forum.opennet.ru - "Опубликован Netflow-коллектор Xenoeye" (36)

"Опубликован Netflow-коллектор Xenoeye"

Форум Разговоры, обсуждение новостей
Вариант для распечатки		Пред. тема \| След. тема
Изначальное сообщение		[ Отслеживать ]

"Опубликован Netflow-коллектор Xenoeye"	+/–
Сообщение от opennews (??), 12-Апр-23, 22:30
Доступен Netflow-коллектор Xenoeye, который позволяет собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v9 и IPFIX, обрабатывать данные, генерировать отчёты и строить графики. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов. Ядро проекта написано на языке С, код распространяется под лицензией ISC... Подробнее: https://www.opennet.dev/opennews/art.shtml?num=58958
Ответить \| Правка \| Cообщить модератору

Оглавление

Мне название не нравится, плохой маркетинг, не взлетит , Аноним (1), 22:30 , 12-Апр-23, (1) –4
А кто в теме, поясните, зачем оно , Аноним (2), 22:54 , 12-Апр-23, (2) –1

Коллектор использует скользящие средние для подсчёта превышения скорости трафика, швондер (?), 00:04 , 13-Апр-23, (8) +2
Для сбора нетфлоу очевидно Что это такое - гугл в помощь , Аноним (10), 00:22 , 13-Апр-23, (10) +4

коллекторов как грязи еще в конце нулевых было , швондер (?), 01:28 , 13-Апр-23, (13) +2

Почему-то их любили писать на Java и на каких-то скриптовых языках Из опенсорсны, Аноним (16), 07:15 , 13-Апр-23, (16) +3

Nfacctd из состава pmacct вполне себе жив, шустр и кошерен Но это только колл, Анонанон (?), 09:12 , 14-Апр-23, (38)
А как же https www ntop org , pofigist (?), 11:13 , 16-Апр-23, (41)

Ни разу не видел чтобы кто-то им пользовался именно для netflow, Аноним (16), 08:18 , 18-Апр-23, (42)

А он именно под него и заточен изначально , pofigist (?), 16:32 , 20-Апр-23, (45)

Для продвинутого сетевого мониторинга По IP адресам, протоколам, портам, TCP-фл, Аноним (16), 06:54 , 13-Апр-23, (15)
для закона Мизулиной или закона Яровой забыл точно кто из этих дурных баб - к, ivan_erohin (?), 10:04 , 13-Апр-23, (30) –2

Кому-то нужно, чтобы его флоу стали общедоступны из-за очередной уязвимости Впе, Аноним (10), 00:20 , 13-Апр-23, (9) –10

Просто серьезные вещи для рельного применения пишут на Це очень даже , Аноним (11), 00:50 , 13-Апр-23, (11) +4

дооооо, инкремент в табличке значения в соотв паттерн-матчингом по полю - серьез, Аноним (12), 01:24 , 13-Апр-23, (12) –2

Так в чем собственно вопрос в надежности и безопасности Си Или в быстродействии , Аноним (14), 04:39 , 13-Апр-23, (14)

В быстродействии чего , Аноним (18), 08:09 , 13-Апр-23, (18)

Непонятно, что вы этим хотели сказать Netflow экспортируется от роутера к колле, Аноним (16), 07:30 , 13-Апр-23, (17)

Недоброжелатели обычно тусят именно в доверенной сети И обычно этот тот человек, Аноним (18), 08:11 , 13-Апр-23, (20)

этот недоброжелатель он сейчас с тобой в комнате под кроватью посмотри кстати, жявамэн (ok), 08:20 , 13-Апр-23, (21)

Нашёл Спасибо за подсказку , Аноним (24), 08:37 , 13-Апр-23, (24) +2

А зачем тогда недоброжелателю искать дыры в коллекторе Он же может и так сделат, Аноним (16), 08:35 , 13-Апр-23, (23)

Таких сетей существует ровно две 1 128 и 127 0 0 0 8 Все остальные сети недо, Аноним (35), 16:56 , 13-Апр-23, (35)

можно подумать дыры зависят от языка, а не от человеческого фактора , яя (?), 08:24 , 13-Апр-23, (22) +1

В свое время остановился на logstash, там препроцессинг удобнее Да и выводить д, Catwoolfii (ok), 08:10 , 13-Апр-23, (19)

Elastic стек, скажем так, на любителя У них еще произошла смена лицензий, часть , Аноним (16), 08:55 , 13-Апр-23, (25)

Не, у меня logstash - clickhouse - grafana, Catwoolfii (ok), 11:36 , 13-Апр-23, (32)

Um, и зачем это, если есть flowd , Tron is Whistling (?), 09:18 , 13-Апр-23, (27)

Еще nfdump есть Вообще, какой смысл у сий поделки Что там такого, чего бы не хв, Tron is Whistling (?), 09:19 , 13-Апр-23, (28)

Для этого, 1 (??), 09:35 , 13-Апр-23, (29)

nfdump вполне себе справляется и с бОльшим количеством, вне зависимости от харак, Tron is Whistling (?), 09:02 , 14-Апр-23, (37)

Понятно nfdump - это определенно не самый быстрый коллектор Слово dump в назва, Аноним (16), 08:26 , 18-Апр-23, (43)

Нет, если тебе надо обрабатывать вот строго одним алкоритмом - да, можно не писа, Tron is Whistling (?), 09:15 , 18-Апр-23, (44)

flowd настолько прекрасен, что им уже лет 10 не пользуются даже авторы Выше напи, Аноним (16), 11:51 , 13-Апр-23, (33)

Ну короче смузихлёбство, я понял , Tron is Whistling (?), 09:02 , 14-Апр-23, (36) –1

Хочется поблагодарить авторов и пожелать им успехов , Аноним (40), 17:44 , 14-Апр-23, (40) +1

Сообщения [Сортировка по ответам | RSS]

1. Сообщение от Аноним (1), 12-Апр-23, 22:30 –4 +/–

Мне название не нравится, плохой маркетинг, не взлетит.

Ответить | Правка | Наверх | Cообщить модератору

2. Сообщение от Аноним (2), 12-Апр-23, 22:54 –1 +/–

А кто в теме, поясните, зачем оно?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #8, #10, #15, #30

8. Сообщение от швондер (?), 13-Апр-23, 00:04 +2 +/–

Коллектор использует скользящие средние для подсчёта превышения скорости трафика.
Коллектор можно использовать для поиска заражённых хостов (рассылающих почтовый спам, HTTP(S)-flood, SSH-сканеров), для определения резких всплесков при DoS/DDoS-атаках.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (10), 13-Апр-23, 00:20 –10 +/–

>Ядро проекта написано на языке С
Кому-то нужно, чтобы его флоу стали общедоступны из-за очередной уязвимости? Вперёд и с песней использовать коллектор на Це =)

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #11, #17, #22

10. Сообщение от Аноним (10), 13-Апр-23, 00:22 +4 +/–

Для сбора нетфлоу очевидно. Что это такое - гугл в помощь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2 Ответы: #13

11. Сообщение от Аноним (11), 13-Апр-23, 00:50 +4 +/–

Просто серьезные вещи для рельного применения пишут на Це очень даже.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от Аноним (12), 13-Апр-23, 01:24 –2 +/–

дооооо, инкремент в табличке значения в соотв паттерн-матчингом по полю - серьезная вещь, куда уж

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от швондер (?), 13-Апр-23, 01:28 +2 +/–

коллекторов как грязи еще в конце нулевых было.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #10 Ответы: #16

14. Сообщение от Аноним (14), 13-Апр-23, 04:39 +/–

Так в чем собственно вопрос в надежности и безопасности Си?
Или в быстродействии Rust?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #12 Ответы: #18

15. Сообщение от Аноним (16), 13-Апр-23, 06:54 +/–

Для продвинутого сетевого мониторинга. По IP адресам, протоколам, портам, TCP-флагам. И по другим полям, которые могут быть в netflow (а их может быть дофига разных). AS, VLAN, номер порта и т.п.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

16. Сообщение от Аноним (16), 13-Апр-23, 07:15 +3 +/–

> коллекторов как грязи еще в конце нулевых было
Почему-то их любили писать на Java и на каких-то скриптовых языках.
Из опенсорсных выжило с тех времен буквально 1.5 штуки - простейший nfdump и полу-коммерческий FastNetMon.
Сейчас, в 2023 ситуация очень непонятная. Иностранные коммерческие коллекторы закрыли даже доступ к своим сайтам для русских IP
https://www.solarwinds.com/netflow-traffic-analyzer
https://www.plixer.com/products/scrutinizer/
Непонятно зачем, их все равно легально нельзя купить. Насколько я понимаю, FastNetMon тоже не продает коммерческие версии, хотя Павел вроде как из России. У него на github-странице написано что разработкой занимается какое-то LTD из Лондона.
Современные опенсорсные коллекторы массово появились, когда Cloudflare выложили в свободный доступ свою netflow-библиотеку goflow. Сейчас классический опенсорс коллектор это экспортер на go + Kafka/Elastic/Greylog + какое-то хранилище + визуализатор. Докеры, кластеры, пайплайны, терабайтные хранилища, вот это все

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #13 Ответы: #38, #41

17. Сообщение от Аноним (16), 13-Апр-23, 07:30 +/–

> Кому-то нужно, чтобы его флоу стали общедоступны из-за очередной уязвимости?
Непонятно, что вы этим хотели сказать. Netflow экспортируется от роутера к коллектору, это обычно происходит внутри доверенной сети. Из дикого интернета netflow никто не принимает. Он (обычно) ходит по UDP, адрес источника можно легко заспуфить.
Единственное, что из коллектора может торчать наружу - это визуализатор, например Grafana. Или самодельная страничка с отчетами. Но если там найдут дыры, то претензии уже не к коллектору

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9 Ответы: #20, #35

18. Сообщение от Аноним (18), 13-Апр-23, 08:09 +/–

В быстродействии чего?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #14

19. Сообщение от Catwoolfii (ok), 13-Апр-23, 08:10 +/–

В свое время остановился на logstash, там препроцессинг удобнее. Да и выводить данные можно почти куда угодно.

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #25

20. Сообщение от Аноним (18), 13-Апр-23, 08:11 +/–

Недоброжелатели обычно тусят именно в доверенной сети. И обычно этот тот человек, который сидит рядом с тобой и которому ты максимально доверяешь.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17 Ответы: #21, #23

21. Сообщение от жявамэн (ok), 13-Апр-23, 08:20 +/–

этот недоброжелатель он сейчас с тобой в комнате?
под кроватью посмотри кстати

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20 Ответы: #24

22. Сообщение от яя (?), 13-Апр-23, 08:24 +1 +/–

можно подумать дыры зависят от языка, а не от человеческого фактора...

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #9

23. Сообщение от Аноним (16), 13-Апр-23, 08:35 +/–

> Недоброжелатели обычно тусят именно в доверенной сети
А зачем тогда недоброжелателю искать дыры в коллекторе? Он же может и так сделать флоу общедоступными?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #20

24. Сообщение от Аноним (24), 13-Апр-23, 08:37 +2 +/–

> под кроватью посмотри кстати
Нашёл! Спасибо за подсказку.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #21

25. Сообщение от Аноним (16), 13-Апр-23, 08:55 +/–

Elastic стек, скажем так, на любителя.
У них еще произошла смена лицензий, часть продуктов стали не совсем open source:
https://www.elastic.co/pricing/faq/licensing#elasticsearch-k...
> Neither the Elastic License nor SSPL have been approved by the OSI, so to prevent confusion, we no longer refer to Elasticsearch or Kibana as open source
То есть пока для обычных пользователей вроде как ничего не изменилось, но кто знает что им дальше придет в голову

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #19 Ответы: #32

27. Сообщение от Tron is Whistling (?), 13-Апр-23, 09:18 +/–

Um, и зачем это, если есть flowd?

Ответить | Правка | Наверх | Cообщить модератору
Ответы: #28, #33

28. Сообщение от Tron is Whistling (?), 13-Апр-23, 09:19 +/–

Еще nfdump есть.
Вообще, какой смысл у сий поделки? Что там такого, чего бы не хватало в имеющемся?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #29

29. Сообщение от 1 (??), 13-Апр-23, 09:35 +/–

> Производительность коллектора в зависимости от характера трафика и отчётов может достигать нескольких сотен тысяч "flows per second" на одном CPU.
Для этого

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #28 Ответы: #37

30. Сообщение от ivan_erohin (?), 13-Апр-23, 10:04 –2 +/–

для закона Мизулиной (или закона Яровой ? забыл точно кто из этих дурных баб - кто).
я в свое время для сверки с провайдером обходился ipacctd.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #2

32. Сообщение от Catwoolfii (ok), 13-Апр-23, 11:36 +/–

Не, у меня: logstash -> clickhouse -> grafana

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #25

33. Сообщение от Аноним (16), 13-Апр-23, 11:51 +/–

flowd настолько прекрасен, что им уже лет 10 не пользуются даже авторы.
Выше написал - из старых коллекторов остались более-менее в живых только FastNetMon и nfdump. Причем у FastNetMon все интересное только в коммерческих версиях.
Можно считать, что xenoeye это такой гибрид nfdump (для отчетов, графиков, поиска аномалий в трафике) + FastNetMon (для быстрой реакции на пробитие порогов) + экспорт в Grafana для современных дашбордов

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #27 Ответы: #36

35. Сообщение от Аноним (35), 13-Апр-23, 16:56 +/–

> происходит внутри доверенной сети
Таких сетей существует ровно две: ::1/128 и 127.0.0.0/8. Все остальные сети недоверенные.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #17

36. Сообщение от Tron is Whistling (?), 14-Апр-23, 09:02 –1 +/–

Ну короче смузихлёбство, я понял.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #33

37. Сообщение от Tron is Whistling (?), 14-Апр-23, 09:02 +/–

nfdump вполне себе справляется и с бОльшим количеством, вне зависимости от характера трафика :D

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #29 Ответы: #43

38. Сообщение от Анонанон (?), 14-Апр-23, 09:12 +/–

Nfacctd (из состава pmacct) вполне себе жив, шустр и кошерен. Но это только коллектор, морду/экспортер к нему надо самому пилить.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16

40. Сообщение от Аноним (40), 14-Апр-23, 17:44 +1 +/–

Хочется поблагодарить авторов и пожелать им успехов.

Ответить | Правка | Наверх | Cообщить модератору

41. Сообщение от pofigist (?), 16-Апр-23, 11:13 +/–

А как же https://www.ntop.org/?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #16 Ответы: #42

42. Сообщение от Аноним (16), 18-Апр-23, 08:18 +/–

> А как же https://www.ntop.org/
Ни разу не видел чтобы кто-то им пользовался именно для netflow

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #41 Ответы: #45

43. Сообщение от Аноним (16), 18-Апр-23, 08:26 +/–

> nfdump вполне себе справляется и с бОльшим количеством, вне зависимости от характера трафика :D
Понятно. nfdump - это определенно не самый быстрый коллектор. Слово dump в названии кагбе намекает, что он пишет все фловы на диск и только потом их обрабатывает

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #37 Ответы: #44

44. Сообщение от Tron is Whistling (?), 18-Апр-23, 09:15 +/–

Нет, если тебе надо обрабатывать вот строго одним алкоритмом - да, можно не писать.
Но если у тебя пост-аналитика и возможны изменяющиеся обработки - придётся писать, куда ты денешься.
Ну и опять же, "диск" - понятие очень растяжимое. tmpfs и zram - диск или не диск?

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #43

45. Сообщение от pofigist (?), 20-Апр-23, 16:32 +/–

А он именно под него и заточен изначально.

Ответить | Правка | Наверх | Cообщить модератору
Родитель: #42

Архив | Удалить

Рекомендовать для помещения в FAQ | Индекс форумов | Темы | Пред. тема | След. тема

Партнёры:

Хостинг:

Закладки на сайте
Проследить за страницей

Created 1996-2025 by Maxim Chirkov
Добавить, Поддержать, Вебмастеру

1. Сообщение от Аноним (1), 12-Апр-23, 22:30	–4 +/–
Мне название не нравится, плохой маркетинг, не взлетит.
Ответить \| Правка \| Наверх \| Cообщить модератору

2. Сообщение от Аноним (2), 12-Апр-23, 22:54	–1 +/–
А кто в теме, поясните, зачем оно?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #8, #10, #15, #30

8. Сообщение от швондер (?), 13-Апр-23, 00:04	+2 +/–
Коллектор использует скользящие средние для подсчёта превышения скорости трафика. Коллектор можно использовать для поиска заражённых хостов (рассылающих почтовый спам, HTTP(S)-flood, SSH-сканеров), для определения резких всплесков при DoS/DDoS-атаках.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

9. Сообщение от Аноним (10), 13-Апр-23, 00:20	–10 +/–
>Ядро проекта написано на языке С Кому-то нужно, чтобы его флоу стали общедоступны из-за очередной уязвимости? Вперёд и с песней использовать коллектор на Це =)
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #11, #17, #22

10. Сообщение от Аноним (10), 13-Апр-23, 00:22	+4 +/–
Для сбора нетфлоу очевидно. Что это такое - гугл в помощь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2 Ответы: #13

11. Сообщение от Аноним (11), 13-Апр-23, 00:50	+4 +/–
Просто серьезные вещи для рельного применения пишут на Це очень даже.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #12

12. Сообщение от Аноним (12), 13-Апр-23, 01:24	–2 +/–
дооооо, инкремент в табличке значения в соотв паттерн-матчингом по полю - серьезная вещь, куда уж
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #11 Ответы: #14

13. Сообщение от швондер (?), 13-Апр-23, 01:28	+2 +/–
коллекторов как грязи еще в конце нулевых было.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #10 Ответы: #16

14. Сообщение от Аноним (14), 13-Апр-23, 04:39	+/–
Так в чем собственно вопрос в надежности и безопасности Си? Или в быстродействии Rust?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #12 Ответы: #18

15. Сообщение от Аноним (16), 13-Апр-23, 06:54	+/–
Для продвинутого сетевого мониторинга. По IP адресам, протоколам, портам, TCP-флагам. И по другим полям, которые могут быть в netflow (а их может быть дофига разных). AS, VLAN, номер порта и т.п.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

16. Сообщение от Аноним (16), 13-Апр-23, 07:15	+3 +/–
> коллекторов как грязи еще в конце нулевых было Почему-то их любили писать на Java и на каких-то скриптовых языках. Из опенсорсных выжило с тех времен буквально 1.5 штуки - простейший nfdump и полу-коммерческий FastNetMon. Сейчас, в 2023 ситуация очень непонятная. Иностранные коммерческие коллекторы закрыли даже доступ к своим сайтам для русских IP https://www.solarwinds.com/netflow-traffic-analyzer https://www.plixer.com/products/scrutinizer/ Непонятно зачем, их все равно легально нельзя купить. Насколько я понимаю, FastNetMon тоже не продает коммерческие версии, хотя Павел вроде как из России. У него на github-странице написано что разработкой занимается какое-то LTD из Лондона. Современные опенсорсные коллекторы массово появились, когда Cloudflare выложили в свободный доступ свою netflow-библиотеку goflow. Сейчас классический опенсорс коллектор это экспортер на go + Kafka/Elastic/Greylog + какое-то хранилище + визуализатор. Докеры, кластеры, пайплайны, терабайтные хранилища, вот это все
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #13 Ответы: #38, #41

17. Сообщение от Аноним (16), 13-Апр-23, 07:30	+/–
> Кому-то нужно, чтобы его флоу стали общедоступны из-за очередной уязвимости? Непонятно, что вы этим хотели сказать. Netflow экспортируется от роутера к коллектору, это обычно происходит внутри доверенной сети. Из дикого интернета netflow никто не принимает. Он (обычно) ходит по UDP, адрес источника можно легко заспуфить. Единственное, что из коллектора может торчать наружу - это визуализатор, например Grafana. Или самодельная страничка с отчетами. Но если там найдут дыры, то претензии уже не к коллектору
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9 Ответы: #20, #35

18. Сообщение от Аноним (18), 13-Апр-23, 08:09	+/–
В быстродействии чего?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #14

19. Сообщение от Catwoolfii (ok), 13-Апр-23, 08:10	+/–
В свое время остановился на logstash, там препроцессинг удобнее. Да и выводить данные можно почти куда угодно.
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #25

20. Сообщение от Аноним (18), 13-Апр-23, 08:11	+/–
Недоброжелатели обычно тусят именно в доверенной сети. И обычно этот тот человек, который сидит рядом с тобой и которому ты максимально доверяешь.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17 Ответы: #21, #23

21. Сообщение от жявамэн (ok), 13-Апр-23, 08:20	+/–
этот недоброжелатель он сейчас с тобой в комнате? под кроватью посмотри кстати
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20 Ответы: #24

22. Сообщение от яя (?), 13-Апр-23, 08:24	+1 +/–
можно подумать дыры зависят от языка, а не от человеческого фактора...
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #9

23. Сообщение от Аноним (16), 13-Апр-23, 08:35	+/–
> Недоброжелатели обычно тусят именно в доверенной сети А зачем тогда недоброжелателю искать дыры в коллекторе? Он же может и так сделать флоу общедоступными?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #20

24. Сообщение от Аноним (24), 13-Апр-23, 08:37	+2 +/–
> под кроватью посмотри кстати Нашёл! Спасибо за подсказку.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #21

25. Сообщение от Аноним (16), 13-Апр-23, 08:55	+/–
Elastic стек, скажем так, на любителя. У них еще произошла смена лицензий, часть продуктов стали не совсем open source: https://www.elastic.co/pricing/faq/licensing#elasticsearch-k... > Neither the Elastic License nor SSPL have been approved by the OSI, so to prevent confusion, we no longer refer to Elasticsearch or Kibana as open source То есть пока для обычных пользователей вроде как ничего не изменилось, но кто знает что им дальше придет в голову
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #19 Ответы: #32

27. Сообщение от Tron is Whistling (?), 13-Апр-23, 09:18	+/–
Um, и зачем это, если есть flowd?
Ответить \| Правка \| Наверх \| Cообщить модератору
Ответы: #28, #33

28. Сообщение от Tron is Whistling (?), 13-Апр-23, 09:19	+/–
Еще nfdump есть. Вообще, какой смысл у сий поделки? Что там такого, чего бы не хватало в имеющемся?
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27 Ответы: #29

29. Сообщение от 1 (??), 13-Апр-23, 09:35	+/–
> Производительность коллектора в зависимости от характера трафика и отчётов может достигать нескольких сотен тысяч "flows per second" на одном CPU. Для этого
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #28 Ответы: #37

30. Сообщение от ivan_erohin (?), 13-Апр-23, 10:04	–2 +/–
для закона Мизулиной (или закона Яровой ? забыл точно кто из этих дурных баб - кто). я в свое время для сверки с провайдером обходился ipacctd.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #2

32. Сообщение от Catwoolfii (ok), 13-Апр-23, 11:36	+/–
Не, у меня: logstash -> clickhouse -> grafana
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #25

33. Сообщение от Аноним (16), 13-Апр-23, 11:51	+/–
flowd настолько прекрасен, что им уже лет 10 не пользуются даже авторы. Выше написал - из старых коллекторов остались более-менее в живых только FastNetMon и nfdump. Причем у FastNetMon все интересное только в коммерческих версиях. Можно считать, что xenoeye это такой гибрид nfdump (для отчетов, графиков, поиска аномалий в трафике) + FastNetMon (для быстрой реакции на пробитие порогов) + экспорт в Grafana для современных дашбордов
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #27 Ответы: #36

35. Сообщение от Аноним (35), 13-Апр-23, 16:56	+/–
> происходит внутри доверенной сети Таких сетей существует ровно две: ::1/128 и 127.0.0.0/8. Все остальные сети недоверенные.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #17

36. Сообщение от Tron is Whistling (?), 14-Апр-23, 09:02	–1 +/–
Ну короче смузихлёбство, я понял.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #33

37. Сообщение от Tron is Whistling (?), 14-Апр-23, 09:02	+/–
nfdump вполне себе справляется и с бОльшим количеством, вне зависимости от характера трафика :D
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #29 Ответы: #43

38. Сообщение от Анонанон (?), 14-Апр-23, 09:12	+/–
Nfacctd (из состава pmacct) вполне себе жив, шустр и кошерен. Но это только коллектор, морду/экспортер к нему надо самому пилить.
Ответить \| Правка \| Наверх \| Cообщить модератору
Родитель: #16