Graylog: Plugin para capturar NetFlow

Recientemente Graylog, ha sacado un plugin para captura de Netflow que tiene buena pinta. Todavía le quedan cosas por implementar y pulir como usar la versión 9 de NetFlow (actualmente utiliza la 5) pero el creador está trabajando en ello. También se echa de menos que haga lookup de las IPs para poder saber el nombre de domino. Pero por lo demás funciona correctamente.
Y es una alternativa perfectamente válida para herramientas como ntopng.

Instalación

Para empezar, hay que ir a la carpeta de plugins de Graylog

A continuación, descargar el plugin

Editar el archivo de configuración y añadir lo siguiente

Y por último, reiniciar el servicio

Una vez reiniciado, hay que crear el input de tipo NetFlow UDP en Graylog

Ahora, para probar que funciona bien vamos a instalar una herramienta llamada nprobe

Agregar los repositorios necesarios

Añadir la Key

Actualizar los repositorios

Y instalar nprobe y sus dependencias

Por último lanzar nprobe para que recolecte la info y la mande al graylog

Si se quiere gestionar el netflow de un PFsense, hay que hacer los siguientes pasos:

Instalarlo:

System –> Packages –> Available Packages –> pfflowd

Configurar:

Services –> pfflowd

Fuente:
http://packages.ntop.org/apt/

Leave a Reply

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *