netflowコレクタで良さげなものを探していた。
PRTGを評価してみた。ざっくり簡単に傾向をみるには良いが、もうすこし踏み込んで...というところで不満が残る。
elastichsearch & kibana & logstash の組み合わせで試してみたが、kibana側でビジュアルに見せるところが思ったよりむつかしい。ELKにelastiflowというのを組み込んでやると、これがとても具合が良い。
https://github.com/robcowart/elastiflow
インストールもreadmeの通りで特に問題はなかった。
自宅の環境にnetflowを出力してくれる機器がなかったので、yachtman.synology.meにfprobeを入れた。fprobeは日本語の情報が少なく、古いプログラムだったので手間取った。だいたい以下のやり方でうまくいった。
fprobe-ulogがrpmで入れることができる。ただ、これはiptablesと組み合わせてやる必要があるみたいなので....。
fprobeがlibpcapを使用しインタフェースを指定してnetflowを出力してくれそうなので、ソースからビルド。./configure make make installで終わり。
fprobe -i eth0 logstash-Host:port で常駐してくれて、netflow V5を出力してくれたようだ。