Анализ NetFlow v.9 Cisco ASA с помощью Logstash (ELK)

[doti]

А вы не рассматривали возможность анализа уже существующих netflow 9 данных?
Например «залить» их в какую-то парку и оттуда проанализировать?

[mypomacca]

doti, да, рассматривал. Запарсить не сложно, но, ELK имеет очень сильную сторону — сбор и фильтрацию всех получаемых данных.

[pavelkolodin]

Автор картинку рисовал наверное дольше, чем делал решение.

[mypomacca]

pavelkolodin, все рисунки были взяты из поисковика google, решение искал долго, пришлось связываться с разработчиками.

[igor_suhorukov]

Спасибо за обучающий материал по netflow+logstash

[mypomacca]

Спасибо за ваш отзыв!

[Faight]

А где собственно анализ? Графики в kibana?

[mypomacca]

Faight, все доступные графики и таблицы есть в kibana, там также существует возможность править потоки для дальнейшего корректного отображения. Могу сказать, что есть еще 4 человека, которые допиливают шаблоны kibana для NetFlow v.9, как только появится информация — я обязательно добавлю к основному материалу. Если, кто-то найдет данную информация раньше, пусть скидывает мне в личку.

[Faight]

Отлично, буду ждать. Попробую выкроить время для ознакомления с netflow в ELK. У себя пока его для сетевых железок + voip в основном использую.

[aremdae]

С плагином для netflow не все так прозрачно. Например, устройства на платформе IOS XR будут слать netflow в flowset с id=260, как раз тем, который у вас в посте по заверениям logstash не имеет подходящего шаблона. А в этом flowset содержится вся полезная информация: количество октетов, адреса, протокол, порты и т. д. Эта проблема встречается на многих устройствах Cisco и с другими flowset id. Мне в сети найти подходящие шаблоны не удалось, а с руби, к сожалению, я не знаком.

[mypomacca]

OpManager позволяет неплохо рисовать статистику и вести анализ NetFlow v.9, так-то он платный… НО, есть бесплатная версия на два интерфейса.