designetwork

ネットワークを軸としたIT技術メモ

NetFlow コレクター(OSS・無料・フリー)の比較検討

OSS・無料・フリーで使用できるNetFlow Collector( ネットフローコレクター )・Analyzer(ネットフローアナライザー)をいくつか試験した結果、2016年現在最も採用する価値があるのは「Paessler PRTG」だと考えている。 (2017/5/11 訂正) Fluentdプラグインfluent-plugin-netflowを使用する価値が高いと考えている。 (2019/3/17 再訂正) ElastiFlow (Elasticsearch + Logstash + Kibana) が有用と考えている。

元々はOSS(オープンソース)で一般公開されているシステムを採用したかったが、そもそもOSSのNetFlow Collectorで現在もアップデートされているシステムは存在していないようだ。OSSの組み合わせで言えば、Fluend+ElasticSearch+Kibanaで組み上げるしかないようだ。

(2019/3/17 再訂正) ElastiFlowオープンソースである Elasticsearch + Logstash + Kibana のパッケージで、ElasticStackのバージョンを追従して継続的に更新されている。また、未検証だが、NetFlowコレクタ単体としては、Verizonが開発を進めているvFlowに注目している。

採用検討システムと評価

これらのシステムを試験利用・検証した。

(2017/4/25 PRTGの個別記事内に実運用されている方からのコメントをいただいています。よくない点等を挙げていただいていますので参照ください。)

システム OS 推奨度 ポイント
ElastiFlow (ELKスタック) Linux OSSで標準ダッシュボードも充実
Fluentd (EFKスタック) Linux OSSで自由度高い
Paessler PRTG Win 100センサーまで無償
Pandora FMS Linux 無償で使えるが解析機能弱い
Opmantek opFlow Linux ベースはOSSだがopFlowは要ライセンス
ntop nProbe Linux ベースはOSSだがnProbeは要ライセンス
SolarWinds RTNFA WinServer 無償では単一フロー60分まで
Lancope STEALTHWATCH Linux(OVF) 有償だが使い勝手良し

ElastiFlow (ELKスタック)

http://www.koiossian.com/public/elastiflow_logo.svg

ElastiFlowでNetFlow可視化する - designetwork

Logstashでフロー収集・パースし、Elasticsearchに取り込みKibanaで可視化する。標準で各種Dashboardが用事されており、アプライアンス製品と同等の分析が可能となっている。

Fluentd (EFKスタック)

(詳細執筆中)
fluent-plugin-netflowでフロー収集し、Elasticsearchに取り込みKibanaで可視化する。

vFlow

Verizonが開発しているNetFlowコレクタ。フローレコードをパースしてメッセージング(Kafka等)する。

github.com

Paessler PRTG

WindowsにPaessler PRTGインストール・導入 (NetFlow分析) - designetwork

Windowsにインストールして使用できる統合監視システム。
様々なテンプレートが用意されており、簡単に様々な監視ができる。NetFlowやsFlowなど多くのフローに対応している。100センサーまで無償で使用可能なため、ネットフローコレクターのみに絞って使用すれば追加ライセンスなしで使用できる。

Pandora FMS

Pandora FMS NetFlow分析機能の弱点 - designetwork

Linuxにインストールして使用するOSSの統合監視システム。
追加機能でNetFlowの分析が可能だが、表示・解析機能が弱く実用には耐えないレベルと感じている。統合監視としては評価が高く、楽天ビッグローブといった企業でも採用されているようだが、統合監視のOSSとしてはZABBIXが使いやすいと感じているためメリットは弱い。

Opmantek opFlow

opFlowでNetFlow可視化 - designetwork

OSSの統合監視システムNMISの追加モジュール、opFlow。
使い勝手やデザインは良いのだが、追加ライセンスが必要でオープンソースでない点が減点対象だ。私の環境でも評価版ライセンス期限が来て使えなくなってしまった...

ntop nProbe

ntopはntopngに変わっている - designetwork

元々はOSSプロジェクトとして進んでいたntopだが、ntopngとなりNetFlow CollectorのnProbeは要追加ライセンスとなっている。

Lancope STEALTHWATCH

Lancope-STEALTHWATCH評価版ライセンス取得からインストール・使用開始 - designetwork

番外編として、Ciscoが買収したLancopeのSTEALTHWATCH。
有償製品であるだけあって、使い勝手、デザインとも申し分ない。やはり、コレクターは有償製品を使うのがベターなのか...と実感する。NetFlow開発元のCiscoに買収されているため、今後も継続的なアップデートが期待できる。

まとめ

無償・フリーでNetFlow Collectorを導入するためにはPaessler PRTGを使用するのがベターだ FluentdのNetFlowプラグインを使用しElasticsearch+Kibanaで可視化する ElastiFlow (Elasticsearch + Logstash + Kibana) を採用するのがベストだと考えられる。