Анализ в NetFlow Insight

Traffic Inspector Next Generation оснащён гибким и быстрым анализатором NetFlow, который называется Insight. Для его использования, сперва надо сконфигурировать Netflow Exporter для внутреннего захвата данных NetFlow. Как это сделать, можно посмотреть на странице Настройка NetFlow Exporter.

Пользовательский интерфейс

Insight является полностью интегрированной частью TING. Доступ к нему можно получить через Создание отчётов ‣ Анализ.

../../_images/gui.png

В данном решении представлен полный набор инструментов анализа: начиная от графического обзора и заканчивая csv-экспортером для последующего анализа в приложениях для электронных таблиц.

Вкладка «Всего»

По умолчанию, в Insight используется вид «Самые используемые порты/источники» и «Графический обзор». Этот вид позволяет быстро оценить текущие и прошлые потоки, показывая график входящего и исходящего потоков для каждого настроенного интерфейса.

Диапазон и разрешение

В правом верхнем углу можно выбрать диапазон дат и точность (разрешение) для собираемых потоков трафика.

Выбор вида

Можно показать потоки трафика в виде стека (по умолчанию), в виде потока или в развёрнутом виде, чтобы сравнить использование разных интерфейсов.

Staked
../../_images/view_stacked.png
Stream
../../_images/view_stream.png
Expanded
../../_images/view_expanded.png

Интерфейсы

Нажатие на интерфейсе отключает или включает его графическое отображение, двойное нажатие покажет только этот интерфейс.

Используемые порты/источники

Для выбранного интерфейса отобразится до 25 наиболее часто использующихся IP-адресов и портов, в ранее выбранном диапазоне дат.

Интерфейс

Выбор интерфейса для списка из 25 наиболее часто используемых источников трафика.

Диаграмма портов

Данная диаграмма показывает долю (в процентах) для каждого порта/приложения. Представление можно изменить, кликнув на одном из показанных портов/номеров - учёт данного порта, соответственно, будет отключен/включён, при двойном клике - на диаграмме останется только выбранный вариант.

Нажатие на секторе диаграммы откроет страницу с подробностями для выбранного элемента.

../../_images/port_pie-chart.png

../../_images/port_pie-detailed.png

Диаграмма IP-адресов

Функционально, идентична диаграмме для портов: показывает долю в трафике для каждого номера IP. Также можно управлять представлением на диаграмме элементов из списка и отображать подробную информацицию об, элементе, выбранном на диаграмме.

Итог по интерфейсу

Таблица, показывающая общий итог по выбранному интерфейсу: по пакетам и байтам - входящие/исходящие/всего.

../../_images/interfaces-total.png

Вкладка «Подробности»

Данную форму можно открыть, нажав на сектор круговой диаграммы или выбрав в меню вкладок страницы Создание отчётов ‣ Анализ элемент Подробности.

../../_images/details.png

В полученном отчёте видно, какой компьютер обращался на какой адрес и по какому порту/сервису, а также сколько было передано данных за время данного взаимодействия.

После выбора нужного временного интервала и интерфейса, можно дополнительно ограничить вывод данных, отфильтровав их по порту или IP-адресу. Нажмите значок обновления , чтобы загрузилась фильтрованная информация. Если оставить порт и адрес пустыми, будет получен полный список пакетов.

../../_images/full-details.png

Вкладка «Экспорт»

На вкладке Экспорт раздела Создание отчётов ‣ Анализ можно экспортировать данные в формат .csv для дальнейшего анализа в приложениях для электронных таблиц на ПК.

../../_images/export.png

Для экспорта данных, выберите одно из значений в выпадающем списке для поля Набор:

Интерфейсы

Суммарные данные по интерфейсу

Порты

Суммарные данные по порту назначения

Источники подробно

Полные данные по IP-адресу источника

Источники всего

Суммарные данные по IP-адресу источника

Выберите значение для поля Разрешение (в секундах): 30, 300, 3600, 86400 (соответственно: 30 с, 5 мин, 1 час, 1 сутки).

Выберите диапазон дат и нажмите кнопку Экспорт.

Экспортированная таблица, открытая в Libre Office:

../../_images/exported_table.png