Могу ли я использовать "протоколирование событий безопасности NetFlow" (NetFlow 9) Cisco ASA для мониторинга пропускной способности

Ведение журнала событий безопасности отличается от того, что вам нужно. Я считаю, что вы хотите прямо NetFlow (v5 подойдет) - экспортируется в какой-то тип анализатора.

Я использовал и могу порекомендовать ManageEngine Netflow Analyzer: http://www.manageengine.com/products/netflow/download-free.html

Возьмите бесплатную версию и запустите ее где-нибудь на сервере. Убедитесь, что брандмауэр сервера разрешает трафик через порт 9996 (UDP). Затем используйте следующую конфигурацию на ASA для экспорта данных сетевого потока:

flow-export destination outside_interface_name <netflow analyzer IP> 9996
flow-export template timeout-rate 1
flow-export delay flow-create 10

access-list netflow-export extended permit ip any any

class-map netflow-export-class
 match access-list netflow-export

policy-map global_policy
 class netflow-export-class
  flow-export event-type all destination <netflow analyzer IP>

Обратите внимание, что в моем примере я предположил, что у вас определена карта политики global_policy.

Перейдите к Netflow Analyzer и войдите в систему. NETflow анализатор разбит выходные данные ASA на соединения источника / назначения, включая трафик в мегабайтах на соединение, и даже выполнит анализ портов, чтобы показать вам используемые приложения.

Это позволяет особенно легко видеть, например, когда сотрудник работает на торренте.:-)

Какие детали мониторинга пропускной способности вам нужны?

Если все, что вам нужно, это базовое использование интерфейса, тогда SNMP и что-то вроде Observium или Cacti - гораздо лучшее решение.

Если вам нужно, например, для каждого клиента (в общей внутренней сети), вам нужно использовать Netflow и сборщик Netflow.

По моему опыту, мониторинг пропускной способности, предоставляемый Cisco, ограничен в своих возможностях. Я использую и рекомендую Fire Plotter, который работает с брандмауэрами Cisco.

http://www.fireplotter.com/