Monitoring - akarok-e ilyet

Üdv,

Van néha a szerveren a hálózati forgalomban egy-egy kiugrás. Nagyjából tudom is hogy mi és nem is okoz problémát, de felmerült bennem, hogy esetleg jó lenne egy részletesebb forgalmi statisztika, analitika. Amit szeretnék az az, hogy mondjuk órás bontásban meg lehessen mondani az adott időszeletre eső top hostokat, portokat.

A gondok:

- az adott gépen kéne futnia, mert a gép előtt lévő cuccokhoz nem férek hozzá, és csak ezért nem fogok elé tenni plusz egy dobozt
- de az egy host masina sok OpenVZ konténernek, ha nem muszáj, nem teszek rá sokmindent
- a megfelelő részletességű statisztikákhoz megfelelő részletességű adatbázis kell, ezt legyűjteni terhelés, feldolgozni terhelés
- ezért olan cucc kéne, ami egy agenttel már eleve egy redukált adathalmot küld át a feldolgozó szerverenek
- ez utóbbi agent persze a lehető legegyszerűbb legyen (biztonság, megbízhatóság, stb)

Biztos van ilyen, de mivel olyan rettenetesen nincs rá szükségem, ezért pl. pénzt nem adnék érte (hacsak nem valami remek IPS lenne, de ahhoz meg gondolom minimum a dedikált hw), illetve fontos lenne hogy a figyelt gépen a lehető legkisebb terhelés legyen.

Ahogy keresgéltem úgy a netflow és társai kerültek elő, de nagyon nem világos nekem, hogy mekkora forgalmat jelentene, ha a netflow adatait egy távoli gépen (10mbites uplink, de azt azért nem kéne kitolni, mert azon van az egész cég) dolgoznám fel.

Tehát lehet hogy eleve olyat akarok, amit vagy nem érdemes, vagy nem is lehet rendesen megoldani. De hátha nem :) Tapasztalatok?