designetwork

ネットワークを軸としたIT技術メモ

NetFlow コレクター(無料・フリー版)の比較検討

f:id:daichi703n:20170511235955p:plain

無料・フリー・OSSで使用できるNetFlow Collector( ネットフローコレクター )・Analyzer(ネットフローアナライザー)をいくつか試験した結果、2016年現在最も採用する価値があるのは「Paessler PRTG」だと考えている。 (2017/5/11 訂正) Fluentdプラグインfluent-plugin-netflowを使用する価値が高いと考えている。

元々はOSS(オープンソース)で一般公開されているシステムを採用したかったが、そもそもOSSのNetFlow Collectorで現在もアップデートされているシステムは存在していないようだ。OSSの組み合わせで言えば、Fluend+ElasticSearch+Kibanaで組み上げるしかないようだ。

採用検討システムと評価

これらのシステムを試験利用・検証した。

(2017/4/25 PRTGの個別記事内に実運用されている方からのコメントをいただいています。よくない点等を挙げていただいていますので参照ください。)

システム OS 推奨度 ポイント
Fluentd (EFKスタック) Linux OSSで自由度高い
Paessler PRTG Win 100センサーまで無償
Pandora FMS Linux 無償で使えるが解析機能弱い
Opmantek opFlow Linux ベースはOSSだがopFlowは要ライセンス
ntop nProbe Linux ベースはOSSだがnProbeは要ライセンス
SolarWinds RTNFA 無償では単一フロー60分まで
Lancope STEALTHWATCH Linux(OVF) 有償だが使い勝手良し

Fluentd (EFKスタック)

(詳細執筆中)
fluent-plugin-netflowでフロー収集し、Elasticsearchに取り込みKibanaで可視化する。

Paessler PRTG

f:id:daichi703n:20160321144007p:plain

WindowsにPaessler PRTGインストール・導入 (NetFlow分析) - designetwork

Windowsにインストールして使用できる統合監視システム。
様々なテンプレートが用意されており、簡単に様々な監視ができる。NetFlowやsFlowなど多くのフローに対応している。100センサーまで無償で使用可能なため、ネットフローコレクターのみに絞って使用すれば追加ライセンスなしで使用できる。

Pandora FMS

f:id:daichi703n:20160321144332p:plain

Pandora FMS NetFlow分析機能の弱点 - designetwork

Linuxにインストールして使用するOSSの統合監視システム。
追加機能でNetFlowの分析が可能だが、表示・解析機能が弱く実用には耐えないレベルと感じている。統合監視としては評価が高く、楽天ビッグローブといった企業でも採用されているようだが、統合監視のOSSとしてはZABBIXが使いやすいと感じているためメリットは弱い。

Opmantek opFlow

f:id:daichi703n:20160221140519j:plain

opFlowでNetFlow可視化 - designetwork

OSSの統合監視システムNMISの追加モジュール、opFlow。
使い勝手やデザインは良いのだが、追加ライセンスが必要でオープンソースでない点が減点対象だ。私の環境でも評価版ライセンス期限が来て使えなくなってしまった…

ntop nProbe

f:id:daichi703n:20160123154517p:plain

ntopはntopngに変わっている - designetwork

元々はOSSプロジェクトとして進んでいたntopだが、ntopngとなりNetFlow CollectorのnProbeは要追加ライセンスとなっている。

Lancope STEALTHWATCH

f:id:daichi703n:20160321145145p:plain

Lancope-STEALTHWATCH評価版ライセンス取得からインストール・使用開始 - designetwork

番外編として、Ciscoが買収したLancopeのSTEALTHWATCH。
有償製品であるだけあって、使い勝手、デザインとも申し分ない。やはり、コレクターは有償製品を使うのがベターなのか…と実感する。NetFlow開発元のCiscoに買収されているため、今後も継続的なアップデートが期待できる。

まとめ

無償・フリーでNetFlow Collectorを導入するためにはPaessler PRTGを使用するのがベターだ FluentdのNetFlowプラグインを使用しElasticsearch+Kibanaで可視化するのがベストだと考えられる。