Netflow
El módulo Netflow de WOCU-Monitoring permite visualizar y analizar el tráfico de red utilizando registros de flujo generados por dispositivos de red. Los flujos contienen información agregada sobre comunicaciones entre dispositivos, incluyendo:
Dirección IP origen/destino
Puertos utilizados
Protocolo
Volumen de tráfico
Duración de la conexión
El módulo Netflow ofrece las siguientes capacidades:
Análisis del uso de la red
Identificación de los hosts con mayor consumo de tráfico
Detección de patrones de comportamiento anómalos
Investigación de comunicaciones entre sistemas
Visualización del origen geográfico del tráfico
Atención
Esto permite analizar el comportamiento de la red sin necesidad de capturar paquetes completos.
Acceso a Netflow
El módulo Netflow está disponible desde la interfaz de WOCU-Monitoring. Diríjase al menú Operation > Netflow. A continuación se despliega el panel de visualización de flujos basado en Kibana, e integrado de forma nativa en la interfaz de WOCU-Monitoring.
Nota
El acceso al módulo de Netflow depende del tipo de usuario y de los permisos asignados. Para solicitar o modificar accesos, contacte con su administrador del sistema.
Navegación por el panel Netflow
El panel Netflow se compone de diferentes vistas que permiten analizar el tráfico desde distintas perspectivas.
Cada vista contiene gráficos interactivos que permiten aplicar filtros y explorar los datos.
Las vistas disponibles son:
Overview
El panel Overview ofrece una visión global del tráfico de red mediante representaciones visuales como gráficos circulares porcentuales y word clouds. Esta vista permite obtener de forma rápida un estado general del comportamiento del tráfico en la red.
Desde el panel Overview es posible visualizar:
Volumen total de tráfico
Distribución de protocolos
Principales direcciones IP origen y de destino
Volumen de tráfico por puerto
Top-N
El panel Top-N está diseñado para jerarquizar los elementos de la red que generan mayor volumen de tráfico. Su función principal es ofrecer una visibilidad clara sobre los principales consumidores de recursos, facilitando la identificación de:
Hosts con mayor tráfico
Puertos más utilizados
Protocolos más frecuentes
Redes más activas
El sistema organiza la información en tablas comparativas que permiten ordenar a los actores de la red según tres métricas clave: Bytes, Packets y Flow Records.
También, el gráfico Services (bits/s) complementa las tablas mostrando la evolución del tráfico en el tiempo.
Por lo tanto, este panel es especialmente útil para detectar servidores con alto consumo de ancho de banda, aplicaciones que generan tráfico elevado y comportamientos anómalos en la red.
En la parte superior derecha, se habilitan sub-vistas adicionales:
Talkers: Enfoque en los hosts con mayor actividad.
Services: Análisis detallado de puertos y protocolos.
Conversations: Relaciones bidireccionales entre origen y destino.
Apps: Identificación de aplicaciones específicas basadas en el análisis del flujo.
Threads
El panel Threads proporciona una capa de seguridad crítica al cruzar en tiempo real los flujos de red con listas de reputación e inteligencia de amenazas. Su objetivo es identificar direcciones IP sospechosas y actividades potencialmente maliciosas que atraviesan la red, es decir, identifica tráfico sospechoso dentro de la red monitorizada.
Estas direcciones pueden estar relacionadas con:
Bots
Spam
Gusanos
Escáneres automáticos
La vista se organiza en dos áreas de análisis:
IP Reputations (Flujos temporales): gráfico de barras apiladas que muestra la evolución de las amenazas en el tiempo. Cada color representa un tipo de riesgo (ej. ssh, telnet, spam), permitiendo detectar picos de ataques o intentos de intrusión en momentos específicos.
Tablas de Inteligencia de Amenazas:
IP Reputations: clasifica el volumen de flujos según la etiqueta de riesgo.
Public Threats: enumera las direcciones IP públicas externas que han sido identificadas como peligrosas.
High-Risk Clients: identifica los hosts internos o clientes que están interactuando con destinos de alto riesgo, lo cual es vital para detectar equipos locales posiblemente comprometidos.
Flows
La pestaña Flows ofrece una representación visual avanzada de las interacciones entre los diferentes activos de la red (clientes, servidores, hosts internos y externos), es decir, muestra las comunicaciones entre sistemas.
A diferencia de las tablas estáticas, esta vista utiliza un gráfico de flujos central para mostrar cómo se desplaza el tráfico desde los emisores hasta los receptores, permitiendo entender la topología lógica de las comunicaciones. Por lo tanto, esta vista permite analizar:
Patrones de comunicación
Tráfico entre redes
Conexiones externas.
La vista se organiza en tres columnas principales que comparan métricas de Clientes (izquierda) frente a Servidores (derecha):
Bytes: comparación del volumen de datos transferidos.
Packets: cantidad de paquetes enviados/recibidos, útil para diagnosticar eficiencia de red.
Flow Records: número de sesiones abiertas, ideal para detectar persistencia en las comunicaciones.
En la parte superior derecha, el usuario puede alternar la vista a través de las sub-vistas de navegación:
Client/Server: vista estándar orientada a roles de consumo.
Src/Dst (Source/Destination): análisis técnico basado puramente en origen y destino IP.
AS (Autonomous Systems): visualización del tráfico entre sistemas autónomos para análisis de rutas de Internet.
Geo IP
El panel Geo IP proporciona una dimensión geográfica al análisis de flujos, situando las direcciones IP públicas sobre un mapa mundial. Esta vista es fundamental para comprender la distribución global de las comunicaciones de la red y para la supervisión de la seguridad perimetral.
La información se representa mediante un mapa interactivo que permite visualizar de forma dinámica:
Países de origen y destino: Identificación clara de dónde proviene el tráfico entrante y hacia dónde se dirige el tráfico saliente.
Volumen de tráfico por región: Los flujos se representan mediante líneas de conexión y mapas de densidad que indican las zonas geográficas con mayor intercambio de datos.
Trazabilidad de rutas: Visualización de las trayectorias de comunicación entre nodos internos y servidores distribuidos globalmente.
Para complementar el mapa, el panel incluye métricas de clasificación rápida a la izquierda:
Servers and Clients (bytes): ranking de los hosts locales o remotos más activos en el ámbito geográfico seleccionado.
Services (bytes): desglose de qué servicios (puertos y protocolos) se están utilizando en las comunicaciones internacionales.
Countries and Cities (bytes): un gráfico comparativo que permite cuantificar el tráfico por regiones específicas, facilitando la identificación de los países con mayor peso en el ancho de banda.
En la parte superior derecha, el usuario puede alternar el enfoque del mapa a través de las sub-vistas de navegación:
Client/Server: muestra la geolocalización basada en el rol de la IP (quién solicita y quién sirve la información).
Src/Dst: Análisis técnico centrado estrictamente en el origen y destino físico de los paquetes.
AS Traffic
El panel AS Traffic proporciona una visión macroscópica del tráfico de red, agrupando las comunicaciones según el Autonomous System (AS) al que pertenecen. Esta vista es fundamental para entender cómo interactúa la red local con las grandes infraestructuras y proveedores de servicios que componen Internet.
Esta vista permite a los administradores de red analizar la procedencia y el destino del tráfico a nivel de proveedor, identificando:
Proveedores de red implicados en las comunicaciones
Redes externas con mayor volumen de tráfico
Origen del tráfico externo.
El panel se organiza en gráficos de áreas apiladas que comparan el tráfico de Origen (Source) frente al de Destino (Destination) utilizando dos unidades de medida críticas:
Traffic in bits/s (Ancho de Banda): muestra el volumen de datos por segundo. Es la métrica principal para analizar el consumo de los enlaces de internet y detectar saturación por parte de proveedores específicos.
Traffic in pkts/s (Paquetes por segundo): registra la densidad de paquetes. Un volumen inusualmente alto de paquetes en relación con los bits/s puede ser un indicador temprano de ataques de red o escaneos procedentes de un AS concreto.
Exporters
El panel Exporters desplaza el foco del análisis desde los hosts finales hacia la propia infraestructura de red. Esta vista clasifica el tráfico según la sonda o dispositivo de red (router, switch, firewall) que genera y envía los flujos, permitiendo auditar el rendimiento de los puntos de recolección de datos.
Esta vista es esencial para monitorizar la salud de la recolección de métricas, permitiendo analizar:
Tráfico por dispositivo de red
Distribución de carga entre exportadores
Comportamiento de segmentos de red
A diferencia de otros paneles, esta pestaña desglosa la actividad según la dirección del tráfico en las interfaces físicas o lógicas del dispositivo:
Ingress Interfaces (bits/s y pkts/s): muestra el tráfico de entrada capturado por el exportador. Es clave para medir la carga que recibe un nodo desde su segmento de red local.
Egress Interfaces (bits/s y pkts/s): muestra el tráfico de salida procesado. Permite validar cómo el dispositivo encamina los datos hacia otros destinos.
Ambas métricas se presentan tanto en ancho de banda (bits por segundo) como en densidad de paquetes (paquetes por segundo), facilitando la detección de cuellos de botella o saturación en interfaces específicas.
Traffic Details
El panel Traffic Details permite profundizar en la naturaleza técnica de las comunicaciones registradas. A diferencia de otras vistas, esta pestaña desglosa el tráfico mediante métricas específicas que ayudan a entender no solo cuánto se transmite, sino cómo y desde dónde.
El panel organiza la información en columnas comparativas (Clientes vs. Servidores) e incluye:
Contador de Hosts: visualización numérica del total de clientes y servidores únicos detectados.
Flow Records: gráficos de donut que muestran la distribución de sesiones por host.
Evolución Temporal (bits/s y pkts/s): gráficas de líneas que permiten comparar el consumo de ancho de banda y la carga de paquetes de los hosts más activos a lo largo del tiempo.
En la parte superior derecha, se habilitan tres perspectivas de análisis:
Types: clasificación por tipo de tráfico y protocolos.
Attributes: análisis de los atributos técnicos de los paquetes (como tamaños o flags).
Locality: información sobre la ubicación del tráfico (distinguiendo entre red pública o privada y Sistemas Autónomos).
Flow Records
El panel Flow Records constituye el repositorio de datos brutos del módulo. Mientras que las pestañas anteriores ofrecen visualizaciones agregadas y estadísticas, esta vista presenta el listado completo y pormenorizado de cada comunicación individual registrada por las sondas.
Cada registro incluye información como:
IP origen/destino
Puerto origen/destino
Protocolo
Volumen de tráfico
Duración de la comunicación
El panel se divide en tres secciones clave para facilitar el análisis:
Métricas de Volumen: contador total de Flow Records junto a un gráfico de barras temporales que muestra la densidad de registros procesados por cada intervalo de 60 segundos. Esto permite identificar picos de actividad transaccional.
Tabla de Eventos: listado paginado y ordenable que permite explorar miles de registros. Al expandir cada fila, se accede al detalle completo del JSON del flujo.
En la parte superior derecha, el usuario puede alternar entre las perspectivas Client/Server y Src/Dst para reordenar la jerarquía de las columnas según la necesidad del análisis.
Uso de filtros
Los paneles permiten aplicar filtros para refinar los resultados mostrados. Entre los filtros disponibles se incluyen:
Dirección IP origen/destino
Puerto
Protocolo
País
Autonomous System
Sonda exportadora
Intervalo temporal
Barra de Filtrado y Búsqueda Avanzada
Situada en la cabecera del módulo se encuentran las siguientes opciones de filtrado:
Barra de Filtrado y Búsqueda: permite realizar consultas mediante lenguaje KQL (Kibana Query Language).
Intervalo Temporal: permite definir la ventana de tiempo de los datos analizados. Con opciones rápidas (Last 1 hour, Last 24 hours, etc.) o rangos absolutos mediante la selección de fechas y horas específicas en el calendario.
Dinámica de Funcionamiento
Los filtros son combinables, lo que significa que puedes aplicar varios a la vez para hacer análisis más precisos (por ejemplo: tráfico de un cliente hacia un servidor en un servicio concreto).
Al aplicar un filtro, todos los gráficos del panel se actualizan automáticamente para reflejar solo los datos que cumplen las condiciones seleccionadas, pasando de una vista general a un análisis mucho más detallado en pocos pasos.
Véase el siguiente ejemplo en la vista Overview, donde se analiza exclusivamente
el comportamiento del servicio TCP/6350 reportado por el host 127.0.0.1, permitiendo
aislar este tráfico del resto de la red para un análisis dirigido.
Buenas prácticas
Para garantizar una gestión proactiva de la red y maximizar la utilidad del módulo Netflow, se recomienda integrar las siguientes rutinas en el flujo de trabajo:
Revisión periódica del panel Overview: acceda diariamente a la vista general para familiarizarse con el comportamiento de su red lo que facilita la detección inmediata de anomalías
Monitorizar cambios en el tráfico: ya que un cambio brusco en la proporción de tráfico (por ejemplo, un aumento repentino de UDP frente a TCP) puede indicar fallos en aplicaciones o intentos de saturación de red.
Analizar tráfico hacia destinos no habituales y limpieza de flujos innecesarios.
Control y optimización de Recursos: mediante la identificación regular de usuarios o servidores que consumen más ancho de banda para evaluar si es necesario redistribuir la carga en diferentes Exporters.