OSS・無料・フリーで使用できるNetFlow Collector( ネットフローコレクター )・Analyzer(ネットフローアナライザー)をいくつか試験した結果、2016年現在最も採用する価値があるのは「Paessler PRTG」だと考えている。 (2017/5/11 訂正) Fluentdプラグインのfluent-plugin-netflowを使用する価値が高いと考えている。 (2019/3/17 再訂正) ElastiFlow (Elasticsearch + Logstash + Kibana) が有用と考えている。
元々はOSS(オープンソース)で一般公開されているシステムを採用したかったが、そもそもOSSのNetFlow Collectorで現在もアップデートされているシステムは存在していないようだ。OSSの組み合わせで言えば、Fluend+ElasticSearch+Kibanaで組み上げるしかないようだ。
(2019/3/17 再訂正) ElastiFlowはオープンソースである Elasticsearch + Logstash + Kibana のパッケージで、ElasticStackのバージョンを追従して継続的に更新されている。また、未検証だが、NetFlowコレクタ単体としては、Verizonが開発を進めているvFlowに注目している。
採用検討システムと評価
これらのシステムを試験利用・検証した。
(2017/4/25 PRTGの個別記事内に実運用されている方からのコメントをいただいています。よくない点等を挙げていただいていますので参照ください。)
システム | OS | 推奨度 | ポイント |
---|---|---|---|
ElastiFlow (ELKスタック) | Linux | ◎ | OSSで標準ダッシュボードも充実 |
Fluentd (EFKスタック) | Linux | ◎ | OSSで自由度高い |
Paessler PRTG | Win | ○ | 100センサーまで無償 |
Pandora FMS | Linux | ○ | 無償で使えるが解析機能弱い |
Opmantek opFlow | Linux | △ | ベースはOSSだがopFlowは要ライセンス |
ntop nProbe | Linux | △ | ベースはOSSだがnProbeは要ライセンス |
SolarWinds RTNFA | WinServer | △ | 無償では単一フロー60分まで |
Lancope STEALTHWATCH | Linux(OVF) | - | 有償だが使い勝手良し |
ElastiFlow (ELKスタック)
ElastiFlowでNetFlow可視化する - designetwork
Logstashでフロー収集・パースし、Elasticsearchに取り込みKibanaで可視化する。標準で各種Dashboardが用事されており、アプライアンス製品と同等の分析が可能となっている。
Fluentd (EFKスタック)
(詳細執筆中)
fluent-plugin-netflowでフロー収集し、Elasticsearchに取り込みKibanaで可視化する。
vFlow
Verizonが開発しているNetFlowコレクタ。フローレコードをパースしてメッセージング(Kafka等)する。
Paessler PRTG
WindowsにPaessler PRTGインストール・導入 (NetFlow分析) - designetwork
Windowsにインストールして使用できる統合監視システム。
様々なテンプレートが用意されており、簡単に様々な監視ができる。NetFlowやsFlowなど多くのフローに対応している。100センサーまで無償で使用可能なため、ネットフローコレクターのみに絞って使用すれば追加ライセンスなしで使用できる。
Pandora FMS
Pandora FMS NetFlow分析機能の弱点 - designetwork
Linuxにインストールして使用するOSSの統合監視システム。
追加機能でNetFlowの分析が可能だが、表示・解析機能が弱く実用には耐えないレベルと感じている。統合監視としては評価が高く、楽天、ビッグローブといった企業でも採用されているようだが、統合監視のOSSとしてはZABBIXが使いやすいと感じているためメリットは弱い。
Opmantek opFlow
opFlowでNetFlow可視化 - designetwork
OSSの統合監視システムNMISの追加モジュール、opFlow。
使い勝手やデザインは良いのだが、追加ライセンスが必要でオープンソースでない点が減点対象だ。私の環境でも評価版ライセンス期限が来て使えなくなってしまった...
ntop nProbe
ntopはntopngに変わっている - designetwork
元々はOSSプロジェクトとして進んでいたntopだが、ntopngとなりNetFlow CollectorのnProbeは要追加ライセンスとなっている。
Lancope STEALTHWATCH
Lancope-STEALTHWATCH評価版ライセンス取得からインストール・使用開始 - designetwork
番外編として、Ciscoが買収したLancopeのSTEALTHWATCH。
有償製品であるだけあって、使い勝手、デザインとも申し分ない。やはり、コレクターは有償製品を使うのがベターなのか...と実感する。NetFlow開発元のCiscoに買収されているため、今後も継続的なアップデートが期待できる。
まとめ
無償・フリーでNetFlow Collectorを導入するためにはPaessler PRTGを使用するのがベターだ FluentdのNetFlowプラグインを使用しElasticsearch+Kibanaで可視化する ElastiFlow (Elasticsearch + Logstash + Kibana) を採用するのがベストだと考えられる。