
  • Monitor de patrón de tráfico
  • NetFlow, IPFIX, J-Flow, sFlow, NetStream, CFlow y RFlow
  • Seguimiento de la calidad del servicio
  • Analizador de protocolo NBAR
Captura de pantalla que muestra el resumen predeterminado de NetFlow Traffic Analyzer
Resumen predeterminado de NTA

El resumen predeterminado de NetFlow Traffic Analyzer tiene varias secciones como Las 5 mejores aplicaciones , Los 5 puntos finales principales , Las 5 conversaciones principales , 10 fuentes principales por porcentaje de utilización , etc.

Captura de pantalla de NetFlow Traffic Analyzer que muestra gráficamente las principales aplicaciones
Observando los patrones de tráfico a lo largo del tiempo

Como analizador de flujo, NTA identifica los usuarios, aplicaciones y protocolos que consumen la mayor cantidad de ancho de banda. Puede ordenar por puertos, origen, destino y protocolos, y ver patrones de tráfico durante minutos, días o meses.

Ventajas:

  • Excelente interfaz de usuario, fácil de navegar y permanece ordenada incluso cuando se usa en redes de gran volumen
  • Admite múltiples tecnologías de red, como Cisco Netflow, Juniper Networks J-Flow y Huawei Netstream, lo que la convierte en una solución independiente del hardware.
  • Las plantillas prediseñadas le permiten obtener información de la captura de paquetes de inmediato
  • Se instala en Windows y en múltiples versiones de Linux.
  • Diseñado para la empresa, ofrece funciones de seguimiento y monitoreo de SLA

Contras:

  • Creado para empresas empresariales que procesan una gran cantidad de datos, no es la mejor opción para redes LAN pequeñas o usuarios domésticos.

Si tiene una red sofisticada con dispositivos habilitados para NetFlow, vale la pena explorar las capacidades de NTA. Para obtener detalles sobre NTA, consulte nuestroRevisión del analizador de tráfico SolarWinds NetFlow. También puedes iniciar unPrueba gratuita de 30 días.

SELECCIÓN DEL EDITOR

Analizador de tráfico SolarWinds NetFlowes nuestra mejor elección para un analizador y recopilador NetFlow porque también puede recopilar datos de tráfico con los protocolos utilizados por otros fabricantes, como J-Flow de Juniper Networks y NetStream de Huawei. Esta herramienta puede rastrear el rendimiento de las redes inalámbricas y las virtualizaciones de VMWare vSphere. Las instalaciones dentro de la NTA le permiten implementar medidas de configuración del tráfico y obtener el mejor valor de los recursos de su red existente, sin comprometer la calidad del servicio.

Descargar:Obtenga una prueba GRATUITA de 30 días

Sitio oficial:https://www.solarwinds.com/netflow-traffic-analyzer/registration/

TÚ:Servidor de windows

2. Analizador ManageEngine NetFlow (PRUEBA GRATUITA)

ElAnalizador ManageEngine NetFlowProporciona visibilidad en tiempo real del ancho de banda de la red y los patrones de tráfico. La herramienta visualiza el tráfico por aplicaciones, conversaciones, protocolos, etc.Las alertas se pueden configurar en función de los umbrales de tráfico.. Hay una variedad de informes predefinidos útiles, que van desde la resolución de problemas orientados a la planificación de capacidad y facturación. Se pueden crear informes de búsqueda personalizados.

captura de pantalla del panel de ManageEngine
Panel de control de ManageEngine NetFlow Analyzer

NetFlow Analyzer tiene un conjunto de herramientas orientadas a NetFlow para gestionar redes complejas. La interfaz de usuario basada en web tiene un panel predeterminado con varios gráficos circulares en tiempo real, incluido un mapa de calor que muestra el estado de las interfaces monitoreadas, las principales aplicaciones, los principales protocolos, las principales conversaciones, las alarmas recientes, la mejor calidad de servicio y más.

Características clave:

  • Análisis de tráfico
  • Alertas de problemas
  • Seguimiento de la calidad del servicio

Al pasar el cursor sobre un gráfico generalmente aparece una ventana emergente explicativa y al hacer clic en cualquier gráfico se accede a más detalles sobre el elemento seleccionado. HayPantallas específicas para detectar problemas de seguridad.. Los paneles son personalizables.

captura de pantalla de ManageEngine NetFlow Analyzer que muestra alertas actuales y mensajes de estado de seguridad
ManageEngine Alertas y estado de seguridad

Las alertas aparecen como ventanas emergentes en la interfaz de usuario. Se puede analizar el tráfico de múltiples sitios; Hay una aplicación para teléfonos inteligentes para monitoreo y alertas móviles.

Las tecnologías de flujo admitidas incluyenflujo neto,IPFIX,Flujo J,NetStreamy varios otros. La herramienta aprovecha las funciones avanzadas de los dispositivos Cisco, incluida la compatibilidad para ajustar la configuración del tráfico y las políticas de QoS en su red.

Ventajas:

  • Admite múltiples protocolos como NetFlow, excelente para monitorear equipos Cisco
  • Ambas herramientas funcionan bien juntas para ayudar a ver los patrones de tráfico y el uso del ancho de banda.
  • La interfaz fácil de usar resalta automáticamente los consumos de ancho de banda y otros valores atípicos del tráfico de red.
  • Escale bien, diseñado para redes empresariales grandes
  • Puede ver el tráfico por salto, lo que permite un análisis granular del tráfico.

Contras:

  • Creado para uso empresarial, no diseñado para redes domésticas pequeñas

ElAnalizador ManageEngine NetFlowproporciona una gama de capacidades para gestionar redes complejas haciendo un uso intensivo de NetFlow. La versión gratuita permite un monitoreo ilimitado durante 30 días, pero luego vuelve a monitorear solo dos interfaces. ManageEngine tiene varios productos relacionados para expandirse más allá del análisis de datos orientado al tráfico de NetFlow hacia una suite completa de administración de redes. Descargar elPrueba gratuita de 30 días.

ManageEngine NetFlow Analyzer Descargue una prueba GRATUITA de 30 días

3. Monitoreo del tráfico de red Site24x7 (PRUEBA GRATUITA)

El monitoreo del tráfico de red Site24x7 es una basado en la nube analizador de tráfico que forma parte de varios paquetes de gestión del sistema. Site24x7 ofrece monitoreo de infraestructura, administración de sitios web, un monitor de rendimiento de aplicaciones y un sistema para proveedores de servicios administrados.

Esta herramienta proporciona monitoreo del tráfico de la red en vivo y también almacena datos para la planificación de capacidad y el análisis de tendencias. Como servicio en la nube, se accede al panel a través de cualquier navegador web estándar . Todo el procesamiento del servicio se realiza en los servidores de Site24x7, pero también es necesario que haya un agente instalado en el sitio.

Estado de monitoreo de Site24x7 NetFlow

Características clave:

  • Servicio basado en la nube
  • Empaquetado con otros monitores del sistema
  • Alertas por problemas del sistema

El monitor Se comunica con conmutadores de red. a través de una serie de protocolos. Estos incluyen NetFlow, sFlow, J-Flow, IPFIX, CFlow, NetStream y AppFlow. El sistema extrae estadísticas de tráfico y también puede muestrear encabezados de paquetes. La información extraída del tráfico permite al monitor de tráfico identificar el tráfico por aplicación, por origen y destino, y por cuenta de usuario. El sistema puede comunicarse con los dispositivos de red suministrados por más de 200 proveedores .

Además de detectar tráfico excesivo, el analizador muestra gráficos de series temporales y puede identificar las horas pico. Esta información permite a los administradores de red exprimir valor extra agotar los recursos existentes trasladando tareas no urgentes, como procesos de administración de lotes, a períodos del día menos ocupados.

Conversión de dispositivos NetFlow de Site24x7

La información que muestra el sistema de monitoreo de red es capaz de para trazar cargas de tráfico enlace por enlace y también de extremo a extremo a través de la red. Es capaz de detectar cuellos de botella y ayudar en las medidas de configuración del tráfico, como las colas y la priorización.

El monitor impone umbrales de rendimiento que se establecen en niveles que dan tiempo para solucionar los problemas. Si se supera un umbral, el servicio genera una alerta. Esto se muestra en la consola del sistema y también se puede enviar al personal clave como correo electrónico, SMS o llamadas de voz.

Ventajas:

  • Tiene una de las mejores interfaces de usuario entre analizadores NetFlow similares.
  • Cuenta con una aplicación móvil tanto para Android como para iOS.
  • Puede medir y detectar latencia, fluctuación y rendimiento a lo largo del tiempo, lo que la convierte en una solución viable a largo plazo para el monitoreo de ping.
  • Se puede integrar y monitorear hasta 200 dispositivos de proveedores diferentes
  • La versión gratuita admite hasta hosts, lo que la convierte en una excelente opción de introducción para empresas más pequeñas.

Contras:

  • Site24x7 es una plataforma con muchas funciones que puede tomar tiempo para aprender completamente todas sus funciones y opciones de personalización.

El servicio de monitorización del tráfico de red está incluido en el Monitoreo del sitio web plan, que se ofrece en cuatro ediciones y la más barata comienza en $ 9 por mes. También está incluido en el Infraestructura paquete, que también comienza en $9 por mes. Site24x7 ofrece una Monitor de rendimiento de aplicaciones (APM), que incluye el monitor de tráfico de red y comienza en $35 por mes.

Un Todo en uno El paquete de Site24x7 ofrece todos los servicios incluidos con todos sus otros paquetes y eso incluye el sistema de monitoreo de tráfico. Ese plan está disponible en cuatro ediciones, y la más barata cuesta 35 dólares al mes. Un MSP El plan, que es una versión multiinquilino del plan Todo en Uno, incluye el monitor de tráfico de red y su precio comienza en $45 por mes. Todos los planes y ediciones de Site24x7 están disponibles para Pruebas gratuitas de 30 días .

Monitoreo del tráfico de red Site24x7 Inicie una prueba GRATUITA de 30 días

4. Monitor de red Paessler PRTG (PRUEBA GRATUITA)

ElMonitor de red Paessler PRTGes una solución “pilas incluidas” quemonitorea la utilización del ancho de banda, eldisponibilidady el estado de los dispositivos en su red, y más. PRTGpuede monitorear múltiples sitios,POR,vpn, yservicios en la nube. La versión gratuita proporciona sensores ilimitados durante un mes y, posteriormente, está limitada a 100 sensores; un sensor es un flujo de datos individual, por lo que cada dispositivo normalmente requerirá varios sensores.

Captura de pantalla de PRTG que muestra el árbol de dispositivos y los sensores asociados con cada dispositivo
Árbol de dispositivos PRTG

En la interfaz de usuario de PRTG, unLa vista principal es el árbol de dispositivos que muestra todos los dispositivos en su red y los sensores que monitorean cada uno.. Los dispositivos incluyen firewalls, enrutadores, puntos de acceso, servidores, estaciones de trabajo, servidores virtuales, almacenamiento, etc. El árbol de dispositivos se complementa con vistas de tablas de sensores, registros y alarmas, así como varios cuadros y gráficos de ancho de banda, etc. ser clasificados y filtrados.

Características clave:

  • Paquete de monitoreo personalizable
  • NetFlow, IPFIX, sFlow y J-Flow
  • Alertas

Al profundizar en la vista de árbol se revelan indicadores y métricas en todos los niveles. Configuraciones, comointervalo de escaneo, se heredan y se pueden anular en niveles inferiores del árbol de dispositivos.Las alertas también se pueden configurar en todos los niveles., para que pueda recibir notificaciones sobre eventos y transiciones de umbral de un dispositivo crítico en particular, o información acumulada desde un aspecto general de su red. Las alertas se pueden transmitir de varias formas, incluido el correo electrónico SMTP y los mensajes de texto SMS.

La abstracción de dispositivos y sensores también da forma a los paneles y a los informes. Se pueden crear paneles personalizados, incluidos mapas interactivos. Existe una variedad de informes predefinidos y funciones para diseñar informes personalizados; También se pueden programar informes.

Captura de pantalla de PRTG que muestra la pantalla del sensor NetFlow: principales conversadores, principales conexiones, etc.
Sensor PRTG NetFlow

Las funciones de análisis de tráfico incluyen soporte NetFlow integrado. Para los protocolos de flujo, PRTG admite NetFlow, sFlow y J-Flow. Otros protocolos/mecanismos utilizados incluyen SNMP, WMI y detección de paquetes. Paessler llama “sensores” a estos sistemas de detección, como el colector NetFlow.

La instalación es sencilla. Hay un asistente de configuración, así como un vídeo que proporciona orientación paso a paso. Durante la instalación, la sonda local del servidor central realiza un descubrimiento automático para identificar dispositivos y configurar sensores. Se pueden agregar sensores adicionales (incluidos los colectores NetFlow) manualmente; un vídeo proporciona instrucciones.

El servidor central es sólo Windows. El monitoreo de un solo sitio se puede realizar a través de la aplicación web, pero la vista simultánea de múltiples servidores centrales requiere el uso de la aplicación empresarial en Windows. También se proporciona una aplicación móvil. Una adición inteligente es que PRTG proporciona códigos QR que se pueden pegar en dispositivos particulares para una búsqueda rápida y el estado en la aplicación móvil. PRTG admite la agrupación en clústeres para la tolerancia a fallos: puede configurar instancias de conmutación por error del monitor.

Ventajas:

  • Diseñado para ser una herramienta de monitoreo de infraestructura que admite múltiples tipos de sensores, como NetFlow, sFlow y J-Flow.
  • Ofrece monitoreo adicional en la misma plataforma, lo que respalda el monitoreo del rendimiento de la infraestructura, la red y las aplicaciones.
  • Captura únicamente encabezados de paquetes, ayuda a acelerar el análisis y mantiene bajos los costos de almacenamiento para la recopilación a largo plazo.
  • Utiliza gráficos simples pero intuitivos para la visualización del tráfico.

Contras:

  • Plataforma muy detallada: lleva tiempo aprender y utilizar plenamente todas las funciones disponibles.

Aunque PRTG es todo en uno, por lo que no necesita múltiples productos y licencias para obtener un monitoreo integral, una pregunta clave a evaluar es cuántos sensores necesita su red y cuál será el costo a largo plazo de la tecnología basada en sensores. modelo de licencia a medida que crece. Para evaluar, puede descargar unPrueba gratuita de 30 días.

Paessler PRTG Network Monitor Descargue una prueba GRATUITA de 30 días

Publicación relacionada: Las mejores herramientas de monitoreo J-Flow de Juniper Networks

5. Nprobe y ntopng

ntopng es una herramienta de análisis de tráfico basada en web de código abierto que realiza un monitoreo pasivo de la red basándose en datos de flujo y estadísticas extraídas del tráfico observado. ntopng hace que el paquete se capture a sí mismo; para recibir datos de flujo depende de sonda , un exportador/recolector de NetFlow/IPFIX. Los protocolos de flujo incluyen NetFlow v9, IPFIX y NetFlow-lite .

La versión comunitaria de ntopng es gratuita. Las versiones profesional (pequeñas empresas) y empresarial requieren un Licencia pagada , pero son gratuitos para organizaciones educativas y sin fines de lucro. nProbe se puede probar de forma gratuita, pero una versión totalmente funcional requiere una licencia paga. Por lo tanto, el uso de los datos de NetFlow es limitado (a menos que califique para obtener una licencia gratuita).

Captura de pantalla de ntopng que muestra la lista de flujos y sus características
flujos ntopng

Características clave:

  • Versión gratuita
  • NetFlow e IPFIX
  • Mapeo de red

La interfaz de usuario basada en web de ntopng agrupa los datos en tráfico (por ejemplo, los que más hablan), flujos, hosts, dispositivos e interfaces. La mayoría de las categorías tienen múltiples vistas, una combinación de cuadros, tablas y gráficos; y en cada uno puedes profundizar para explorar en profundidad y hacer referencias cruzadas. Las tablas se pueden ordenar; por ejemplo, al seleccionar la columna de rendimiento en la tabla de flujos se muestran los principales usuarios de ancho de banda actuales.

Captura de pantalla de ntopng que muestra la geolocalización de hosts en un mapa
geolocalización del host ntopng

La pantalla de flujo muestra los protocolos de aplicación (p. ej. Facebook, YouTube). Se muestran las latencias y las estadísticas de TCP (por ejemplo, pérdida de paquetes). Los hosts/direcciones IP observados se pueden mostrar en un mapa mediante geolocalización. Las alertas se pueden configurar en los hosts según muchos criterios y aparecerán como un ícono en la interfaz de usuario.

La versión profesional puede guardar y mostrar estadísticas históricas de uso de aplicaciones, realizar monitoreo activo a través de SNMP, generar informes de tráfico personalizados y varias otras funciones adicionales.

El paquete de instalación para ntopng y nProbe es un archivo zip que contiene un asistente de instalación estándar de Windows. El instalador instalará winpcap (para detectar paquetes) si es necesario.

Ventajas:

  • Herramienta de código abierto, altamente personalizable
  • Admite múltiples protocolos de flujo
  • Gran opción para Unix/macOS
  • Opciones gratuitas para educación y organizaciones sin fines de lucro.

Contras:

  • Tiene una curva de aprendizaje pronunciada, especialmente para usuarios no técnicos.
  • La versión completamente funcional está detrás de un muro de pago.

Dado que ntopng es de código abierto, existe un margen considerable para ampliarlo. Los datos se pueden exportar a MySQL, ElasticSearch y LogStash, donde se pueden combinar en los informes almacenados por su servidor syslog .

6. Escrutador Plixer

Escrutador Plixer es un sofisticado sistema de análisis de tráfico orientado al flujo con especial enfoque en análisis forense de seguridad (se llama 'Sistema de respuesta a incidentes Scrutinizer'). Es compatible tanto con NetFlow como con sFlow.

EscrutadorSe puede instalar como un dispositivo físico dedicado.,como una máquina virtual que se ejecuta en un servidor,ocomo solución SaaS que se ejecuta en la nube(público o híbrido). Es un sistema sofisticado, por lo que incluso la prueba gratuita en una máquina virtual exige recursos considerables (por ejemplo, 16 GB de RAM dedicados).

Captura de pantalla del escrutador
Panel de control del escrutador

Características clave:

  • Monitoreo de rendimiento y seguridad
  • NetFlow y sFlow
  • SaaS o in situ

Scrutinizer está diseñado para un alto rendimiento de red y escalabilidad desde entornos pequeños a muy grandes. Proporciona una amplia gama de funciones de análisis e informes.

La prueba incluye acceso completo durante 30 días. Después de eso, la versión gratuita tiene un límite de 10 000 flujos recopilados por segundo, se mantienen cinco horas de flujos sin procesar y se mantienen una semana de resúmenes históricos. La versión paga incluye notificaciones, personalización del panel, informes personalizados, informes programados por correo electrónico y soporte.

Ventajas:

  • Ofrece múltiples opciones de implementación
  • Diseñado para soportar grandes redes empresariales
  • Ofrece funciones adicionales de análisis de tráfico relacionadas con la seguridad.

Contras:

  • Utiliza una cantidad considerable de recursos del sistema.
  • Debe comunicarse con ventas para conocer los precios.
  • Curva de aprendizaje más pronunciada que herramientas similares en el mercado

El precio de la licencia depende de la plataforma elegida y del número de exportadores de flujo que se admitirán.

7. Analizador de flujo Noction

Analizador de flujo Noctionofrece tres estrategias principales a los administradores de redes. Estos son para monitorear y controlar utilización del ancho de banda , para implementar planificación de capacidad y para detectar y prevenir rendimiento de la red problemas.

El sistema tiene un frontal llamativo. Eres libre de elegir entre las opciones de tema Claro, Oscuro o Automático. Aquí, a continuación, puede ver la pantalla del Explorador de datos, que proporciona estadísticas detalladas del tráfico de la red tanto en gráficos como en formularios de informes. Las funciones 'Agrupar por', 'Filtros' y 'Dispositivos' están disponibles para centrar o ampliar la atención a los aspectos deseados del tráfico de red o nodos de red específicos. Puede ver los detalles del tráfico de la red y filtrar por protocolo, direcciones de origen y destino, puertos, VLAN, direcciones MAC L2, TOS, etiquetas MPLS, rutas AS, etc. Todas las consultas de datos se pueden guardar posteriormente como widgets y colocarse en paneles.

Panel del analizador de flujo de Noction

Se pueden configurar varios paneles en NFA. Estas son colecciones de gráficos que normalmente se agrupan por un propósito específico, por ejemplo, planificación de capacidad, lo que le permite ver tendencias y ciclos en los patrones de tráfico y le permite elegir qué estrategia de capacidad adoptar.

Alertas del analizador de flujo Noction
Alertas del analizador de flujo Noction

Características clave:

  • Seguimiento y planificación de capacidades
  • Análisis de ruta
  • Resúmenes de utilización del ancho de banda

El monitoreo de red El sistema le permite ver datos de tráfico en vivo con la posibilidad de examinar el tráfico en cada nodo o observar el tráfico de un extremo a otro entre dos puntos determinados.

Puedes configurar alertas en cualquiera de las métricas que recopila el analizador de flujo. Se trata de umbrales que activarán alertas cuando se superen. Estas alertas se pueden enviar a los técnicos por correo electrónico o Slack, por lo que el personal no necesita mirar el monitor de red a menos que se esté desarrollando un problema.

Ventajas:

  • Una atractiva interfaz basada en web
  • Monitoreo de tráfico en vivo
  • Análisis histórico de patrones de tráfico para la planificación de capacidad.
  • Utilidades de consulta de datos
  • Seguimiento de ancho de banda

Contras:

  • Debe estar alojado en su sitio y no está disponible para Windows

Noction Flow Analyzer es un paquete de software para instalar en ubuntu , CentOS , o RHEL Linux. El sistema crea un servidor web para acceder a las pantallas del sistema a través de cualquier navegador web estándar. A pesar de alojar el servicio usted mismo, no compra el software directamente. En cambio, pagas una suscripción, con una tarifa mensual o anual. Hay un servicio complementario, que consiste en recopilar Protocolo de puerta de enlace fronteriza datos de enrutamiento de Internet desde la puerta de enlace de la red. Puedes probar el sistema Noction en un prueba gratis .

8. Nagios XI y Nagios Core

Captura de pantalla de Nagios XI

Nagios es un estándar duradero en el monitoreo de redes. Nagios Core es la versión gratuita de código abierto y Nagios XI es la variante comercial económica con funciones adicionales y asistencia automatizada para la configuración. Nagios tiene fama de ser potente, fiable, escalable y extremadamente personalizable, además de complejo de configurar.

Características clave:

  • Versiones gratuitas y de pago
  • Ampliable con complementos gratuitos
  • Mide el tráfico a través de SNMP

La versión gratuita tiene una curva de aprendizaje pero también una comunidad activa. Supervisa servidores, servicios y aplicaciones, al igual que la versión comercial. Incluye informes por correo electrónico y SMS, una interfaz de usuario básica (incluido el mapa de red) e informes básicos.

Núcleo de Nagios

Nagios Core carece de descubrimiento automático y debes aprender a configurar y mantener configuraciones complejas. En el lado positivo, le brinda mucha flexibilidad para personalizar y ampliar la herramienta. Los complementos desarrollados por la comunidad pueden realizar descubrimientos y ayudarlo a comenzar con la configuración.

Puedes usar elprueba gratuita de 60 díaspara evaluar la versión por costo. Si elige utilizar la versión gratuita cuando finalice la prueba, puede guardar los archivos de configuración generados automáticamente desde |_+_| antes de desinstalar su copia de evaluación. Luego puede utilizar esos archivos como punto de partida para la configuración de su nueva instalación.

La versión comercial de Nagios XI tiene una gama más amplia de funciones, incluido soporte automatizado para descubrir sus dispositivos y hosts, configuración automática de la herramienta y complementos con soporte comercial. Tiene una interfaz de usuario mucho más sofisticada y informes más avanzados que cubren tendencias, asistencia para la planificación de capacidad, etc.

Nagios XI está diseñado para ejecutarse en Red Hat Linux y CentOS. Para Windows, utilice un dispositivo VM con Hyper-V o VMware. Incluye una herramienta de descubrimiento automático y un asistente de configuración para agregar un nuevo dispositivo, host o aplicación.

Captura de pantalla que muestra el Panel de operaciones, que podría mostrarse en un centro de operaciones
Panel de operaciones de Nagios

Una vez instalado y monitoreado Nagios XI, el Pantalla de operaciones le brinda una vista de alto nivel del estado actual de la red y el Centro de Operaciones le permite profundizar en los elementos mencionados.

Captura de pantalla que muestra la pantalla de estado del host de Nagios que resume los estados de los hosts
Estado del host de Nagios

ElEstado del anfitriónLa página muestra un resumen de métricas para los hosts monitoreados. Puede profundizar en un host individual para ver detalles, incluidos gráficos de rendimiento, información de planificación de capacidad, alarmas, etc.

Captura de pantalla de Nagios que muestra el estado de los servicios que se están monitoreando
Estado del servicio Nagios

ElEstado del servicioLa página resume el estado de los servicios monitoreados.

Ventajas:

  • Ofrece una versión gratuita de código abierto junto con una versión paga.
  • El precio se basa en la cantidad de exportaciones de flujo, lo que la convierte en una opción flexible.
  • Informes detallados y opciones de alertas

Contras:

  • La configuración puede ser confusa y menos intuitiva que otras herramientas
  • Puede resultar complicado trabajar con la interfaz, especialmente al instalar la herramienta por primera vez.

Nagios es una solución reconocida para el monitoreo de redes. Al igual que con otras herramientas que ofrecen una compensación entre la versión totalmente gratuita y la versión comercial, debe decidir si tiene (o desarrollará) la experiencia y el tiempo para utilizar la herramienta gratuita, o si sería más rentable pagar por la automatización. y soporte de la versión comercial.

9. Toque Detectar

Haga clic en Detectar , a diferencia de las herramientas de análisis de tráfico anteriores, es un sistema puro de software como servicio (SaaS). Como tal, ofrece la escalabilidad de la nube.

Las redes están creciendo y los recursos de red externos son más vitales para el éxito. Por lo tanto, los datos de tráfico se están convirtiendo en big data y las soluciones de big data basadas en la nube empiezan a tener sentido.

Kentik tiene como objetivo capturar los detalles de múltiples tipos de datos, proporcionar una vista unificada de todos ellos y proporcionar interfaces para acceder a los datos e integrarlos con otros sistemas. Kentik Detect se compone de un almacén de datos de series temporales personalizado de alta disponibilidad (Kentik Data Engine) y una interfaz de usuario (Kentik Portal). Los protocolos incluyen Netflow, IPFIX, sFlow, SNMP y BGP.

Captura de pantalla de un tablero en Kentik Detect
Un panel de Kentik Detect

Características clave:

  • Paquete SaaS
  • NetFlow, sFlow, IPFIX y SNMP
  • Explorador de datos

Kentik Portal es una interfaz basada en web (por supuesto) y proporciona una gama cada vez mayor de paneles configurables.

Captura de pantalla que muestra un panel de descripción general del tráfico de Kentik Detect
Panel de control general del tráfico de Kentik

El Explorador de datos permite la exploración ad hoc de los datos de red recopilados. Puede profundizar y filtrar rápidamente potencialmente miles de millones de registros, obteniendo vistas en forma de tablas y gráficos.

Captura de pantalla que muestra el panel de Kentik Detect para establecer una política que puede activar una alerta.
Establecer políticas para configurar alertas

Se pueden configurar alertas para notificarle sobre condiciones inusuales creando políticas que definan cuándo una alerta entrará en estado de alarma. Las alertas se pueden enviar por varios medios, incluido el correo electrónico, Slack, buscapersonas, etc.

Ventajas:

  • Utiliza una combinación de informes en vivo y gráficos simples para mostrar métricas de NetFlow
  • Los filtros son intuitivos y le permiten ver rápidamente los datos históricos recopilados.
  • Admite múltiples protocolos NetFlow

Contras:

  • Sólo disponible en formato SaaS
  • La interfaz de usuario del Portal Kentik sería más fácil de usar

Enrolla el tuyo

Quizás ninguno de los analizadores NetFlow preempaquetados anteriores sea lo suficientemente personalizable o potente para satisfacer sus necesidades. Tal vez esté seguro de que puede hacerlo mejor o simplemente quiera experimentar analizando los datos usted mismo. Hay varios paquetes disponibles para la captura y análisis de datos de series temporales que hacen que esto sea bastante factible. Varios son software gratuito de código abierto; algunos no lo son. Algunos se pueden integrar con analizadores preempaquetados, como Plixer y ntopng.

Aquí hay algunas posibilidades para comprobar.

Splunk

Captura de pantalla de Splunk Enterprise 8.0

Splunk es un paquete económico para buscar, monitorear y analizar/visualizar big data. Splunk captura datos en tiempo real y proporciona instalaciones basadas en web para análisis y visualización. Splunk tiene un complemento para NetFlow y uno para IPFIX.

Características clave:

  • Procesador de datos flexible
  • Fuentes NetFlow e IPFIX
  • Construye tu propio analizador

El ELK / pila elástica

El ALCE Pila -Elasticsearch, Logstash y Kibana– es un conjunto de herramientas de análisis de código abierto que normalmente se utiliza con datos que se asemejan a mensajes de registro. Elasticsearch es un popular motor de análisis y búsqueda distribuido. Logstash es un motor de recopilación de datos y análisis de registros. Kibana es un panel de visualización de datos basado en navegador para análisis y búsqueda. Logstash incluye un códec para procesar múltiples versiones de datos de NetFlow.

Características clave:

  • Versión gratuita
  • Un conjunto de recopiladores y analizadores de datos.
  • Sin búsquedas escritas previamente

Varios grupos han utilizado ELK Stack con NetFlow. Cisco tiene un guía por hacerlo, y hay varios otros artículos en línea. La gente ha construido sistemas utilizando ELK Stack con otros componentes populares, como el Riemann Herramienta de alerta y monitoreo de sistemas distribuidos. Una alternativa a logstash es fluido .

Telégrafo, Influxdb, Cronógrafo, Condensador

datos de afluencia TICK Stack de TICK Stack (Telegraf, Influxdb, Chronograf y Kapacitor) es un conjunto de herramientas de código abierto basadas en Go para capturar, monitorear y analizar/visualizar datos de métricas de series temporales. Telegraf recopila métricas de rendimiento; InfluxDB es una base de datos de series temporales; Chronograf realiza una visualización en tiempo real de los datos de InfluxDB, y Kapacitor es un motor de procesamiento de datos por lotes/transmisión que puede monitorear y alertar de las vistas de datos de InfluxDB. El TICK Stack se ha utilizado con estadísticas de red de sFlow y SNMP.

Características clave:

  • Administrador de datos
  • Puede buscar datos de sFlow
  • Gratis para usar

Otra herramienta poderosa, a veces utilizada con Influxdb es Grafana , un paquete de código abierto para visualización y análisis de series temporales. Grafana es análogo a Kibana, pero mientras Kibana está orientado a mensajes de registro, Grafana está orientado a métricas.

Elegir un analizador o recopilador NetFlow

La siguiente tabla muestra un resumen de cada una de estas opciones.

1. Analizador de NetFlow en tiempo real de SolarWinds
 Descarga gratis ventanasSOHO
2. Analizador de tráfico SolarWinds NetFlow
 Prueba gratis ventanasPymes a grandes empresas
3. Paessler PRTG Prueba gratis

Herramienta económica con edición inicial gratuita para tiendas pequeñas		ventanasPymes a grandes empresas
4. Analizador ManageEngine NetFlow Prueba gratis

Herramienta económica con edición inicial gratuita para tiendas pequeñas		ventanas, linuxPymes a grandes empresas
5. Nprobe y ntopngPor costo (a menos que sea sin fines de lucro)ventanas, linuxPymes a grandes empresas
6. Escrutador PlixerHerramienta económica con edición inicial gratuita para tiendas pequeñasDispositivo de hardware, máquina virtual Windows o Linux, SaaSPymes a grandes empresas
7. Nagios XI y NúcleoHerramienta gratuita de código abierto o herramienta de pago con soporte/mejorasLinux o Windows en un dispositivo VMPymes a grandes empresas
8. Toque DetectarHerramienta de costoSaaSPymes a grandes empresas
9. ¿Qué pasa con el oro?
Herramienta económica con edición inicial gratuita para tiendas pequeñas
ventanasPymes a grandes empresas
10. Enrolla el tuyoComponentes, de código abierto gratuitos o de pagoVaríaPymes a grandes empresas

Se encuentran disponibles múltiples herramientas excelentes para monitoreo de red y análisis de tráfico. Las organizaciones pequeñas tienen una variedad de opciones gratuitas y las organizaciones grandes o en crecimiento tienen muchas opciones económicas.

En los últimos años, las soluciones de código abierto se han implementado ampliamente para muchos tipos de software de redes y también para aplicaciones de seguridad de redes y empresas. Una ventaja de los proyectos de código abierto es que cualquiera puede leer el código que impulsa el software. Mediante esa consulta, puede estar seguro de que no hay ningún código malicioso oculto dentro del programa.

Por lo general, los proyectos de código abierto son mantenidos por voluntarios. La ventaja del software desarrollado por entusiastas es que se puede regalar de forma gratuita. La desventaja de esta configuración es que las herramientas gratuitas no están administradas profesionalmente y pueden contener errores. La falta de ingresos del software libre significa que las organizaciones que lo mantienen no tienen los fondos para mantenerse al día con los estándares de seguridad o solucionar problemas con el código.

Cuando considere utilizar software de código abierto para el monitoreo y análisis de la red, consulte los paquetes que le interesen y pruébelos minuciosamente antes de comprometer la red con ellos. Considere pagar por herramientas de análisis de red para obtener un rendimiento garantizado y también soporte de las organizaciones comerciales que proporcionan ese software pago.

Cualquiera que quiera contribuir con el esfuerzo de aprender tiene una caja de herramientas de componentes potentes que puede utilizar para desarrollar su propia solución. Su elección final depende del tamaño y la complejidad de su red, la experiencia que aporta (o desea desarrollar) y cómo espera que evolucione su red en el futuro.

Preguntas frecuentes sobre las herramientas de análisis y recopilación de Netflow

¿Cuál es la diferencia entre SNMP y NetFlow?

ElProtocolo Simple de Manejo de Red(SNMP) yflujo netoHay dos estándares para consultar equipos de red.

SNMP se utiliza más habitualmente para comprobar el rendimiento de los equipos de red, mientras que NetFlow permite recopilar información sobre el tráfico de red que pasa por el dispositivo.

¿Cuál es la mejor alternativa a ntopng?

el librentopnges una herramienta de captura de paquetes que permite ordenar y agrupar datos de encabezado para obtener estadísticas sobre el tráfico de la red. Wireshark es una buena alternativa de uso gratuito y tiene capacidades básicas de clasificación de paquetes y análisis de encabezados en su visor de datos.

¿Cómo cambio el puerto MySQL en NetFlow Analyzer desde 13310?

NetFlow Analyzer es una herramienta proporcionada por ManageEngine. Para cambiar el puerto MySQL utilizado por la herramienta de 13310 a otro puerto,necesitas editar el archivo mysql-ds.xml, que se encuentra en el/servidor/predeterminado/implementardirectorio. busca la lineajdbc:mysql://localhost:13310/netflowy cambie ese 13310 por el número del puerto que desea utilizar.

^