Аналіз статистики NetFlow за допомогою Nfsen

У цій статті розглянуто встановлення та використання аналізатора Nfsen, який переставляє із себе web-інтерфейс до nfdump - утиліт зі збору та аналізу NetFlow статистики. Встановлення та налаштування відповідних утиліт здійснюється в ОС Linux CentOS. Встановлення та налаштування в інших дистрибутивах може незначно відрізнятись. Насамперед необхідно провести установку та налаштування сенсора. Детальна процедура встановлення сенсора на Linux та обладнанні Cisco знаходяться у статті Збір статистики NetFlow у Linux за допомогою утиліт flow-tools. У цій статті були використані утиліти flow-tools для збирання та аналізу статистики NetFlow в ОС Linux. Основним недоліком такого підходу є відсутність більш-менш зрозумілого графічного інтерфейсу для побудови звітів. Запускаємо збір та відсилання статистики на колектор та обраний порт. У цьому прикладі 9796.

Встановлення nfdump

Завантажуємо останню версію nfdump та розпаковуємо її.

Для нормальної роботи nfdump та nfsen необхідно встановити пакет rrdtool-devel, flex та byacc

Конфігуруємо nfdump для роботи з nfsen та rrdtool.

Встановлюємо утиліту checkinstall для збирання пакета. Збираємо RPM-пакет для подальшого встановлення nfdump.

Встановлюємо зібраний RPM із зазначеного в кінці складання місця.

Також можна зробити інсталяцію з вихідних кодів, без створення RPM-пакета.

Установка Nfsen

Завантажуємо та розпаковуємо останню версію.

Встановлюємо потрібні модулі perl.

Копіюємо шаблон конфігураційного файлу та змінюємо налаштування в nfsen.conf на необхідні нам.

Встановлюємо Nfsen зі зміненими налаштуваннями та запускаємо його.

Даємо доступ до Nfsen із бразуера, додавши потрібний запис у конфігурацію веб-сервера Apache.

Дляавтозапуску Nfsen при завантаженні системи додаємо рядок у файл /etc/rc.d/rc.local

Використання Nfsen

Застосування фільтрів nfdump

На даний момент збирається повна статистика для пристрою router, що відсилається на порт 9796. Для детального аналізу статистики необхідно перейти у вкладку Detail, вибрати необхідний інтервал часу для аналізу, і в полі Filter задати відповідний фільтр nfdump, після чого натиснути process. Також у розділі Options можна задавати відповідні опції угруповання та відображення.

netflow
netflow
netflow

Наприклад, ми хочемо подивитися всю статистику щодо використання протоколу ssh. Він налаштований на стандартному порту 22. Таким чином необхідно встановити наступний фільтр:

Хто з нашої підмережі використовує віддалене підключення не лише до термінального сервера?

Детальну інформацію щодо фільтрів дивіться у посібнику до nfdump.

Побудова графіків та налаштування профілів

Nfsen надає можливість побудови графіків з RRD бази даних за відповідними фільтрами. Спочатку існує лише один профіль під назвою Live. У цей профіль записуються дані із джерел, вказаних у файлі конфігурації nfsen.conf, для побудови різних графіків, необхідно створити відповідні профілі. Вибираємо у web-інтерфейсі Live -> New Profile та створюємо необхідний профіль. За необхідності збудувати графіки з певного часу, задаємо дату початку побудови. Інакше дані будуть записуватися в базу даних RRD з поточного моменту.

netflow
статистики

Порівняння типів профілів NfsenТип профілю Опис Переваги Недоліки
1:1 channels from profile liveОдин або кілька каналів відповідають профілю Live-Застарілий варіант,є з метою сумісності з Nfsen 1.2.x
individual channelsІндивідуально налаштований профільНайбільш гнучка система (рекомендується)-
Real ProfileЗберігає дані NetFlow, що задовольняють фільтри профілю в окремі файлиПрискорює вибірку даних під час аналізуЗаймає зайве місце на диску
Shadow ProfileБере дані із профілю LiveНе дублює дані на дискуБільш повільна вибірка даних під час аналізу

netflow
netflow
аналіз

Після побудови графіків (якщо було встановлено час початку побудови в минулому, інакше дані почнуть будуватися з поточного моменту часу), цей профіль можна використовувати аналогічно профілю Live, вибираючи за необхідними параметрами.

Як змінити графік після додавання нових фільтрів?

При додаванні нових фільтрів графіки з них починають будуватися з поточного часу. При необхідності перебудувати всі графіки та дані в базі даних RRD з початку дії даного каналу необхідно зробити наступне: