rzerda25 сен 2018 в 07:54

Собираем NetFlow дёшево и сердито

3 мин

24K

Сетевые технологии * Системное администрирование *

Комментарии 9

oldbay 25 сен 2018 в 09:09

«Я тебя слепила из того что было.»

rt3879439 25 сен 2018 в 11:29

Потыкайте палочкой ntopng.

Sleuthhound 25 сен 2018 в 15:41

Ntopng Community версия урезана по функционалу, в свое время испытывал ее.

sohmstyle 25 сен 2018 в 19:58

А пробовали SiLK от CERT?
У меня не было большого опыта сравнения производительности с другими коллекторами, но если делать запросы к записям с суммарным объёмом под 100 GB, то rwfilter думает иногда долго. Но этот анализатор больше под консоль заточен, поэтому не всем подойдёт.

rzerda 26 сен 2018 в 09:26

Нет, не пробовал. Запросы и в моей схеме работают не очень быстро, особенно если спросить что-нибудь нетривиальное (да и процессора на ClickHouse я несколько пожалел). Но меня подкупили интерфейсы (бинарный формат для потоков и SQL для запросов), а также возможность менять хранилище или даже использовать несколько одновременно. В ЛС мне подсказали про pmacct, который тоже умеет писать в Kafka и AMQP, но и его я не смотрел ещё.

В этой истории меня сейчас больше беспокоит представление информации. Например, в Prometheus/Grafana вызывающе легко набросать ad-hoc график и посмотреть нужное без опоры на заранее созданные дашборды. Писать SQL даже по одной простой таблице посложнее, особенно если делаешь это нечасто.

rzerda 26 сен 2018 в 09:21

del

Vetal130 27 сен 2018 в 15:43

Ссылка на github с кодом будет?
Спасибо

rzerda 27 сен 2018 в 15:50

Нет; код страшный, под комтайной, а единственная реакция на ошибки — «падай, systemd переподнимет».

Автор GoFlow разместил пример использования, его при необходимости вполне можно творчески переосмыслить: github.com/cloudflare/flow-pipeline.

Begetan 12 авг 2019 в 15:23

Попал сюда в надежде увидеть рабочий код Netflow — ClickHouse, но увы, нет. Жаль.

Зарегистрируйтесь на Хабре, чтобы оставить комментарий