Auswertung / Statistik

[SteffenDE]

Servus,

ich kenne diverse andere FW / UTM Systeme und dort konnte man sich relativ einfach (im Standard) Auswertungen anzeigen lassen, die z.B. Source pro Service oder Top Requester etc. liefern. Konkret ich sehe zwar unter FW Overview eine Übersicht der Des.-Ports, aber wenn ich dann zu einem bestimmten Port die Source IPs sehen will finde ich keine on Board Möglichkeit. Auch Statistiken ala most Top Dropped Services/Hosts finde ich immer wieder interessant um ggf. daraus im Detail zu schauen was los war.

Macht Ihr so was alles mit externen Lösungen oder interessiert Euch so was nicht? Wenn leider nur Extern wie uns mit was?

Danke.

[Patrick M. Hausen]

Netflow heißt das Zauberwort. Da ich mir mit den geloggten Daten nicht die SSD zerschraddeln möchte und das bei lokaler Auswertung auch ziemlich auf die Performance geht, schaufel ich die Daten alle in Elastiflow.

Most dropped landet in Netflow allerdings nicht, da geblockte Verbindungen keinen Flow erzeugen.

[SteffenDE]

OK, dann schaue ich mir Elastiflow an.

Netflow habe ich mit 127.0.01 als Destination lokal aktiv. Da sehe ich schon bisschen was, aber halt nicht so ganz schön und als definierte Reports.

[Patrick M. Hausen]

Du musst einen Account registrieren, aber prinzipiell ist das kostenlos für bis zu 4000 Flows pro Sekunde. Das reicht für manchen Mittelständler.

Einzig die Hardware/VM-Anforderungen sind knackig. 16 GB Arbeitspeicher, 4 Kerne, 300 GB SSD als Minimum, auch für den Hausgebrauch. Elasticsearch ist ein Monster ;-)