Выпуск Netflow/IPFIX/sFlow коллектора Xenoeye 25.0220.02.2025 14:00

Опубликован релиз Netflow/IPFIX/sFlow коллектора Xenoeye 25.02. Коллектор позволяет собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v5, v9, IPFIX и sFlow, обрабатывать данные, генерировать отчёты и строить графики. Ядро проекта написано на языке С, код распространяется под лицензией ISC.

Коллектор агрегирует сетевой трафик по выбранным полям и экспортирует данные в PostgreSQL. По этим данным можно строить отчеты, графики (используя gnuplot, скриптами на Python + Matplotlib) или дашборды в Grafana. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов или при падении трафика ниже порогов.

CFD0C5CECEC5D4_1740047709.png

Для подсчёта текущей скорости трафика используются скользящие средние. Механизм, отслеживающий превышение порогов, предназначен для оповещения о DoS/DDoS-атаках и запуске подавления с помощью BGP-анонсов (Flowspec или Blackhole). В комплекте с коллектором идет пример скрипта Telegram-робота, который может оповещать в мессенджер об аномалиях. Коллектор не требователен к ресурсам, он может обрабатывать трафик небольших сетей на Raspberry/Orange Pi или в виртуальной машине с 2–4Гб оперативной памяти.

Изменения в новой версии:

  • Добавлена поддержка протокола sFlow, для которого реализована возможность парсить начинку (payload) сетевых пакетов и извлекать оттуда информацию о DNS и TLS (HTTPS) SNI. Хостеры и владельцы датацентров могут использовать данную возможность для борьбы с фишингом и оценки того, какие домены и сайты хостятся в сети.

  • Добавлена поддержка вложенных/иерархических объектов мониторинга, позволяющих упростить некоторые конфигурации с большим количеством объектов и повысить производительность обработки по сравнению с «плоским» списком объектов мониторинга.

  • Добавлена возможность классификации интерфейсов — трафик выбранных сетевых интерфейсов маршрутизаторов или коммутаторов можно игнорировать или обрабатывать специальным образом.

  • Добавлена возможность следить не только за всплесками трафика, но и за падением ниже порогов, что может быть полезно для косвенного мониторинга отдельных серверов или сервисов.

  • Добавлена возможность изменять пороги трафика без перезапуска коллектора. Механизм предназначен для ситуации, когда пользователи вычисляют пороги автоматически, исходя из статистики за предыдущие периоды, и периодически обновляют пороги в коллекторе.

  • Добавлен LXC-контейнер для быстрого развёртывания и тестирования коллектора. В контейнер входит коллектор с предустановленными объектами мониторинга, PostgreSQL и Grafana.



Источник: http://www.opennet.ru/opennews/art.shtml? num=62757

© OpenNet