Re: [FRnOG] [TECH] Collecteur Netflow
Hello la liste, pmacct en effet, très très bien chez nous aussi, et pour la visu sans faire de la query sql on as juste un peu patché floX, histoire de rajouter quelques graphs en js et quelques views utiles ( 1/2journée de boulot max ). My 2 cents... Le 01/03/2014 11:13, Pierre-Yves Maunier a écrit : Le 1 mars 2014 01:21, Eric ROLLAND roll...@artefact.fr a écrit : Bonsoir la liste, Suis à la recherche de collecteur Netflow sous Debian et souhaiterais bien faire bénéficier la communauté (au travers de ce thread) d'un retour des différentes soluces en vigueur. Bonjour Eric, j'utilise pmacct. En opensource c'est le seul que j'ai trouvé qui me donne l'info de l'AS PATH comme le ferait un arbor car il monte des sessions BGP avec tes routeurs et fait le mapping avec les infos netflow qu'il reçoit. Juste petit conseil, bien lire la doc en le déployant, il y a des fois des incohérences dans la doc même (dont certaines ont été corrigées depuis) mais avec un peu de logique on s'en sort. Pour info pmacct va juste collecter le netflow et l'agréger selon ta config dans une base xxxSQL. Il n'y a pas de front-end mais avec un bootstrap j'ai pu faire un front-end qui me donnait 80% des infos que je voulais en 1-2 jours. Par contre dans la base de données il y a toutes les infos que je veux et avec quelques requêtes SQL j'ai exactement les infos dont j'ai besoin. Par contre il faut bien dimensionner ta base de données selon l'agrégation des données et la finesse de conservation : ta base prends plusieurs 10aines de millions de lignes par jour. Mais il y'a plusieurs solutions pour gérer ça : - fait du rrd avec les infos dont tu as besoin et supprime lignes de la base - fait du rotate sur tes tables en changeant la finesse d'agrégation pour faire une sorte de stockage rrd style au sein de la base - etc Pour en faire des graphes, je pense qu'il faudra mettre les mains dans le cambouis à base de collectd + ddraw/graphite par exemple. Perso j'en suis super satisfait et le développeur, super sympa, est joignable si on trouve des bugs ou si on a des features requests. signature.asc Description: OpenPGP digital signature
Re: [FRnOG] [TECH] Collecteur Netflow
Le 1 mars 2014 à 03:03, Sylvain Vallerot sylv...@gixe.net a écrit : D'autres outils existent (comme ntop) mais il sont parfois plutôt orientés reporting que collecte (même si ça n'empêche pas). J’ai un ntop-ng qui tourne chez un client (jamais réussi à installer nfsen sur un serveur OS X) et personnellement je n’en suis pas satisfait. L’interface est une horreur à utiliser et dès qu’il est question de rechercher des informations l’outil montre clairement ses limites. smime.p7s Description: S/MIME cryptographic signature
Re: [FRnOG] [TECH] Collecteur Netflow
Bonjour, Inmon fait aussi des collecteurs. Mais ma preference va a pmacct. Cordialement Fabien On 1 mars 2014, at 10:33, Yoann Gini yoann.g...@gmail.com wrote: Le 1 mars 2014 à 03:03, Sylvain Vallerot sylv...@gixe.net a écrit : D'autres outils existent (comme ntop) mais il sont parfois plutôt orientés reporting que collecte (même si ça n'empêche pas). J’ai un ntop-ng qui tourne chez un client (jamais réussi à installer nfsen sur un serveur OS X) et personnellement je n’en suis pas satisfait. L’interface est une horreur à utiliser et dès qu’il est question de rechercher des informations l’outil montre clairement ses limites. --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur Netflow
Le 1 mars 2014 01:21, Eric ROLLAND roll...@artefact.fr a écrit : Bonsoir la liste, Suis à la recherche de collecteur Netflow sous Debian et souhaiterais bien faire bénéficier la communauté (au travers de ce thread) d'un retour des différentes soluces en vigueur. Bonjour Eric, j'utilise pmacct. En opensource c'est le seul que j'ai trouvé qui me donne l'info de l'AS PATH comme le ferait un arbor car il monte des sessions BGP avec tes routeurs et fait le mapping avec les infos netflow qu'il reçoit. Juste petit conseil, bien lire la doc en le déployant, il y a des fois des incohérences dans la doc même (dont certaines ont été corrigées depuis) mais avec un peu de logique on s'en sort. Pour info pmacct va juste collecter le netflow et l'agréger selon ta config dans une base xxxSQL. Il n'y a pas de front-end mais avec un bootstrap j'ai pu faire un front-end qui me donnait 80% des infos que je voulais en 1-2 jours. Par contre dans la base de données il y a toutes les infos que je veux et avec quelques requêtes SQL j'ai exactement les infos dont j'ai besoin. Par contre il faut bien dimensionner ta base de données selon l'agrégation des données et la finesse de conservation : ta base prends plusieurs 10aines de millions de lignes par jour. Mais il y'a plusieurs solutions pour gérer ça : - fait du rrd avec les infos dont tu as besoin et supprime lignes de la base - fait du rotate sur tes tables en changeant la finesse d'agrégation pour faire une sorte de stockage rrd style au sein de la base - etc Pour en faire des graphes, je pense qu'il faudra mettre les mains dans le cambouis à base de collectd + ddraw/graphite par exemple. Perso j'en suis super satisfait et le développeur, super sympa, est joignable si on trouve des bugs ou si on a des features requests. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur Netflow
Bonjour, Pour Pmacct si tu utilises du RRD, RRDgraph est simple mais fonctionnel. Après tu peux essayer JQPlot (JQuery) simple et beau :) Cordialement Fabien On Mar 1, 2014, at 11:13, Pierre-Yves Maunier pymaunier+li...@gmail.com wrote: Le 1 mars 2014 01:21, Eric ROLLAND roll...@artefact.fr a écrit : Bonsoir la liste, Suis à la recherche de collecteur Netflow sous Debian et souhaiterais bien faire bénéficier la communauté (au travers de ce thread) d'un retour des différentes soluces en vigueur. Bonjour Eric, j'utilise pmacct. En opensource c'est le seul que j'ai trouvé qui me donne l'info de l'AS PATH comme le ferait un arbor car il monte des sessions BGP avec tes routeurs et fait le mapping avec les infos netflow qu'il reçoit. Juste petit conseil, bien lire la doc en le déployant, il y a des fois des incohérences dans la doc même (dont certaines ont été corrigées depuis) mais avec un peu de logique on s'en sort. Pour info pmacct va juste collecter le netflow et l'agréger selon ta config dans une base xxxSQL. Il n'y a pas de front-end mais avec un bootstrap j'ai pu faire un front-end qui me donnait 80% des infos que je voulais en 1-2 jours. Par contre dans la base de données il y a toutes les infos que je veux et avec quelques requêtes SQL j'ai exactement les infos dont j'ai besoin. Par contre il faut bien dimensionner ta base de données selon l'agrégation des données et la finesse de conservation : ta base prends plusieurs 10aines de millions de lignes par jour. Mais il y'a plusieurs solutions pour gérer ça : - fait du rrd avec les infos dont tu as besoin et supprime lignes de la base - fait du rotate sur tes tables en changeant la finesse d'agrégation pour faire une sorte de stockage rrd style au sein de la base - etc Pour en faire des graphes, je pense qu'il faudra mettre les mains dans le cambouis à base de collectd + ddraw/graphite par exemple. Perso j'en suis super satisfait et le développeur, super sympa, est joignable si on trouve des bugs ou si on a des features requests. -- Pierre-Yves Maunier --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur Netflow
Le 01/03/2014 03:03, Sylvain Vallerot a écrit : Et apt-cache search netflow te donnera quelques réponses complémentaires. Merci Lulu, mais ca c'est déjà fait... je cherchais un retour d'expérienceplutot que le man d'apt ;-) Jack, j'ai vu il y a quelques temps l'AS-Stat de Hivane et ca fait bien envie graphiquement. Merci à tous pour vos retours, et à Pierre-Yvespour le détail de sa réponse. Bon WE. Cordialement, Eric ROLLAND AS42929 - RE515-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 *artefact *Communication Interactive www.artefact.fr http://www.artefact.fr*artewan* Opérateur de réseaux et de services www.artewan.fr http://www.artewan.fr *arteone* Datacenter, Informatique Services IT www.arteone.fr http://www.arteone.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur Netflow
On 01/03/2014 13:54, Eric ROLLAND wrote: mais ca c'est déjà fait... je cherchais un retour d'expérience C'est que, la collecte c'est plutôt l'aspect facile. Ce sont les features autour qui peuvent être pénibles et qui vont te faire choisir un outil ou un autre, en fonction de tes besoins (dont tu n'a rien dit). Question retour d'expérience j'utilise sflow, donc j'ai des problématiques assez différentes. pmacct répond à ce besoin mais ça ne va pas t'aider. Bon WE, --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Collecteur Netflow
Bonsoir la liste, Suis à la recherche de collecteur Netflow sous Debian et souhaiterais bien faire bénéficier la communauté (au travers de ce thread) d'un retour des différentes soluces en vigueur. Et puisque c'est trolldi soir, je me permet de revenir sur le troll de la semaine : Je trouve dommage que Jean-kevin ne nous ai pas soufflé à l'oreille que l'on aurait pu utiliser une icône d'un mâle ou d'une femelle comme capcha@Frnog22. AMHA je trouve que ca sent trop souvent la testostérone ici. Un capcha qui demande si t'es un gars ou un fille, ca serait plus clair qu'un GBIC (et créer de l’appétence pour l'événement au regard du nombre d'âmes seules dans la liste ;-) Bon WE à toutes et tous, Eric ROLLAND AS42929 - RE515-RIPE *Artefact communication interactive* | Bat. Artechnopole - 3 rue des Frères Goncourt - 19100 BRIVE | Tel 0555 17 29 29 | Fax 0957 33 00 33 SARL au capital de 50.000 Euros - RCS BRIVE 444 110 936 | NAF 7311Z | TVA Intracom FR87444110936 | ORG-ARTE2-RIPE - PGPKEY-32DDEF07 *artefact *Communication Interactive www.artefact.fr http://www.artefact.fr*artewan* Opérateur de réseaux et de services www.artewan.fr http://www.artewan.fr *arteone* Datacenter, Informatique Services IT www.arteone.fr http://www.arteone.fr --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur Netflow
On 01/03/2014 01:21, Eric ROLLAND wrote: Suis à la recherche de collecteur Netflow sous Debian Salut Eric, Pour la partie collecte peux creuser ces pistes-là : - pmacct - nfdump - flow-tools Et apt-cache search netflow te donnera quelques réponses complémentaires. D'autres outils existent (comme ntop) mais il sont parfois plutôt orientés reporting que collecte (même si ça n'empêche pas). ++ Sylvain --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Bonjour, Il me semble que Netflow Vxyz ou IPFIX utilisent tous la CPU de management pour traiter les flux. Les constructeurs qui incorporent cette techno ont ils dans le même temps un mécanisme contrôlant l'utilisation de la CPU par ce process ? Bien que SFLOW ne soit pas tout à fait comparable, il me semble que les constructeurs pourraient implémenter les deux techno (SFLOW est de base dans beaucoup de Chipset Broadcom). Fabien Le 7 juil. 2012 à 04:03, Sylvain Busson a écrit : Ce n'est sortie que sur les nouveaux codes (donc pas sec), mais ce n'est pas supporter par tous les hardware, et pour certain ce n'est pas prévu de l’être... Le 06/07/2012 09:24, Raphael MAUNIER a écrit : Dis ça à nos amis les constructeurs:) -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On Jul 6, 2012, at 9:23 AM, Stephane Bortzmeyer wrote: On Thu, Jul 05, 2012 at 02:00:37PM +0200, Adrien Pestelpestoui...@gmail.com wrote a message of 129 lines which said: J'ai développé un collecteur Netflow v9 en C. Je vais troller un peu mais on en est à la version 10 depuis quatre ans (renommée IPFIX).http://www.bortzmeyer.org/5101.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Pour Netflow; sur Cisco; la collecte se fait en hardware; seul l'export (la génération du paquet de méta données) utilise la CPU. Le 09/07/2012 09:59, Fabien Delmotte a écrit : Bonjour, Il me semble que Netflow Vxyz ou IPFIX utilisent tous la CPU de management pour traiter les flux. Les constructeurs qui incorporent cette techno ont ils dans le même temps un mécanisme contrôlant l'utilisation de la CPU par ce process ? Bien que SFLOW ne soit pas tout à fait comparable, il me semble que les constructeurs pourraient implémenter les deux techno (SFLOW est de base dans beaucoup de Chipset Broadcom). Fabien Le 7 juil. 2012 à 04:03, Sylvain Busson a écrit : Ce n'est sortie que sur les nouveaux codes (donc pas sec), mais ce n'est pas supporter par tous les hardware, et pour certain ce n'est pas prévu de l’être... Le 06/07/2012 09:24, Raphael MAUNIER a écrit : Dis ça à nos amis les constructeurs:) -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On Jul 6, 2012, at 9:23 AM, Stephane Bortzmeyer wrote: On Thu, Jul 05, 2012 at 02:00:37PM +0200, Adrien Pestelpestoui...@gmail.com wrote a message of 129 lines which said: J'ai développé un collecteur Netflow v9 en C. Je vais troller un peu mais on en est à la version 10 depuis quatre ans (renommée IPFIX).http://www.bortzmeyer.org/5101.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Intéressant, je pensais que ce coté hardware était sur les 6k, de plus la CPU était utilisée pour gérer les aging de flow. Le 9 juil. 2012 à 10:05, Surya ARBY a écrit : Pour Netflow; sur Cisco; la collecte se fait en hardware; seul l'export (la génération du paquet de méta données) utilise la CPU. Le 09/07/2012 09:59, Fabien Delmotte a écrit : Bonjour, Il me semble que Netflow Vxyz ou IPFIX utilisent tous la CPU de management pour traiter les flux. Les constructeurs qui incorporent cette techno ont ils dans le même temps un mécanisme contrôlant l'utilisation de la CPU par ce process ? Bien que SFLOW ne soit pas tout à fait comparable, il me semble que les constructeurs pourraient implémenter les deux techno (SFLOW est de base dans beaucoup de Chipset Broadcom). Fabien Le 7 juil. 2012 à 04:03, Sylvain Busson a écrit : Ce n'est sortie que sur les nouveaux codes (donc pas sec), mais ce n'est pas supporter par tous les hardware, et pour certain ce n'est pas prévu de l’être... Le 06/07/2012 09:24, Raphael MAUNIER a écrit : Dis ça à nos amis les constructeurs:) -- Raphaël Maunier NEO TELECOMS CTO / Directeur Ingénierie AS8218 On Jul 6, 2012, at 9:23 AM, Stephane Bortzmeyer wrote: On Thu, Jul 05, 2012 at 02:00:37PM +0200, Adrien Pestelpestoui...@gmail.com wrote a message of 129 lines which said: J'ai développé un collecteur Netflow v9 en C. Je vais troller un peu mais on en est à la version 10 depuis quatre ans (renommée IPFIX).http://www.bortzmeyer.org/5101.html --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
On Jul 5, 2012, at 10:48, Antoine Jacot-Descombes anto...@jacot-descombes.ch wrote: Le 05.07.2012 10:29, Benjamin Sonntag a écrit : Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Bonjour, Dans le libre, il y a le couple NFsen et NFdump: (développé et utilisé par le NREN Suisse Switch) http://nfsen.sourceforge.net/ et http://nfdump.sourceforge.net/ Sinon comme solution commerciale NetFlow tracker de Fluke Networks: http://fr.flukenetworks.com/enterprise-network/network-monitoring/OptiView-NetFlow-Tracker Je n'ai jamais vu plus pourri comme solution commerciale et aussi peu scalable. On l'a acheté, mis en place sur des machines de tueur. Et genre 5 minutes pour avoir une info. Ce truc la ne scale pas du tout. Le support a la limite de l'incompétence, l'avant-vente et l'apres vente ... Tout aussi mauvais. On a perdu de l'argent. Je déconseille très très fortement. J'utilise les deux dans le cadre de mon activité professionnelle et sont les deux très complets et assez simples à mettre en oeuvre. NFsen est très puissant au niveau du post traitement, de la gestion des alarmes et la possibilité de créer ses propres plugins (détection DDos, Botnet, scan etc...) Sinon, il y a aussi FlowViewer (http://ensight.eos.nasa.gov/FlowViewer/) qui est un frontend aux données collectées par les flow-tools Bonne journée, Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
[FRnOG] [TECH] Collecteur NetFlow ?
Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Pour ma part pmacct est le meilleur Cordialement Fabien Delmotte Envoyé de mon iPhone Le 5 juil. 2012 à 10:38, Cyril Lavier cyril.lav...@davromaniak.eu a écrit : On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Tant que tu ne cherches pas a savoir quelle AS est derrière quelle autre, as-stat est a mon avis le meilleur choix. https://neon1.net/as-stats/ J'ai fait une prez complete sur son installation - car c'est vraiment simple : http://thomas.mangin.com/data/pdf/Linx%2069%20-%20Mangin%20-%20AS-STATS.pdf Thomas On 5 Jul 2012, at 09:40, Fabien Delmotte wrote: Pour ma part pmacct est le meilleur Cordialement Fabien Delmotte Envoyé de mon iPhone Le 5 juil. 2012 à 10:38, Cyril Lavier cyril.lav...@davromaniak.eu a écrit : On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Le 05.07.2012 10:29, Benjamin Sonntag a écrit : Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Bonjour, Dans le libre, il y a le couple NFsen et NFdump: (développé et utilisé par le NREN Suisse Switch) http://nfsen.sourceforge.net/ et http://nfdump.sourceforge.net/ Sinon comme solution commerciale NetFlow tracker de Fluke Networks: http://fr.flukenetworks.com/enterprise-network/network-monitoring/OptiView-NetFlow-Tracker J'utilise les deux dans le cadre de mon activité professionnelle et sont les deux très complets et assez simples à mettre en oeuvre. NFsen est très puissant au niveau du post traitement, de la gestion des alarmes et la possibilité de créer ses propres plugins (détection DDos, Botnet, scan etc...) Sinon, il y a aussi FlowViewer (http://ensight.eos.nasa.gov/FlowViewer/) qui est un frontend aux données collectées par les flow-tools Bonne journée, Antoine --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
On 07/05/2012 10:44 AM, Thomas Mangin wrote: Tant que tu ne cherches pas a savoir quelle AS est derrière quelle autre, as-stat est a mon avis le meilleur choix. https://neon1.net/as-stats/ J'ai fait une prez complete sur son installation - car c'est vraiment simple : http://thomas.mangin.com/data/pdf/Linx%2069%20-%20Mangin%20-%20AS-STATS.pdf C'est bien le probleme de as-stats, on ne peut pas comptabiliser le traffic par peer-as, uniquement par origin-as; par ailleurs c'est pas ce qu'il demande: collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) pmacct should do the job. Par contre, son paramétrage/implémentation, c'est pas de la tarte ! Clément --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
On 5 Jul 2012, at 09:50, Clement Cavadore wrote: par ailleurs c'est pas ce qu'il demande: collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) Ooops ! je devrai apprendre a lire . pmacct should do the job. +1 Thomas --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Bonjour, Pour ma part j'ai implanté la solution Netflow Analyzer de la marque ManageEngine dans un datacenter. Pour moi cela reste un des meilleurs collecteurs Netflow! en revanche c'est une solution un peu coûteuse. Renseigne toi sur ce produit et n'hésite pas si tu souhaites avoir plus d'informations Cordialement Mikael LELOUCH Message du 05/07/12 10:38 De : Cyril Lavier A : frnog@frnog.org Copie à : Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Hello, J'ai développé un collecteur Netflow v9 en C. C'est pour le moment en prototype mais il est fonctionnel. Ses caractéristiques : - Event driven - fonctionne sur archi little endian (Linux et MacOSX, devrait marcher sans grosse difficulté sur autre BSD) - stocke les données sur MongoDB - opérationnel sur Cisco ASA Il manque : - un frontend (Ruby On Rails ?) Sexy pour requêter les données dans le mongo et les quelques requêtes de map/reduce - rendre le daemon plus paramétrable avec moins d éléments hard codé. - finaliser la partie v6 - faire des tests sur routeur Si vous voulez vous joindre a moi (ou sponsoriser un truc) n'hésitez pas a me contacter. Adrien Le 5 juil. 2012 12:24, mikael.lelouch mikael.lelo...@orange.fr a écrit : Bonjour, Pour ma part j'ai implanté la solution Netflow Analyzer de la marque ManageEngine dans un datacenter. Pour moi cela reste un des meilleurs collecteurs Netflow! en revanche c'est une solution un peu coûteuse. Renseigne toi sur ce produit et n'hésite pas si tu souhaites avoir plus d'informations Cordialement Mikael LELOUCH Message du 05/07/12 10:38 De : Cyril Lavier A : frnog@frnog.org Copie à : Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/
Re: [FRnOG] [TECH] Collecteur NetFlow ?
Salut Thomas le nog, par ailleurs c'est pas ce qu'il demande: collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) Ooops ! je devrai apprendre a lire . pmacct should do the job. +1 Thomas Je te rassure, as-stats m'intéresse aussi, plus directement ;) étant opérateur, analyser la répartition par AS peut être effectuée par ce biais de manière très intéressante après, si as-stats ne gère que l'as d'origine, et pas l'as du partenaire BGP, ça ne me servira pas à grand chose ... merci à vous tous en tout cas, j'ai cru comprendre que l'admin qui m'avait demandé cela est même inscrit sur FrNOG désormais (même s'il n'est pas opérateur au sens AS, il gère le réseau d'un grand compte ...) @+ Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/
RE: [FRnOG] [TECH] Collecteur NetFlow ?
Bonjour, J'ai testé également pendant 6 mois le manageengine avec 200 - 300 Mbits de traffic internet. L'interface est clair et intuitive. De plus la version d'essai te donne accès à toutes les fonctionnalités limitées à deux interfaces. Vraiment pratique pour bien tester le produit. Après nous sommes passé en prod sur du Cascade de Riverbedplus costaud mais un peu usine à gaz et très cher. Fabrice -Message d'origine- De : frnog-requ...@frnog.org [mailto:frnog-requ...@frnog.org] De la part de mikael.lelouch Envoyé : jeudi 5 juillet 2012 12:24 À : Cyril Lavier; frnog@frnog.org Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? Bonjour, Pour ma part j'ai implanté la solution Netflow Analyzer de la marque ManageEngine dans un datacenter. Pour moi cela reste un des meilleurs collecteurs Netflow! en revanche c'est une solution un peu coûteuse. Renseigne toi sur ce produit et n'hésite pas si tu souhaites avoir plus d'informations Cordialement Mikael LELOUCH Message du 05/07/12 10:38 De : Cyril Lavier A : frnog@frnog.org Copie à : Objet : Re: [FRnOG] [TECH] Collecteur NetFlow ? On 07/05/2012 10:29 AM, Benjamin Sonntag wrote: Bonjour FrNog, Un collègue me demande si j'ai connaissance et conseil à lui donner en matière de collecteur NetFlow. Je me suis donc dit que FrNog était le meilleur endroit pour vous demander un retour d'expérience dans ce domaine, quels logiciels utilisez-vous pour la collecte des flux, et leur analyse (répartition par ip, protocole temps dans la journée, analyse post-mortem en cas de DDoS etc.) ? J'ai utilisé, à une époque, du Ntop ( http://www.ntop.org/ ) et du pmacct ( http://www.pmacct.net/ ) et du IPT-Netflow (module iptables pour linux http://sourceforge.net/projects/ipt-netflow/ ) mais c'était sur une infra 100% libre et pour un cas bizarre ... j'imagine que vous avez de meilleurs outils. merci de votre aide :) Bonne journée à tous, Benjamin Sonntag Octopuce --- Liste de diffusion du FRnOG http://www.frnog.org/ Bonjour Benjamin. Je suis aussi à la recherche d'un bon collecteur netflow. J'ai commencé à triturer ntop, mais il partait en segfault toutes les 5 minutes. Actuellement, j'utilise as-stats (https://neon1.net/as-stats/) qui permet de faire quelques statistiques sympa à base de flux netflow. Dans quelques temps, je testerai scrutinizer, qui a l'air prometteur. Bonne journée. -- Cyril Davromaniak Lavier KeyID 59E9A881 http://www.davromaniak.eu --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/ --- Liste de diffusion du FRnOG http://www.frnog.org/