Подскажите анализатор трафика локалки с web мородой

прикрутить syslog сервер

мозги купи.

Ntopng - не обнаружил нормальной статистики по хостам, и истории.

Их там нет.

Nfdump + NFsen (через fprobe)

Настраивал руками или коробочный конфиг?

как в Ntopng, но это не главное. Ну и графики.

По итогам сделал велосипед dumpcap+nDPI+django.
Графики не прикручивал.

Nfdump + NFsen коробочный. Пробовал для эксперимента вычленить профилем отдельный хост локалки. Получилось сьедобно, но не идеально. С занижением показываемого трафика разобрался, сам идиот.

Как в nfsen получить сводную таблицу или график по всем хостам локалки - пока решительно не понимаю. А иметь тонну профилей на каждый из хостов - можно, но неудобно.

Велосипеды скриптовые в сети встречал, однако пока стараюсь найти готовые решения, ибо проблема весьма штатная и популярная.

Если ничего адекватного не найдется - скорее всего буду пользовать NFsen , и для сводных таблиц - darkstat

А потратить вечерок на изучение bash/php/perl/python (если еще не знаешь), поставить netflow, к нему 2 скрипта для перегонки логов в БД, и еще за один вечер написать морду для вывода траффика в ЖЕЛАЕМОМ виде?

весь трафик гонится через машину с ubuntu server. На нем dhcp, nat, squid

А чем LightSquid не устраивает??

Сам определись что ты хочешь. Разные способы. Но если хватит статистики по ip, кто куда и сколько ходил, то использовать netflow, а если по пользователям хочешь - прокси сервер тебе нужен.

Прокси есть, считает траф http по пользователям. Однако пользователи (гады такие) ещё знают что такое скайп и т.д. Т.е. что идет мимо прокси, и это тоже хорошо бы посчитать. Строить велосипед и писать скрипты для анализа netflow тоже, возможно, буду. Но это в свободное время и по остаточному принципу, не задача №1. Тем более что это мои личные заморочки со статистикой и т.д., начальству лишь бы инет работал.

Пока копаю более-менее удобоваримое коробочное решение.

Ну так а закрыть траффик, который идет в обход прокси, не? Начальник не одобрит?

Ну так пусти https через прокси.

Тем более что это мои личные заморочки со статистикой и т.д., начальству лишь бы инет работал.

Тогда в чем проблема, выбирай что более-менее удобоваримое.

Тогда вообще непонятно что необходимо. Если начальству важно чтобы интернет работал, то значит ты страдаешь фигнёй.

Если есть проблемы, типа кто-то качает и парализует интернет, то достаточно собирать статистику по netflow, чтобы видет с какого IP качают и дать в бубен, либо настроить QoS, чтобы гарантировать, что никто единолично не забьёт канал интернета.

Для начальства и понятие «безопасность» весьма отдаленно ;))) Однако это не повод распиздяйничать. Если делать гейт, то делать нормально, чтоб можно было и проконтролировать кто где был, сколько выжрал и т.д. И если (тьфу, тьфу) кто какое говно хватанет, которое будет активно ломиться в инет и ломать пентагон - надо об этом оперативно узнать, пока не прилетел томагавк.

Тогда достаточно QoS, netflow. В прокси вообще не вижу смысла.

Если руки чешутся, то IPS, NAP прикрутить можно. Но я бы это только в чисто образовательных целях. Для небольшой организации до 100 пк я бы это не делал, ибо нет смысла усложнять сеть. Это ведь ещё поддерживать и документировать надо.

Больше пользы принесёт мониторинг (zabbix, nagios).