[fox_m]

Всем привет!

 

Подскажите, чем сейчас модно собирать Netflow. Желательно, что бы была возможность интегрировать коллектор с Clickhouse. И есть у кого-то опыт использования goflow от Cloudflare?

[Urs_ak]

Если модно-молодёжно, то наверно этот:

 

https://github.com/CESNET/ipfixcol2

 

(у нас старенький nfsen)

[fox_m]

Еще посоветовали https://github.com/akvorado/akvorado 

[sirmax]

Есть еще вот такое решение (я пока не  пробовал)

https://www.elastic.co/guide/en/beats/filebeat/8.14/filebeat-input-netflow.html

Тема интересная но открыт вопрос поддержки nat events

[sdy_moscow]

@sirmax В принципе, у меня есть готовый совсем простой коллектор для Нетфлоу генерируемого ANAT в простые периодические бинарные файлы с возможностью их проверки и печати логов, но пока оно в стадии до-разработки (шестой месяц пытаюсь сесть и добить что-бы оно еще и было что-то вроде простой структурированной файловой БД с поиском по всему массиву данных, предполагается, что это будет дополнение внутреннего СОРМа для ответа на вопросы кто куда и откуда ходил) и честно, я не знаю буду ли я его бесплатно выкладывать в полном объеме, поскольку вещь все-таки чисто для коммерсантов уже...

 

P.S.

Ну в общем, когда я над это проблемой думал, то в итоге пришел к выводу, что проще написать примитивный NF_CAPD пишущий бинарные данные во внутреннем формате, а потом уже с этими данными делать всё, что захочется: хоть эластик кормить, хоть раз в год в них данные искать нужные. Всё остальное, по итогу "изучения", показалось НУ ОЧЕНЬ ГРОМОЗДКИМ (даже сам nfcapd, не говоря про монстров вроде  акварадо) и по идее нафиг ненужным, поскольку оперативный мониторинг работы NATа прекрасно доступен через сам ANAT, в том числе через нагиос/забикс, путем примитивных скриптов анализа счетчиков статистики, не говоря уже про быстрые логи и трассировки.

[sdy_moscow]

@sirmax @fox_m  Выложил простенький но быстрый Netflow коллектор для ANAT в

в