LINUX.ORG.RU

а в чем польза от скармливания сурикату netflow?

Анализ активности и выявление аномалий в трафике ?

vel ★★★★★ ()
Ответ на: комментарий от vel

Хочется знать что творится в гипервизорах и не хочется зеркалить весь трафик в сурикату, ибо в 1 гигабит всё не залезет, а тратиться на сетевую 10G не хочется.

bdfy ★★★★★ ()
Ответ на: комментарий от bdfy

Что мешает поставить несколько инстансов suricata и мониторить трафик в нескольких местах ? Допустем на каждой compute ноде поставить свой инстанс.

netflow заворачивать в суриката мне кажется бредовой идеей, для этого есть другие инструменты.

Dimonyga ()
Ответ на: комментарий от Dimonyga

Мне будет удобней netflow в сурикату заворачивать, чем поднимать ещё 3 сурикаты и скармливать всё в elasticsearch. Если сделать по Вашему, проестся довольно много ресурсов.

bdfy ★★★★★ ()
Ответ на: комментарий от bdfy

Анализировать netflow сурикатой это как забивать гвозди микроскопом. Мало эффективно и нафиг не нужно. в netflow нет payload, той самой, для анализа которой и сделана суриката. поставьте анализатор netflow и будет вам счастье.

Dimonyga ()
Ответ на: комментарий от Dimonyga

Микроскоп уже есть, а молоток заводить не хочется. Было бы удобней всё в одном иметь. В общем, ясно понятно. Буду пользовать два инструмента.

bdfy ★★★★★ ()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.