OPNsense用戶手冊-Netflow導出和分析

Netflow導出和分析

Netflow是一種由Cisco發明的監控功能，它使用ng_netflow（Netgraph）在FreeBSD內核中實現。由於Netgraph是一個內核實現，因此與softflowd或pfflowd相比，它的調用顯示非常快。

雖然許多監控解決方案（如Nagios，Cacti和vnstat）僅捕獲流量統計信息，但Netflow會捕獲完整的數據包流，包括源、目標IP和端口號。

OPNsense支持將Netflow數據導出到外部收集器，以及用於現場分析和實時監控的綜合分析。

OPNsense是唯一一個集成了圖形用戶界面的內置Netflow分析器的開源解決方案。

支持的版本

OPNsense支持Netflow版本5（IPv4）和版本9（IPv4和IPv6）。

Netflow基礎知識

爲了分析流量數據，理解入口和出口流量之間的差異非常重要。

入口

到或從防火牆進來的流量。

出口

通過防火牆的流量。

入口 + 出口 =雙流量

當啓用入口和出口時，由於網絡地址轉換，流量被計算爲兩倍，因爲來自LAN的所有進入WAN的數據包都通過了防火牆的網絡轉換，從而創建了入口流。

如果您對入口流量不感興趣，那麼OPNsense會提供過濾此流量的選項。在同一設備上使用代理時，捕獲入口流也很重要，否則所有代理流量都不可見。下行當然是由於提到的NAT效應，所有未通過代理的流量都會被計算兩次。

Netflow導出器

OPNsense Netflow Exporter支持多個接口，過濾入口流和多個目的地，包括本地捕獲以供Insight（OPNsense Netflow Analyzer）分析。

Netflow Analyzer - 

OPNsense提供完整的Netflow Analyzer，具有以下功能：

1.捕獲5個細節級別 

• 最後2小時，30秒平均

• 最後8小時，5分鐘平均

• 上週，1小時平均

• 上個月，24小時平均

• 去年，24小時平均

2.流量的圖形表示（堆疊，流和擴展）

3.每個接口的最佳使用情況，包括ips和端口。

4.數據包和字節的全部輸入/輸出流量

5.帶日期選擇和端口/ IP過濾器的詳細視圖（最長2個月）

6.數據導出到csv，以便進行離線分析

• 可選擇的詳細程度

• 可選分辨率

• 可選的日期範圍

配置Netflow導出器

配置Netflow Exporter是一項簡單的任務。轉到Reporting-> NetFlow。

選擇要從中收集/導出數據的所有接口，通常可以在此處選擇所有可用接口。

如果您不想記錄始發或轉到防火牆本身的流量，請將接口添加到Egress，以防止重複計算相同的流量。

使用Insight進行本地分析也可以啓用Capture local(收集本地)。

根據您要使用的應用程序，選擇Version(版本) 5或9，版本5不支持IPv6。

添加Destinations（目標）（格式ip:端口，然後輸入）如果選擇了Capture local，將自動添加本地IP。

使用Insight - NetFlow分析儀

OPNsense配備了一個名爲Insight的靈活快速的Netflow Analyzer。要使用Insight，需要事先配置Netlfow導出器來捕獲本地Netflow數據（參見上節）。

用戶界面

Insight是OPNsense的完全集成部分。它的用戶界面簡單而強大。

Insight提供了一整套分析工具，從圖形概覽到csv導出器，可以使用您最喜歡的電子表格進行進一步分析。

圖形和總計

Insight的默認視圖是熱門用戶和圖形概述。此視圖允許快速檢查當前和過去的流量，顯示每個配置的接口的輸入和輸出流量的圖表。

選擇範圍和分辨率

在右上角，可以選擇所收集的流量的日期範圍和準確度（分辨率）。

查看類型

可以以Stacked(堆疊方式,默認）顯示流量圖，也可以以Stream(流)或Expanded(擴展)方式來比較不同接口的使用情況。

Stacked

Stream

Expanded

接口

單擊接口將禁用或啓用圖表視圖，雙擊僅選擇該接口。

熱門用戶

顯示前25個用戶的選定界面，包括前一個選定日期範圍內的端口和ips。

接口排名

選擇接口來查看前25位用戶。

端口餅圖

端口餅圖顯示每個端口/應用程序的百分比。可以通過單擊或雙擊其中一個顯示的端口名稱/數字來更改視圖。

點擊一塊餅將打開詳細視圖以進行進一步分析。

IP地址餅圖

IP地址餅圖與端口餅圖的工作方式相同，並顯示每個ip號的百分比。可以通過單擊或雙擊其中一個顯示的ip號來更改視圖。

點擊一塊餅將打開詳細視圖以進行進一步分析。

接口總計

屏幕截圖中未顯示，但最新版本還包括所選接口的總計，顯示爲數據包（輸入，輸出，總計）和字節數（輸入，輸出，總計）。

詳情視圖

可以通過單擊餅圖中的一個餅圖打開詳細信息視圖，或單擊選項卡詳細信息。

通過單擊選項卡打開詳細信息視圖時，可以進行新查詢。

選擇有效的日期範圍（表單/到）後，接口1可以通過過濾端口或IP地址進一步控制輸出。選擇刷新圖標以更新詳細輸出。將端口和地址留空以獲取完整的詳細列表。

導出視圖

“ 導出”視圖允許您導出數據，以便在您喜歡的電子表格或其他數據分析應用程序中進行進一步分析。

要導出數據，請選擇一個集合：

• FlowSourceAddrTotals - 每個源地址的總計

• FlowInterfaceTotals - 每個接口的總計

• FlowDstPortTotals - 每個目標端口的總計

• FlowSourceAddrDetails - 每個源地址的完整詳細信息

以秒爲單位選擇分辨率（300,3600,86400）

然後選擇日期範圍（從/到）並單擊導出按鈕。