Netflow导出和分析

Netflow分析器洞察截图

Netflow是一种由Cisco发明的监控功能，它使用ng_netflow（Netgraph）在FreeBSD内核中实现。由于Netgraph是一个内核实现，因此与softflowd或pfflowd相比，它的调用显示非常快。
虽然许多监控解决方案（如Nagios，Cacti和vnstat）仅捕获流量统计信息，但Netflow会捕获完整的数据包流，包括源、目标IP和端口号。
OPNsense支持将Netflow数据导出到外部收集器，以及用于现场分析和实时监控的综合分析。
OPNsense是唯一一个集成了图形用户界面的内置Netflow分析器的开源解决方案。

支持的版本

OPNsense支持Netflow版本5（IPv4）和版本9（IPv4和IPv6）。

Netflow基础知识

为了分析流量数据，理解入口和出口流量之间的差异非常重要。

入口

到或从防火墙进来的流量。

出口

通过防火墙的流量。

入口 + 出口 = 双流量

当启用入口和出口时，由于网络地址转换，流量被计算为两倍，因为来自LAN的所有进入WAN的数据包都通过了防火墙的网络转换，从而创建了入口流。
如果您对入口流量不感兴趣，那么OPNsense会提供过滤此流量的选项。在同一设备上使用代理时，捕获入口流也很重要，否则所有代理流量都不可见。下行当然是由于提到的NAT效应，所有未通过代理的流量都会被计算两次。

Netflow导出器

OPNsense Netflow Exporter支持多个接口，过滤入口流和多个目的地，包括本地捕获以供Insight（OPNsense Netflow Analyzer）分析。

Netflow导出器配置界面

Netflow Analyzer

OPNsense提供完整的Netflow Analyzer，具有以下功能：

捕获5个细节级别
- 最后2小时，30秒平均
- 最后8小时，5分钟平均
- 上周，1小时平均
- 上个月，24小时平均
- 去年，24小时平均
流量的图形表示（堆叠，流和扩展）
每个接口的最佳使用情况，包括IP和端口。
数据包和字节的全部输入/输出流量
带日期选择和端口/IP过滤器的详细视图（最长2个月）
数据导出到csv，以便进行离线分析
- 可选择的详细程度
- 可选分辨率
- 可选的日期范围

Insight详细视图

配置Netflow导出器

Netflow导出器设置

配置Netflow Exporter是一项简单的任务。转到Reporting -> NetFlow。

选择要从中收集/导出数据的所有接口，通常可以在此处选择所有可用接口。

如果您不想记录始发或转到防火墙本身的流量，请将接口添加到Egress，以防止重复计算相同的流量。

使用Insight进行本地分析也可以启用Capture local（收集本地）。

根据您要使用的应用程序，选择Version（版本）5或9，版本5不支持IPv6。

添加Destinations（目标）（格式ip:端口，然后输入）如果选择了Capture local，将自动添加本地IP。

使用Insight – NetFlow分析仪

OPNsense配备了一个名为Insight的灵活快速的Netflow Analyzer。要使用Insight，需要事先配置Netlfow导出器来捕获本地Netflow数据（参见上节）。

用户界面

Insight是OPNsense的完全集成部分。它的用户界面简单而强大。

Insight图形用户界面

Insight提供了一整套分析工具，从图形概览到csv导出器，可以使用您最喜欢的电子表格进行进一步分析。

图形和总计

Insight的默认视图是热门用户和图形概述。此视图允许快速检查当前和过去的流量，显示每个配置的接口的输入和输出流量的图表。

选择范围和分辨率

在右上角，可以选择所收集的流量的日期范围和准确度（分辨率）。

查看类型

可以以Stacked（堆叠方式，默认）显示流量图，也可以以Stream（流）或Expanded（扩展）方式来比较不同接口的使用情况。

Stacked

堆叠视图流量图

Stream

流视图流量图

Expanded

扩展视图流量图

接口

单击接口将禁用或启用图表视图，双击仅选择该接口。

接口排名

选择接口来查看前25位用户。

端口饼图

端口饼图显示每个端口/应用程序的百分比。可以通过单击或双击其中一个显示的端口名称/数字来更改视图。
点击一块饼将打开详细视图以进行进一步分析。

端口饼图详情入口

饼图详细视图

IP地址饼图

IP地址饼图与端口饼图的工作方式相同，并显示每个IP号的百分比。可以通过单击或双击其中一个显示的IP号来更改视图。
点击一块饼将打开详细视图以进行进一步分析。

接口总计

屏幕截图中未显示，但最新版本还包括所选接口的总计，显示为数据包（输入，输出，总计）和字节数（输入，输出，总计）。

详情视图

可以通过单击饼图中的一个饼图打开详细信息视图，或单击选项卡详细信息。
通过单击选项卡打开详细信息视图时，可以进行新查询。

详情视图查询界面

选择有效的日期范围（从/到）后，接口可以通过过滤端口或IP地址进一步控制输出。选择刷新图标以更新详细输出。将端口和地址留空以获取完整的详细列表。

完整详情列表

导出视图

导出视图允许您导出数据，以便在您喜欢的电子表格或其他数据分析应用程序中进行进一步分析。

导出视图界面

要导出数据，请选择一个集合：

FlowSourceAddrTotals – 每个源地址的总计
FlowInterfaceTotals – 每个接口的总计
FlowDstPortTotals – 每个目标端口的总计
FlowSourceAddrDetails – 每个源地址的完整详细信息

以秒为单位选择分辨率（300,3600,86400）
然后选择日期范围（从/到）并单击导出按钮。

导出CSV数据示例