nfcapd. Бесплатый, умеет сжимать БД, всё хранится в отдельных файликах, для анализа можно использовать nfdump. Есть графическое поделие -- nfSense, работает по файлам, собранным nfcapd. У нас база netflow -- около 18 Тб за три года (это сжатых данных). nfcapd бьёт их на каталоги по схеме: <имя_шлюза>/год/месяц/день/час. Соответственно, по 24 файла в сутки.
