designetwork

ネットワークを軸としたIT技術メモ

Pandora FMS NetFlow分析機能の弱点

こちらの記事で、優位性を感じNetFlow Collector, AnalyzerとしてPandora FMSを採用することとした。

Pandora FMSでNetFlowとIPアドレス管理 - designetwork

CentOS6.5にインストールして使用してみたが、NetFlowトラフィック分析機能の弱い部分が見えてきたため導入は見送ろうと思う。
Flow CollectorとしてはPandora FMSをおすすめできない。

NetFlow機能に特化して確認したため統合監視機能については評価対象外
Enterprise版は未確認

Pandora FMSでできないこと

送信元/宛先の全通信リスト化

イメージとしては、次の表を生成できない。

プロトコル 送信元アドレス 送信元ポート 宛先アドレス 宛先ポート トラフィック
TCP 192.168.1.1 60000 10.1.1.1 80 60MB
UDP 192.168.1.1 50000 10.1.2.1 53 10MB
TCP 192.168.2.1 60000 10.1.1.1 80 5MB

複数Exporterの分離

元々がnfcapd, nfdumpの仕組みを使用しており、ひとつのファイルからデータ生成するため、Exporterを意識することができない。
複数ポイントでのトラフィック状況を個別に見ることができない。


上記より、採用を見送ることとした。
オープンソースのネットフローコレクターとして良く見えていたが、現状おすすめはできない。
自分でプラグインを作ればいいが、他の製品を検討するのが妥当だと考えられる。

Pandora FMSでできること

どれかひとつをキーにした集計
内容はマニュアルに記載されている。
出力イメージは以下の通り。条件はすべて同一。

  • 塗りつぶしグラフ(Area chart): 集約または未集約の塗りつぶしグラフです。
  • 円グラフ(Pie chart): 集約した円グラフです。
  • データ一覧(Data table): 塗りつぶしグラフをテキストで表したものです。
  • 状態一覧(Statistics table): 円グラフをテキストで表したものです。

ここからの二つはドキュメントには記載なし。

  • 円形メッシュ(Circular Mesh):通信元先の円グラフ。

このグラフはキレイで良くできている。
しかし、通信区間が多くなると実用に耐えない。
この例はSrc/Dst Portを描画。

通信先(IPアドレス、Port)を描画。
プロトコル・ポート番号で色が変わる。
青:HTTP, オレンジ:HTTPS

CentOSへのPandora FMS 6.0SP1-1インストール

インストールでエラーなどつまづいた部分メモ
基本的にオフィシャルドキュメントに記載の通りで進められるが、複数OSの記載が混在しており、やや見づらい部分あり。

CentOS6へのインストール

手順中の

yum install pandorafms_console pandorafms_server mysql-server

の前に以下を実行する必要あり。

yum install epel-release

上記を実行していない場合は以下のエラーとなる。

エラー: パッケージ: pandorafms_server-6.0SP1-1.noarch (artica_pandorafms)
要求: perl-Encode-Locale

初期ユーザ名/パスワードはAdmin/pandora

NetFlow使用にはnfdumpをインストールする必要あり。(ドキュメント記載あり)
Timezone設定を日本にしておかないと、グラフ生成が想定外の時間帯になる。

CentOS7へのインストール

CentOS7にPandoraFMS 6.1をインストールしようと思ったが、以下のエラーでインストールできない。 libsasl2.so.2はCentOS7では未サポートのようなので、打つ手なし?(libsasl2.so.3からサポート)

エラー: パッケージ: wmic-4.0.0SVN-2.1.noarch (artica_pandorafms)
要求: libsasl2.so.2

まとめ

マニュアルで事前に分かる内容もあったが、やはりNetFlow Collector(ネットフローコレクター)は使ってみないと評価できない部分が多い。
オープンソースの採用コレクター候補が一つ減って残念...
OSS既製品でNetFlowは難しいかもしれない...