Recientemente Graylog, ha sacado un plugin para captura de Netflow que tiene buena pinta. Todavía le quedan cosas por implementar y pulir como usar la versión 9 de NetFlow (actualmente utiliza la 5) pero el creador está trabajando en ello. También se echa de menos que haga lookup de las IPs para poder saber el nombre de domino. Pero por lo demás funciona correctamente.
Y es una alternativa perfectamente válida para herramientas como ntopng.

Instalación

Para empezar, hay que ir a la carpeta de plugins de Graylog

cd /usr/share/graylog-server/plugin

A continuación, descargar el plugin

wget https://github.com/Graylog2/graylog-plugin-netflow/releases/download/0.1.1/graylog-plugin-netflow-0.1.1.jar

Editar el archivo de configuración y añadir lo siguiente

vim /etc/graylog/server/server.conf

dns_resolver_enabled = true
dns_resolver_timeout = 2s
dns_resolver_run_before_extractors = true

Y por último, reiniciar el servicio

systemctl restart graylog-server.service

Una vez reiniciado, hay que crear el input de tipo NetFlow UDP en Graylog

Ahora, para probar que funciona bien vamos a instalar una herramienta llamada nprobe

Agregar los repositorios necesarios

vim /etc/apt/sources.list

deb http://packages.ntop.org/apt/jessie/ x64/
deb http://packages.ntop.org/apt/jessie/ all/

Añadir la Key

cd /tmp && wget -O - http://packages.ntop.org/apt/ntop.key | apt-key add -

Actualizar los repositorios

aptitude update

Y instalar nprobe y sus dependencias

apt install pfring nprobe ntopng ntopng-data nbox libnetfilter-queue1 libzmq3

Por último lanzar nprobe para que recolecte la info y la mande al graylog

nprobe --collector-port 3000 -i eth0 -n <IP_Graylog>:2055 -b 2

Si se quiere gestionar el netflow de un PFsense, hay que hacer los siguientes pasos:

Instalarlo:

System –> Packages –> Available Packages –> pfflowd

Configurar:

Services –> pfflowd

Fuente:
http://packages.ntop.org/apt/