Выпуск Netflow/IPFIX коллектора Xenoeye 23.1108.11.2023 23:30

Опубликован релиз Netflow/IPFIX коллектора Xenoeye 23.11, позволяющего собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v5, v9 и IPFIX, а также обрабатывать данные, генерировать отчёты и строить графики. Ядро проекта написано на языке С, код распространяется под лицензией ISC.

Коллектор агрегирует сетевой трафик по выбранным полям и экспортирует данные в PostgreSQL. По этим данным можно строить отчеты, графики (используя gnuplot, скриптами на Python + Matplotlib) или дашборды в Grafana. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов. Для подсчёта скорости трафика используются скользящие средние. В комплекте с коллектором идет пример скрипта Telegram-робота, который может оповещать в мессенджер о превышении скорости выше определённых порогов.

CFD0C5CECEC5D4_1699474742.png

Изменения в новой версии:

  • Добавлена возможность использовать GeoIP с помощью баз ipapi. Пользуясь функциями GeoIP можно создавать гео-объекты мониторинга (например, выделить весь трафик только России в отдельный объект мониторинга) и экспортировать данные с разбивкой по GeoIP. В коллекторе поддерживается детализация по странам, регионам и городам. Кроме этого, из IP адреса можно получить долготу и широту (хотя нужно понимать, что все это работает очень приблизительно).
  • Для маршрутизаторов, которые не могут экспортировать номера автономных систем в Netflow/IPFIX, есть возможность получить эти номера и их текстовое описание с помощью баз ip-location-db. Так же, как и для GeoIP, можно создавать отдельные объекты мониторинга, в которые входит трафик выбранных AS или экспортировать в СУБД названия автономных систем.
  • Добавлена классификация трафика по netflow-полям. Коллектор может классифицировать объекты мониторинга, используя некоторые поля (TCP флаги, порты, размеры пакетов)

  • Добавлена консольная утилита xegeoq, которая позволяет получить из IP адресов GeoIP-информацию и информацию об AS, используя локальные базы.



Источник: http://www.opennet.ru/opennews/art.shtml? num=60077

© OpenNet