Analiza ruchu sieciowego w Elasticsearch

Analizatory ruch sieciowego dostępne są zarówno jako systemy komercyjne jak i  projekty OpenSource. Dobrym przykładem rozwiązania za którem stoją duzi producenci są aplikacje : Flowmon oraz Scrutinizer.

Coraz częściej widzimy, że funkcjonalności rozwiązań OpenSource w połączeniu z ekspercką wiedzą inżynierów Linux posiadają bardzo wiele do zaoferowania. Takim przykładem jest stos aplikacyjny Elasticsearch, Logstash, Kibana – który stanowi trzon implementacji systemy Energy Logserver.

Logstash

Logstash posiada wbudowany moduł do obsługi ruchu NetFlow i IPFIX. Obsługuje najpopularniejsze wersje NetFlow (v5,v8,v9 i IPFIX) oraz najpopularniejsze implementacje (sFlow, JFlow, Cflowd). Pozwala to zintegrować urządzenia większości producentów w jeden system zliczający, agregujący, monitorujący i wizualizujący sytuacje w sieci. Stanowi to dodatkową wartość w zestawieniu z typowym celem Logstasha jakim jest przyjmowanie logów IT.

Dane o połączeniach

Logstash pozwala na umieszczenie danych o każdym pakiecie, opisanym we Flow w formie strukturyzowanej, co umożliwia ich wyszukiwanie i analizowanie. Poprzez wygodne okno Kibany użytkownik może zapytać o dowolny fragment transmisji i odnotować jej charakter. Z łatwością zauważymy niestandardowe porty, ataki DOS czy też połączenia z niechcianych adresów.

Date Flow możemy uzupełniać o rzeczy nie zawarte w transmisji, jak n.p. dane geolokalizacji źródłowych i docelowych. Dużą wartością jest możliwość integracji wiedzy o ruchu sieciowym ze zdarzeniami pochodzącymi z aplikacji wewnętrznych lub systemów typu proxy czy LoadBalancer.

Wizualizacja

Możliwości wizualizacji tych danych są ograniczone tylko naszym wyobrażeniem. Energy Logserver pozwala na dowolne zestawienie wyników w postaci przebiegów czasowych, wykresów kolistych czy słupkowych.

Zobaczmy parę przykładów już zwizualizowanych danych.