Creo que la mejor manera es usar el análisis de NetFlow para el monitoreo a gran escala. Si tiene un enrutador Cisco, tienen la colección NetFlow incorporada y puede combinarla con el conjunto de herramientas de código abierto SiLK para su análisis enlace
NetFlow fue desarrollado inicialmente por Cisco para fines de facturación y no recopila nada de la carga útil, solo información resumida como:
- IP de origen
- Dest IP
- puerto de origen
- Puerto de destino
- Paquetes
- bytes
- hora de inicio
- Hora de finalización
- Banderas
- etc ...
Con esto, puede analizar rápidamente grandes cantidades de datos, tengo una instalación de SiLK utilizando el IPFix de reemplazo de NetFlow de código abierto del IETF que obtiene 150,000 eventos por segundo.
Hay un manual gratuito para comenzar: enlace
Esto haría exactamente lo que desea y proporcionaría beneficios de seguridad a largo plazo, como tendencias y detección de anomalías.
Otra opción, si desea hacer esto solo una vez, configure un puerto de tramo en el punto de egreso y recopile datos usando tcpdump por un corto período. Solo asegúrese de eliminar el PCAP cuando haya terminado, ya que puede contener PII.