Comments 7
Удивительно хабра больше нет но статьи откудато "материализуются".
Спасибо за статью. Подскажите, вы сравнивали этот инструмент с elastiflow? Мы активно используем его, однако для нас это довольно "дорого" с точки зрения ресурсов инфраструктуры: нужно держать довольно жирную инсталляцию, так как под капотом elastic.
Однако основное отличие, почему мы его используем - возможность детально смотреть источник/назначение в развертке по ip-адресам и портам (удобно, например, для детектирования ддосов конкретно в нашем сценарии). Есть ли подобный фунционал тут?
Добрый день!
ElastiFlow похожий продукт, единственное отличие на мой взгляд это другая подкапотная начинка. Жаль что конечно что он теперь в архиве и как теперь принято в OpenSource - было бесплатным, стало платным.
Akvorado тоже прожорлив до ресурсов, на данный момент имеется инсталляция с примерно такими спецификациями (16 vCPU, 32 GB RAM, 3 TB SSD). Если следить за таблицами в Clickhouse можно экономить место и не хранить например старые данные.
В Akvorado есть поля SrcPort и DstPort в случае когда приходится поискать по-конкретному можно так же использовать SrcAddr и DstAddr + есть возможность выбрать протокол через поле Proto.
1) В эластифлоу "из коробки" идут готовые темлейты к кибане, в акворадо есть что-то похожее, но приходится настраивать самому.
2) Функциональность веб-интерфейса в кибане ощутимо выше, чем в акворадо. За возможности стека ELK расплачиваемся ресурсами.
3) Значительно умерить аппетиты на требование к серверу как для эластифлоу, так и акворадо может сэмплирование флоу.
4) Акворадо полностью бесплатный.
Акворадо умеет сопоставлять IP к AS без наличия поля as origin в flow-данных?
Приветствую! Не буду врать, точно сказать не могу. Единственный момент что принадлежность страны он определяет через проверку префикса в IPinfo.
Замолвите словечко за akvorado