ntopng 提供了哪些实时监控功能？

ntopng 提供了哪些实时监控功能？

ntopng 是一款强大的开源网络流量监控工具，提供基于 Web 的实时流量分析和可视化功能。以下是 ntopng 的主要实时监控功能：

• 实时流量监控:可以实时显示网络中的所有活动，包括设备列表、应用排名、会话统计等。它能够根据多种标准对网络流量进行排序，如 IP 地址、端口、L7 协议、吞吐量、自治系统（AS）等。
• 流量分析与统计:能够展示每个主机和应用的流入流出流量，帮助识别可能的带宽滥用或异常行为。它还可以生成长期报告，涵盖吞吐量、应用协议等网络指标。
• 安全检测与异常监控:集成了 Zeek 和 Suricata 引擎，能够进行入侵检测和异常行为监测。它还可以通过警报引擎捕获异常和可疑主机。
• 网络故障排查: 如 DNS 解析查看、HTTP 请求分析等，协助定位网络问题。它还可以监控实时吞吐量、网络和应用延迟、往返时间（RTT）、TCP 统计信息（如重传、乱序数据包、数据包丢失）等。
• 可视化与报告:提供现代化的 HTML5/AJAX Web 用户界面，支持实时和历史流量信息的可视化。用户可以根据自定义时间范围生成详细的网络状态报告，便于管理和审计。
• 协议支持与扩展性:支持 IPv4/IPv6、多种应用协议（如 Facebook、YouTube、BitTorrent 等），并能够通过深度数据包检测（DPI）技术识别网络中的应用协议。它还支持与其他工具（如 Elasticsearch、LogStash）集成。
• 地理位置分析:可以在地理地图中对主机进行地理定位和叠加，帮助用户直观地了解网络流量的地理分布。
• 数据持久化与历史分析: 将持久流量统计数据存储在磁盘上，支持未来的探索和事后分析。

ntopng 如何设置流量警报？

在 ntopng 中设置流量警报可以通过以下步骤完成：

1. 登录 ntopng Web 界面

通过浏览器访问 ntopng 的 Web 界面，地址通常为 http://<服务器IP地址>:3000。默认的用户名和密码为 admin/admin。

2. 进入警报设置页面

在 Web 界面顶部菜单中，滚动到“设置”并选择“首选项”，然后点击左侧菜单中的“警报”。

3. 启用警报功能

在警报设置页面中，点击“启用警报”，然后选择要启用的警报类型。ntopng 支持多种类型的警报，例如基于流量阈值、异常行为或特定协议的警报。

4. 配置流量警报规则

• 进入本地流量规则页面：在 Web 界面中找到“本地流量规则”部分。
• 添加新规则：点击表搜索栏旁边的“+”图标，添加新的流量规则。
• 设置规则参数：
  • 目标：选择监控对象（如特定主机或接口）。
  • 类型：选择监控对象的类型（主机或接口）。
  • 指标：选择监控的指标，如流量、分数或特定应用协议（如 DNS、HTTP、SMTP 等）。
  • 检查频率：设置监控频率，例如每五分钟、每小时或每天一次。
  • 阈值：设置触发警报的阈值，可以是流量容量（如 1GB）、吞吐量（如 1Gbps）或百分比（如超过上次检查值的 20%）。

5. 配置警报通知

ntopng 支持多种通知方式，包括电子邮件、Discord、Telegram、WebHook、Slack、Syslog 或执行 Shell 脚本。在警报设置中，配置相应的通知方式和目标地址，以便在警报触发时接收通知。

6. 保存并应用规则

完成规则设置后，保存配置并返回主界面。ntopng 将根据设置的规则实时监控网络流量，并在触发条件时发送警报。

通过以上步骤，您可以为网络中的主机或接口设置流量警报，帮助及时发现异常行为和潜在的安全问题。