The OpenNET Project / Index page

[ новости /+++ | форум | теги | ]

Выпуск Netflow/IPFIX/sFlow коллектора Xenoeye 25.02

20.02.2025 13:26

Опубликован релиз Netflow/IPFIX/sFlow коллектора Xenoeye 25.02. Коллектор позволяет собирать с различных сетевых устройств статистику о потоках трафика, передаваемую с использованием протоколов Netflow v5, v9, IPFIX и sFlow, обрабатывать данные, генерировать отчёты и строить графики. Ядро проекта написано на языке С, код распространяется под лицензией ISC.

Коллектор агрегирует сетевой трафик по выбранным полям и экспортирует данные в PostgreSQL. По этим данным можно строить отчеты, графики (используя gnuplot, скриптами на Python + Matplotlib) или дашборды в Grafana. Кроме этого, коллектор может запускать пользовательские скрипты при превышении порогов или при падении трафика ниже порогов.

Для подсчёта текущей скорости трафика используются скользящие средние. Механизм, отслеживающий превышение порогов, предназначен для оповещения о DoS/DDoS-атаках и запуске подавления с помощью BGP-анонсов (Flowspec или Blackhole). В комплекте с коллектором идет пример скрипта Telegram-робота, который может оповещать в мессенджер об аномалиях. Коллектор не требователен к ресурсам, он может обрабатывать трафик небольших сетей на Raspberry/Orange Pi или в виртуальной машине с 2-4Гб оперативной памяти.

Изменения в новой версии:

  • Добавлена поддержка протокола sFlow, для которого реализована возможность парсить начинку (payload) сетевых пакетов и извлекать оттуда информацию о DNS и TLS (HTTPS) SNI. Хостеры и владельцы датацентров могут использовать данную возможность для борьбы с фишингом и оценки того, какие домены и сайты хостятся в сети.
  • Добавлена поддержка вложенных/иерархических объектов мониторинга, позволяющих упростить некоторые конфигурации с большим количеством объектов и повысить производительность обработки по сравнению с "плоским" списком объектов мониторинга.
  • Добавлена возможность классификации интерфейсов - трафик выбранных сетевых интерфейсов маршрутизаторов или коммутаторов можно игнорировать или обрабатывать специальным образом.
  • Добавлена возможность следить не только за всплесками трафика, но и за падением ниже порогов, что может быть полезно для косвенного мониторинга отдельных серверов или сервисов.
  • Добавлена возможность изменять пороги трафика без перезапуска коллектора. Механизм предназначен для ситуации, когда пользователи вычисляют пороги автоматически, исходя из статистики за предыдущие периоды, и периодически обновляют пороги в коллекторе.
  • Добавлен LXC-контейнер для быстрого развёртывания и тестирования коллектора. В контейнер входит коллектор с предустановленными объектами мониторинга, PostgreSQL и Grafana.


  1. Главная ссылка к новости (https://github.com/vmxdev/xeno...)
  2. OpenNews: Опубликован Netflow-коллектор Xenoeye
  3. OpenNews: Выпуск дистрибутива BSD Router Project 1.994
  4. OpenNews: Релиз FastNetMon 1.1.2, открытого решения по обнаружению DDoS-атак
Автор новости: Аноним
Лицензия: CC BY 3.0
Короткая ссылка: https://opennet.ru/62757-xenoeye
Ключевые слова: xenoeye, netflow, ipfix, sflow
При перепечатке указание ссылки на opennet.ru обязательно


Обсуждение (12) Ajax | 1 уровень | Линейный | +/- | Раскрыть всё | RSS
  • 1.5, Аноним (5), 15:22, 20/02/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +3 +/
    2-4 Gb уже считается не требовательными ресурсами, с учётом, что написано на C. А если бы было на electron?
     
     
  • 2.8, Аноним (8), 15:38, 20/02/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    >или в виртуальной машине с 2-4Гб оперативной памяти

    Так этож на всю гостевую машину вместе с ОС, СУБД.

     
  • 2.17, Аноним (17), 18:02, 20/02/2025 [^] [^^] [^^^] [ответить]  
    		• +2 +/
    Основную массу памяти съедает ОС, БД и Графана.
    Вы, наверное, с этими netflow-коллекторами не сталкивались. Это смешная цифра.
    Многие современные опенсорсные коллекторы - это потомки того что открыла Cloudflare: goflow, goflow2, Akvorado и т.д. Они обычно льют в Kafka, потом в какую-нибудь модную БД (ClickHouse, например) и визуализируют с помощью Grafana. Или Logstash+Elastic+Kibana.
    Даже для небольшого трафика это будет более-менее комфортно работать гигабайт с 8, а лучше с 16 RAM.

    >Akvorado is performant enough to handle 100 000 flows per second with 64 GB of RAM and 24 vCPU.

     
     
  • 3.25, Аноним (25), 11:13, 21/02/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Модно-молодёжный кликхаус потребляет меньше ресурсов и требует меньше места для хранения данных, чем ортодоксальный nfcapd.
     
  • 2.21, Аноним (21), 22:12, 20/02/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Но кто считает Оперативную память.
     
     
  • 3.29, YetAnotherOnanym (ok), 13:02, 21/02/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    Наверное, те, у кого есть голова на плечах, а в ней мозги, а не наслоения рекламного компоста?
     

  • 1.6, Аноним (8), 15:34, 20/02/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    >Ядро проекта написано на языке С

    C++ 76.5%
    C 20.7%
    M4 1.5%
    Other 1.3%

     
     
  • 2.12, Совершенно другой аноним (?), 16:35, 20/02/2025 [^] [^^] [^^^] [ответить]  
    		• +1 +/
    Нажмите ниже на ссылку Languages: C++ (repo:vmxdev/xenoeye  language:C++). У меня пишет "Your search did not match any code". Есть подозрение, что статистика поломана..
     

  • 1.10, Аноним (10), 15:58, 20/02/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• –2 +/
    Какая-то херня, использую goflow2 и продолжу его использовать.
     
  • 1.18, Максим Сохацкий (?), 19:22, 20/02/2025 [ответить] [﹢﹢﹢] [ · · · ]  
    		• +/
    Все понятно. Дожили до C++.
     
     
  • 2.23, Аноним (-), 08:57, 21/02/2025 [^] [^^] [^^^] [ответить]  
    		• +/
    C++ устарел. Лучше на Carbon писать.
     

     Добавить комментарий
    Имя:
    E-Mail:
    Текст:

    Партнёры:
    PostgresPro
    Inferno Solutions
    Hosting by Hoster.ru
    Хостинг:

    Закладки на сайте
    Проследить за страницей     		Created 1996-2025 by Maxim Chirkov
    Добавить, Поддержать, Вебмастеру