Ich befasse mich ja gerade ein bisschen mit meiner privaten PRTG Installation und bin doch eher zufällig über den PRTG IPFIX Sensor gestolpert.
IPFIX ist eine Weiterentwicklung von Cisco Netflow und dient ebenfalls dazu Verkehrsdaten innerhalb eines Netzwerks zu sammeln und zu visualisieren.
Da auch die Sophos UTM IPFIX unterstützt, kann PRTG die IPFIX Daten entgegen nehmen und grafisch aufbereiten. Dies sieht dann zum Beispiel so aus:
Die Darstellung in PRTG ist zwar etwas gewöhnungsbedürftig, aber so lässt sich recht schnell erkennen, welcher Host “besonders aktiv” ist. Im oberen Beispiel sorgt der “graue Bereich/Host” (auch Smartphone der Tochter genannt) für knapp 50% des Datenverkehrs… (In diesem Fall besteht deutlicher Regulierungsbedarf seitens einer Autorität)
Etwas unglücklich ist, dass die Farben der Hosts je nach Zeitpunkt variieren, so ist der “graue Host” ein paar Minuten später der pinkte Host:
Die Farbe Pink passt ja auch schon viel besser zum Handy der Tochter… Ich muss gleich unbedingt mal nachsehen, was Sie da macht…
Nun aber erst einmal zur Einrichtung.
PRTG IPFIX Sensor hinzufügen
Der PRTG IPFIX Sensor kann auf einem Gerät oder auf der Probe hinzugefügt werden, ich habe den Sensor in diesem Fall auf dem Gerät “Sophos UTM” hinzugefügt:
Die Sophos UTM nutzt den UDP Port 4739 für die IPFIX Daten, als Wert für die Zeitüberschreibung habe ich erst einmal 10 Minuten gewählt:
Der Wert für die Active-Flow Zeitüberschreitung ist durchaus relevant und erfordert ggf. eine Anpassung an die eigene Umgebung. Hier gibt es eine Beschreibung dazu:
Nachdem der PRTG Sensor erstellt wurde, kann IPFIX-Accounting an der Sophos UTM aktiviert werden.
IPFIX an der Sophos UTM aktivieren
IPFIX ist recht versteckt, es findet sich unter dem Punkt “Protokolle & Berichte” in den Berichtseinstellungen:
Ganz unten auf der Seite finden sich die IPFIX Einstellungen:
Nachdem IPFIX-Accounting aktiviert wurde und der PRTG Server als Host angegeben wurde, sind nach kurzer Zeit die ersten Informationsn in PRTG sichtbar.