Ntop

A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
(vmstat (virtual memory statistics))
 
(2 szerkesztő 39 közbeeső változata nincs mutatva)
1. sor: 1. sor:
  +
''' Készítette ''': Jakó Zoltán
 
'''
 
'''
  +
== Bevezetés ==
  +
Az ntop egy ingyenes hálózat monitorozó program. Működik Linux, FreeBSD, Solaris, MAC és Windows (kivéve Vista) alatt is, bár én még csak Solarisos, linuxos és FreeBSD változattal találkoztam eddig.
  +
Segítségével képesek vagyunk megfigyelni a hálózatunk aktuális használtságát. Megjeleníti azokat a hosztneveket, akik éppen használják a hálózatot és megnézhetjük az egyes hosztok által generált, illetve fogadott forgalmat (cél és forrás szerint: ki kivel kommunikál?). A program által elkapott csomagok megjelenítésére egy webböngészőre is szükségünk van. Ha a border gateway gépünkre telepítjük az ntop-ot akkor megfigyelhetjük kik kapcsolódnak hozzánk a lokális hálózatból, mekkora forgalmat bonyolítanak le a külvilággal, és megfigyelhetjük például milyen oldalakat tekintettek meg a felhasználók. Az ilyen módon elkapott forgalomból statisztika szerkeszthető, akár több hónapnyi forgalmi adat mentésre is van lehetőségünk vele.
   
== vmstat (virtual memory statistics) ==
+
Az ntop a beküldött információs adatokat feldolgozza nekünk majd a statisztikákat megjeleníti a böngészőben. Képes a [[NetFlow]], [http://www.sflow.org sFlow (RFC 3176)] és [http://www.inmon.com/products/xrmonagents.php RMON (HP)]adattovábbítási protokollokat megérteni. Ha nem rendelkezünk olyan routerekkel, támogatják ezen protokollokat, akkor se kell pánikba esni, ugyanis a program maga is tudja emulálni a NetFlow protokollt. Alapértelmezetten az ''eth0''-ás interfészen átment adatokból egy virtuális NetFlow-t valósít meg. Az ''eth0'' interfészt más interfészre is átállíthatjuk, erről majd a konfigurálós részben még szót ejtek.
   
'''
+
A program nagy előnye, hogy számos protokollt támogat. Csak néhány a fontosabbak közül: IPv4/IPv6, IPX, AppleTalk, Netbios, TCP/UDP, ARP, PPP/PPPoE, VoIP, NetFlow (v5 és v9),IPFIX, HTTP, DNS, FTP, SMTP, POP/IMAP, SNMP, Telnet és minden protokollra szűrni is lehet.
   
A vmstat egy olyan UNIX és UNIX jellegű (Linux, FreeBSD, Solaris) operációs rendszerben lévő rendszermonitorozó program, a virtuális memória használatáról tud különféle statisztikákat, kimutatásokat készíteni. Megmutatja, mennyi virtuális memóriánk van összesen, ebből mennyi szabad, illetve összefoglalja a lapkezeléssel kapcsolatos eseményeket. A legfontosabb azonban az, hogy segítségével a be- és kilapozásokat már megtörténésük pillanatában érzékelni tudjuk, azaz közel valós időben felügyelhetjük vele rendszerünk aktivitását. Ez pedig egy nagyon hasznos képesség.
+
A piacon létezik olyan üzleti termék is (Nbox néven) amely az adat gyűjtést és feldolgozást is elvégzi. Két része az nProbe és az ntop és egy kiegészítő az n2disk. Az nProbe egy firmware, ami a routerekben található és ez küldi az adatokat az ntop pedig feldolgozza őket. Az nProbe és ntop egyesüléséből születik meg az Nbox szerver amely figyeli az eszközöket és az általuk küldött adatokból szép, egyszerű, webböngészővel felügyelhető monitorozást biztosít nekünk. Az n2diszk kiegészítővel pedig a szerverünk és többi gép terhelését tudjuk figyelni (memória felhasználás, I/O műveletek stb.).
   
''Szintaktika:''
+
Aki ismeri az [http://oss.oetiker.ch/mrtg/ mrtg] nevű programot az felismerheti a közte és az ntop közti hasonlóságot.Voltaképpen mindkettő hálózati csomagok analizálására való és mindkettő hálózati információkat jelent meg. A különbség köztük az információszerzés módjában van és máshogy is jelenítik meg az információkat.
vmstat [-a] [-n] [delay [ count]]
+
Az mrtg SNMP protokollt használ az adatok begyűjtésére. Az ntop más módszert alkalmaz az adatok begyűjtésére, nem használja a SNMP protokollt, helyette főleg a NetFlow adatokból nyeri az információt, de ettől függetlenül képes az SNMP protokoll kezelésére is. Az mrtg képes akár több száz hálózati eszköz (router, switch stb.) monitorozására és róluk az információ megjelenítésére. Az ntop inkább egyszerűbb hálózatok aggregált forgalmának figyelésére összpontosít. A Netflow adatokból több információ nyerhető ki, például látja a webszerver kérést is, nem csak azt, hogy forgalom volt a 80-as porton. Negatívum ugyanakkor, hogy nagyon könnyű az ntop-ot futtató gép erőforrásait leterhelni. Vagyis ha egy ISP ntop-ot kíván használni a nagy sebességű optikai kapcsolatának monitorozására igen gyors és nagy memóriával rendelkező gépre van szüksége.
vmstat [-f] [-s] [-m]
 
vmstat [-S unit]
 
vmstat [-d]
 
vmstat [-p disk partition]
 
vmstat [-V]
 
   
''Kapcsolók:''
+
A bevezető után foglaljuk össze mi az ntop előnye és hátránya:
  +
*Előnyei:
  +
** sok protokollt ismer,
  +
** egyszerű kezelés, webes kezelőfelület,
  +
** képes a NetFlow, sflow adatok gyűjtésére,
  +
** látványos statisztikák készíthetőek vele
   
-V verzió információ
+
*Hátrányai:
-a megjeleníti az aktív és inaktív memóriát (2.5.41 kernel kell hozzá vagy jobb),
+
** memória igénye nagy,
-n a headereket csak egyszer jeleníti meg nem nyomtatja ki a képernyőre periodikusan,
+
** a historikus adatok sok helyet foglalhatnak.
-s több fontos számláló és memória statisztikák megjelenítése (ez a megjelenítés nem ismétlődik) például: total memory, used memory, system CPU ticks stb.,
 
-m rendszermag memóriahasználatáról (/proc/slabinfo) információ megjelenítése
 
-S unit k, K, m, M kapcsolók után következhet kimenetek értéke: 1024, 1000000, vagy 1048576 byte,
 
-d diszkünk vagy diszkjeink statisztikáját jeleníti meg pl. partíciók száma, mérete,
 
-p disk partition a partíciót nevét beírva információt kaphatunk a partícióról.
 
delay [ count]] delay segítségével beállíthatjuk, hogy hány másodpercenként kérjünk frissítést a kijelzésre, a count pedig a frissítések számát adja meg (ha nem adunk meg count értéket, akkor a default count érték végtelen).
 
   
Írjuk be a terminálba a vmstat-ot! Az eredmény:
+
== Telepítés ==
  +
A legegyszerűbb csomagból telepíteni a következő parancs kiadásával:
  +
[IT@Zed root]# sudo apt-get install ntop –y
   
procs -----------memory---------- ---swap-- -----io---- -system-- -----cpu------
+
A másik megoldás forráskódból.
r b swpd free buff cache si so bi bo in cs us sy id wa st
 
2 1 290316 14608 3132 163900 43 61 521 132 1662 3650 24 22 47 6 0
 
   
és a magyarázat:
+
== Használat ==
   
''Proceszek:''
+
Elindítása egyszerű, de az első indításnál célszerű egy admin jelszó beállítása, hogy illetéktelenek ne férjenek hozzá a forgalmi adatokhoz.
r: futási időre váró processek száma
 
b: (a nem megszakítható) alvó processek száma
 
   
''Memória:''
+
[IT@Zed root]# ntop --set-admin-password
swpd: A felhasznált virtuális memória
+
[IT@Zed root]# /usr/bin/ntop -P /usr/share/ntop -u ntop -A
free: A rendelkezésre álló memória.
+
Wait please: ntop is coming up...
buff: A pufferek által használt memória.
+
DD/MMM/YYYY HH:MM:SS Initializing IP services...
cache: cache-ként használt memória.
+
SSL is present but https is disabled: use -W <https port> for enabling it
inact: inaktív memória.(-a kapcsoló használatakor jelenik meg)
+
DD/MMM/YYYY HH:MM:SS Initializing GDBM...
active: aktív memória. (-a kapcsoló használatakor jelenik meg)
+
DD/MMM/YYYY HH:MM:SS Initializing network devices...
+
DD/MMM/YYYY HH:MM:SS ntop v.2.0.99 ntop-02-04-12.tgz MT (SSL) [i686-pc-linux-gnu] (04/12/0210:02:15 AM build)
''Swap:''
+
DD/MMM/YYYY HH:MM:SS Listening on [eth0]
si: A lemeztől becserélt memória /s
+
DD/MMM/YYYY HH:MM:SS Copyright 1998-2002 by Luca Deri <deri@ntop.org>
so: A lemeznek kiutalt memória (/s).
+
DD/MMM/YYYY HH:MM:SS Get the freshest ntop from http://www.ntop.org/
+
DD/MMM/YYYY HH:MM:SS Initializing...
''IO:''
+
...
bi: Az eszköztől fogadott blokkolások száma (blocks/s).
+
DD/MMM/YYYY HH:MM:SS Welcome to sFlow: listening on UDP port 6343...
bo: Az eszközöknek küldött blokkolások száma (blocks/s).
+
+
Majd ha már második alkalommal akarjuk elindítani egyszerűbb a folyamat:
''Rendszer:''
+
[IT@Zed]# sudo /etc/init.d/ntop start
in: megszakítás kérések száma egy másodperc alatt.
 
cs: context váltások száma másodpercenként
 
 
''CPU- A teljes CPU idő %-ban kifejezve:''
 
us: a nem kernel kódra fordított idő,
 
sy: a kernel kódra fordított idő,
 
id: rendelkezésre álló idő (beleértve az I/O-várás idejét),
 
wa: az I/O-várás ideje
 
 
'''
 
 
== Netstat ==
 
 
'''
 
A netstat egy parancssori, hálózati program arra, hogy megnézzük a hálózati konfigurációt és annak aktivitását. Képes mind a kimenő, mind a bejövő hálózati forgalom, a routing táblák és a hálózati interfészek statisztikájának megjelenítésére.
 
 
'' Kapcsolók (csak a fontosabbak):''
 
 
-nr routing táblák kiíratása,
 
–n kapcsolóval íratja ki a címeket, ponttal elválasztott formátumban, hoszt- és hálózati nevek helyett.
 
-i a felkonfigurált hálózati interfészekről jelenít meg információt
 
-g IPv4 és IPv6 multicast csoporttagságról jelenít meg információt,
 
-s Minden egyes protokollról (IP, TCP, SNMP stb.)készít egy összefoglalót
 
-M a maszkolt kapcsolatok kilistázása(Ip maszkolás például),
 
-l a „hallgatózó” szerver socketek kilistázása,
 
 
-ta, Ezek a kapcsolók megmutatják az aktív TCP,UDP,RAW vagy Unix socket kapcsolatokat. Ha „a”-t írunk utána akkor a kapcsolatra
 
-ua, váró socketeket is megjeleníti.
 
-wa,
 
-xa
 
 
'''
 
 
== IPTraf ==
 
 
'''
 
Az IPTraf egy nyílt forráskódú szoftver, amellyel monitorozható az IP hálózat és a jónéhány fontos protokoll a számítógépünkön. Ez egy tisztán szoftveres analizátor így csak a kernel által definiált interfészek figyelésére képes. Szűröket állíthatunk be, hogy csak az általunk kiválasztott protokollt figyelje a program.
 
 
Alkalmazható az alábbi protokollokra:
 
 
• User Datagram Protocol (UDP)
 
• Internet Control Message Protocol (ICMP)
 
• Open Shortest-Path First (OSPF)
 
• Interior Gateway Routing Protocol (IGRP)
 
• Interior Gateway Protocol (IGP)
 
• Internet Group Management Protocol (IGMP)
 
• General Routing Encapsulation (GRE)
 
• Address Resolution Protocol (ARP)
 
• Reverse Address Resolution Protocol (RARP)
 
 
Támogatott hálózati interfészek: lo, ethn, fddin, trn, pppn, slin, ipppn, isdnn, plipn, ipsecn, sbnin, dvbn, sm200, sm300, wlann, wvlann, hdlcnpvc.
 
 
Telepítése, elindítása:
 
 
1. Letölthető az alábbi helyről:
 
 
ftp://iptraf.seul.org/pub/iptraf/
 
 
2. Bontsuk ki (terminál ablakban):
 
 
tar zxvf iptraf-x.y.z.tar.gz
 
 
3. Lépjünk a / könyvtárba, majd./Setup (csak rootként engedi)
 
 
4. A telepítés végén, a programunk megtalálható a /usr/local/bin könyvtárban
 
 
5. A terminál ablakba csak írjuk be, hogy iptraf
 
Ekkor egy "grafikus" kezelőfelületet kapunk, de használhatjuk terminálból is a következő kapcsolók segítségével:
 
 
-i iface A iface helyére a figyelni kívánt interfész nevét írjuk pl. eth0. Így azonnal elindul az eth0 interfész figyelése.
 
-g az interfészek alap statisztikáját írja ki.
 
-d iface a kiválasztott interfészről közöl adatokat pl. bejövő, kimenő IP csomagok száma, bejövő/kimenő TCP/UDP szegmensek
 
-s iface a kiválasztott interfész TCP/UDP forgalmának monitorozása.
 
-z iface csomagméret szerint csoportosítja a forgalmat.
 
-l iface LAN állomás monitorozása (ha minden LAN interfészt monitorozni szeretnénk, akkor –l all)
 
-t timeout hány percig fusson a mérés, ha ezt nem állítjuk be a menüs mérés során az első gomb nyomásig mér,
 
-B a terminál ablakot a háttérbe küldi, így közbe nyugodtan folyhat a munka, míg ő mér.
 
Ez a beállítás csak a -i, -g, -d, -s, -z, -l paraméterekkel együtt érvényes,
 
–h segítség a programhoz.
 
 
'''
 
 
== ntop ==
 
 
'''
 
 
Az ntop egy libcap alapú hálózat monitorozó, amelynek segítségével figyeli tudjuk a hálózat aktuális használtságát. Megjeleníti azokat a hoszt neveket, akik éppen használják a hálózatot és megnézhetjük az egyes hosztok által generált, ill. fogadott forgalmat (cél és forrás szerint: ki kivel kommunikál?). A program által elkapott csomagok megjelenítésére egy web böngészőre is szükségünk van a webes admin felület miatt. Az elkapott forgalomból statisztika szerkeszthető, a tartós forgalomról készült statisztika mentésére is képes. Számos protokollt támogat (IPv4/IPv6, IPX, AppleTalk, Netbios, OSI, DLC stb.) ezekre külön szűrni is lehet. Működik Linux, FreeBSD, Solaris, MAC és Windows (kivéve Vista) alatt is.
 
 
Telepítése: sudo apt-get install ntop –y
 
 
Indítása, újraindítása, megállítása:
 
 
sudo /etc/init.d/ntop start
 
sudo /etc/init.d/ntop restart
 
sudo /etc/init.d/ntop stop
 
Jelszó beállítási lehetőség:
 
sudo ntop --set-admin-password
 
 
Továbbá képes naplófájlok készítésére. Ezek az Apache naplófájljához hasonlítanak:
 
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] - "GET / HTTP/1.1" 200 1489 4
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /index_top.html HTTP/1.1" 200 1854 4
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500]] "GET /index_inner.html HTTP/1.1" 200 1441 7
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /index_left.html HTTP/1.1" 200 1356 4
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500]] - "GET /home_.html HTTP/1.1" 200 154/617 9
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /home.html HTTP/1.1" 200 1100/3195 10
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10
 
   
 
A böngészőbe írjuk be, hogy:
 
A böngészőbe írjuk be, hogy:
 
http://localhost:3000
 
http://localhost:3000
  +
vagy
  +
https://localhost:3001
  +
és megkapjuk a webes kezelőfelületet. A port és az SSL beállítást a konfigurációs részben olvashatjuk.
   
'''
+
Az újraindítás és leállítás:
   
== httperf ==
+
[IT@Zed root]# sudo /etc/init.d/ntop restart
  +
[IT@Zed root]# sudo /etc/init.d/ntop stop
   
'''
+
=== Webes kezelőfelület===
A httperf segítségével mérhetjük a webszerverünk teljesítményét. Képes a HTTP/1.0 és HTTP/1.1 protokoll megértésére, és képes változatos terhelés generálásra. Futása közben számos teljesítmény jellemzőt rögzít majd a teszt végén az összegzést adja a kijelzőre. A legegyszerűbb művelete, hogy fix számú HTTP GET kéréssel bombázza a szervert, majd megméri hány válasz jön a szervertől rá és milyen rátával érkeznek ezek a válaszok. A mérés végeztével egy összesítő statisztikát jelenít meg a terminál ablakban.
+
[[Fájl:ntop.jpg]]
MEGJEGYZÉS: ha helyes eredményeket akarunk kapni, akkor lehetőleg egy httperf processt futassunk a kliens gépen és csak néhány háttérben futó process legyen, mind a szerver mind a kliens gépen.
 
   
Telepítés: töltsük le a legújabb verziót: http://sourceforge.net/projects/httperf/
+
A menüpontok segítségével kiválaszthatjuk, hogy csak egy összegzést nézünk (''summary''), minden protkollt figyelni szeretnénk (''All protocols''), vagy csak IP forgalmat. Ezen belül is lehet csak a helyi forgalmat vizsgálni. A ''Plugins'' menüpontnál lehet az ICMP üzenetek figyelését bekapcsolni, vagy a NetFlow és sFlow-okat beállítani. Mi a küldő router IP címe a port amin figyelni kell?
   
A legegyszerűbb eset:
+
=== Szintaktika ===
   
httperf −−hog −−server www
+
Ha nem kívánunk élni a webes felülettel terminálból is tudjuk működtetni az ntopot:
  +
ntop [@filename] [-a|--access-log-file <path>] [-b|--disable-decoders] [-c|--sticky-hosts
  +
[-e|--max-table-rows] [-f|--traffic-dump-file file>] [-g|--track-local-hosts] [-h|--help]
  +
[-j|--create-other-packets] [-l|--pcap-log <path>] [-m|--local-subnets <addresses>]
  +
[-n|--numeric-ip-addresses] [-o|--no-mac] [-p|--protocols <list>] [-q|--create-suspicious-packets]
  +
[-r|--refresh-time <number>] [-s|--no-promiscuous] [-t|--trace-level <number>]
  +
[-x <max_num_hash_entries>] [-w|--http-server <port>] [-z|--disable-sessions]
  +
[-A|--set-admin-password password] [-B|--filter-expression expression] [-C <configmode>]
  +
[-D|--domain <name>] [-F|--flow-spec <specs>] [-M|--no-interface-merge] [-N|--wwn-map]
  +
[-O|----output-packet-path] [-P|--db-file-path <path>] [-Q|--spool-file-path <path>]
  +
[-U|--mapper <URL>] [-V|--version] [-X <max_num_TCP_sessions>] [--disable-instantsessionpurge]
  +
[--disable-mutexextrainfo] [--disable- schedyield] [--disable-stopcap] [--fc-only] [--instance]
  +
[--no-fc] [--no-invalid-lun] [--p3p-cp] [--p3p-uri] [--skip-version-check] [--w3c] [-4|--ipv4]
  +
[-6|--ipv6]
   
Ezzel a paranccsal létrehozunk egy kapcsolatot a hoszt és a kliens között, majd a kérésre adott választ figyeljük. A válasz beérkezése után lezárjuk a kapcsolatot. A www helyére kell beírni a vizsgált szerver hosztnevét vagy az IP címét. A kapott eredményekről a program egy statisztikát készít a mérés végeztével.
+
Az ntop képes naplófájlok készítésére a -a kapcsoló felhasználásával. Ezek a naplófájlok az Apache naplófájljához hasonlítanak. Egy weboldal betöltéséről készült naplófájl valahogy így néz ki:
A −−hog kapcsolóval annyi TCP portot használunk, amennyire szükség van, ha nem használjuk a program csak az 1024-5000 terjedő portok közül választ, ám ezek sok kapcsolat esetén hamar elfogyhatnak (ha például 4000 kapcsolódási kísérletet szeretnénk elindítani és mindegyiket külön portról akkor kifogynánk a rendelkezésre álló portokból).
 
   
Bővítések: Természetesen számos egyéb paraméter finom hangolható. Tekintsük meg a leglényegesebbeket:
+
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] - "GET / HTTP/1.1" 200 1489 4
  +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /index_top.html HTTP/1.1" 200 1854 4
  +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500]] "GET /index_inner.html HTTP/1.1" 200 1441 7
  +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /index_left.html HTTP/1.1" 200 1356 4
  +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500]] - "GET /home_.html HTTP/1.1" 200 154/617 9
  +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /home.html HTTP/1.1" 200 1100/3195 10
  +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10
   
−−add−header=S
+
== Konfigurációs lehetőségek ==
   
Az S sztringet additív headerként tekinti, ami hozzáfűzhető a kérés fejrészéhez. Így több kérést is lehet küldeni egy fejrészben pl.: −−add−header "Referer: foo\nAuth: secret\n". Ebben az esetben minden kéréshez két fejrészt ad: „Referer” és „Auth”.
+
A konfigurációs lehetőségein sajnos igen csekélyek. A Webes felületen a Plugin menüpontban állíthatjuk be a NetFlow illetve az sflow paramétereket, az admin fülben pedig a hozzáféréseket. A port és IP cím változtatására manuálisan az /etc/ntop/etc/ntop.conf fájl módosításával van lehetőségünk.
   
−−no−host−hdr A kliens HTTP kérése nem tartalmaz Hoszt fejrészt.
+
=== Az IP-cím és a port szám beállítása ===
   
−−http−version=S Az S sztringgel adhatjuk meg a HTTP protokoll verzióját. Alapállapotban 1.1-es verziót használ.
+
Először is állítsuk le az ntop-ot. Majd az /etc/ntop/etc/ntop.conf fájlban az NTOPD_IFACE="eth0" megváltoztatásával érhető el más interfész figyelése, az IP címet és a port számot pedig az TOPD_PORT="127.0.0.1:3000" átírásával tudjuk megváltoztatni. Ha biztonságos kapcsolaton keresztül szeretnénk elérni a monitorozó gépet az SSL paramétereket is itt tudjuk beállítani: NTOPD_SSL_PORT="".
   
−−close−with−reset A httperf egy RESET küldéssel zárja le a TCP kapcsolatokat, a szokásos TCP hand shake-es
+
## Path: Network/Monitors/Ntop
kapcsolat lezárás helyett.
+
## Description: ntop startup parameters
+
## Type: string(eth0)
−−max−connections=N Sessiönönként N darab kapcsolat lehet maximum.
+
## Default: eth0
+
## Config:
−−method=S Ezzel állíthatjuk, hogy a HTTP kérésben milyen metódus legyen.Alapértelmezetten a GET-et használja.
+
## ServiceRestart: ntop
A következő metódusok elfogadottak(GET, HEAD, PUT és POST).
+
#
+
# Specifies the network interface used by ntop
−−num−conns=N Maximum N darab kapcsolatot hozható létre a szerverrel.
+
#
+
NTOPD_IFACE="eth0"
−−period=[D]T1[,T2]
+
## Type: ip
+
## Default: 127.0.0.1:3000
A kapcsolatok és sessiönök generálása közötti idő intervallum állítására szolgál. A D paraméter a kapcsolat/ sessiön kérés érkezések eloszlása. Ha a D betű helyére „d”-t írunk akkor az determinisztikus kérés generálást jelent, „e”- exponenciális, „u”-t akkor egyenletes eloszlás T1 és T2 időintervallum között.
+
#
+
# Supposing to start ntop at the port 3000,
−−port=N
+
# the URL to access is http://hostname:3000/
+
#
A Web szerver ezen a porton hallgatja a HTTP kéréseket. Alapértelmezetten a 80-as portot figyeli. Ha csak a kliens gépen használjuk a httperf-et akkor ez a beállítás lényegtelen.
+
# Please note that an HTTP server is NOT needed in
+
# order to use the program in interactive mode.
−−print−reply[=[header|body]] és −−print−request[=[header|body]]
+
#
+
NTOPD_PORT="127.0.0.1:3000"
A kérés és a válasz fejrészének, vagy testének kinyomtatása a standard outputra.
+
## Type: integer(0:65535)
  +
## Default:
  +
#
  +
# define SSL port. Please note, that you have to generate
  +
# a certificate to run run ntop with this option.
  +
# This may be done with the commands:
  +
# openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 365 -out cert.pem
  +
# cat privkey.pem cert.pem > /etc/ntop/ntop-cert.pem
  +
# /bin/rm -f privkey.pem cert.pem
  +
#
  +
# NTOPD_SSL_PORT="3001"
  +
#
  +
NTOPD_SSL_PORT=""
  +
## Type: string
  +
## Default: "ntop"
  +
#
  +
# define the user to run ntop. This should not be root!
  +
#
  +
NTOP_USER="ntop"
  +
## Type: string
  +
## Default: ""
  +
## ServiceRestart: ntop
  +
#
  +
# Additional arguments when starting ntop with the init script
  +
# /etc/init.d/ntop or rcntop.
  +
#
  +
# See man 8 ntop for all available commandline options.
  +
#
  +
NTOP_ARGS=""
  +
'''
   
−−rate=X Fix rátával (X) készüljenek az igények és sessiönök.
+
== Memóriaigény==
   
−−recv−buffer=N A HTTP válaszokra szánt maximális puffer méret. Alapértelmezetten ez 16KB.
+
Az ntop (mint ahogy azt eddig láttuk) rentgeteg információt tárol minden egyes hosztról és ezt egy belső memória tábla segítségével (in-memory table) képes megvalósítani. Periodikusan végignézi a tábla bejegyzéseit és törli azokat a bejegyzéseket amelyek már egy ideje idle állapotban vannak. Idle-nek tekinti azt az állapotot, ha 5 percig nem volt forgalom a hoszt felé.
  +
A tábla mérete, a törlések közti idő és az idle állapot ideje átállítható a ''/usr/src/debug/ntop-4.0/globals-core.h'' fájlban, de ahhoz, hogy kellően pontos képet kapjunk a hálózati aktivitásról nagy memóriára felhasználásra van szükségünk. Ha például kevesebbre állítjuk az idle állapotot például 2 percre, akkor hamarabb törlődnek a memóriából az éppen idle-nek feltételezett hosztok. A memória fogyasztás csökkenthető a ''-B'' kapcsoló segítségével. A ''-B'' kapcsolóval kikapcsoljuk a protokoll dekódert, így nem monitorozzuk bizonyos 2. és 3. rétegbeli protokollokat (pl.a NetFlow, NetBIOS, Netware SAP, http, FTP),így az kevesebb memóriát is fogyaszt a feldolgozás.
   
−−send−buffer=N A HTTP kérésekre szánt maximális puffer méret. Alapértelmezetten ez 4KB.
+
Tehát az ntop memóriaigénye a hosztok számával és azok forgalmával van összefüggésben. Ha egy felhasználó portszkenelést hajt végre akkor 100 hoszt is fog megjelenni a monitorozás során (igaz rövid időre), ha DoS támadást hajt végre akkor akár 1000 hoszt is megjelenhet. Persze ezek a hosztok csak néhány bájtnyi forgalmat generálnak majd eltűnnek, de memóriaigényük jelentős lehet.
   
−−server=S A Szerver (amit le szeretnénk tesztelni) hosztneve vagy IP címe. Ezt mindig kötelező megadni.
+
Személyes tapasztalatom szerint ntop sok memóriát fogyaszt, nagy hálózati forgalom mellett. A hivatalos weboldal szerint LAN hálózatok esetén néhány MB memóriát igényel, WAN hálózatok monitorozása esetén pedig 100 MB-ot. Elvégeztem egy kísérletet, ahol kb. 40 lokális hálózaton lévő számítógép külvilág felé menő forgalmát vizsgáltam.
  +
Az ntop memóriaigénye a hivatalosan megadott pár MB-ot jóval meghaladta, volt olyan időszak ahol 200MB-os memória felhasználás is megfigyelhető volt csúcsidőben.
   
−−server−name=S A kérés során a HTTP fejrész „Host” mezejébe ezt a szerver nevet írja a httperf.
+
== Historikus adatok kezelése==
   
−−session−cookie Süti menedzselés engedélyezése.
+
Az ntop a historikus adatokat egy RRD (round-robin database) adatbázisba gyűjti. Az RRD speciális adatbázis ami egy körpuffert valósít meg. Ha például 15 perces időintervallumban szeretnénk percenként megmérni az aktuális forgalmat akkor ez 15 bejegyzést jelent majd az adatbázisban. A 15 perc letelte után a következő perc mérési adat már az előző intervallum első bejegyzését írja felül, így az adatbázis mérete állandó marad.
   
−−ssl A httperf és a szerver közti kommunikáció SSL protokoll által biztosított.
+
Az ntop által begyűjtött adatokat a webböngésző segítségével tekinthetjük meg, ami az RRD grafikával rajzoltatjuk ki a memória táblákból is a számlálókból (megjegyzés: ha az ntopot újraindítjuk ezek az adatok eltűnnek és a grafikon rajzolás is újraindul). A begyűjtött adatokból készült rrd fájlokat a /usr/share/ntop/rrd/ mappában találjuk.
  +
Itt a fájlok 3 almappában a számlálók típusa szerint csoportosítva helyezkednek el (pl.arpRarpBytes számláló, vagy IP_FTPBytes számláló által gyűjtött rrd fájlok). A 3 mappa: Graphics,Flows és az Interfaces. A Flow mappa tartalma lehet a NetFlow adatokból készült rrd.
   
−−ssl−ciphers=L
+
A hosszú mérési eredmények (több hónapnyi) kijelzésére is van lehetőség az ntopban. Ezeket a Plugin menü RRD Preferences fül alatt lehet beállítani. Ezen a felületen beállíthatjuk milyen gyakran és mekkora adatot tároljuk egyszerre:
  +
* Dump Interval: milyen gyakorisággal tároljunk el adatot (pl. 300 másodpercenként, azaz 5 perc)
  +
* Dump Hours: hány órányi 300sec-enként rögzített adatot tároljunk
  +
* Dump Days: hány napnyi órás lebontású adatot tároljunk
  +
* Dump Months: hány havi napi lebontású adatot tároljunk
  +
Ebből a 4 paraméterből áll össze az ntop által gyűjtött RRD-k körpufferének a mérete.
   
Ha használnunk SSL protokollt, akkor az L paraméter helyére beírhatjuk a httperf által használt kulcsokat kettősponttal elválasztva egymástól. Ha szerver nem fogadja el ezeket a kulcsokat akkor a kapcsolat meghiúsul és a program kilép azonnal.
+
[[File:Ntop_rrd.png]]
   
−−ssl−no−reuse Ha az SSL kapcsolat létrejött a kliens fogadja a szerver által küldött sessiön azonosítót (session id).
+
Több hónapnyi adat szépen lassan felduzzasztja a /usr/share/ntop/rrd/ mappát és ezeket sajnos csak manuálisan lehet törölni a gépről. Arról nem is beszélve ha sok aktív felhasználó, sok mindent csinál akkor könnyen meghaladhatjuk a könyvtárban megengedett maximális fájlok számát. Ezért vezették be a hierarchikus mappákat. Például az Interfaces mappában találjuk az eth0 mappát. Az eth0-ról begyűjtött adatok ide kerülnek.
   
−−timeout=X X másodpercig ideig vár a szerver válaszára a httperf.
+
== Ajánlott irodalom==
  +
http://www.ntop.org/ntop-man.html
   
--wsess 1,2,3
+
http://www.ntop.org/overview.html
   
Ezzel az opcióval több paramétert is finomhangolhatunk:1. a kapcsolatok száma, 2. kérések száma kapcsolatonként,3. a két küldési börszt közti várakozási idő.
+
http://www.gossamer-threads.com/lists/ntop/users/22584
   
−−version A httperf verzióját írja ki.
+
http://www.linuxaria.com/recensioni/ntop-network-analysis?lang=en

A lap jelenlegi, 2010. december 10., 20:38-kori változata

Készítette : Jakó Zoltán

Tartalomjegyzék

[szerkesztés] 1 Bevezetés

Az ntop egy ingyenes hálózat monitorozó program. Működik Linux, FreeBSD, Solaris, MAC és Windows (kivéve Vista) alatt is, bár én még csak Solarisos, linuxos és FreeBSD változattal találkoztam eddig. Segítségével képesek vagyunk megfigyelni a hálózatunk aktuális használtságát. Megjeleníti azokat a hosztneveket, akik éppen használják a hálózatot és megnézhetjük az egyes hosztok által generált, illetve fogadott forgalmat (cél és forrás szerint: ki kivel kommunikál?). A program által elkapott csomagok megjelenítésére egy webböngészőre is szükségünk van. Ha a border gateway gépünkre telepítjük az ntop-ot akkor megfigyelhetjük kik kapcsolódnak hozzánk a lokális hálózatból, mekkora forgalmat bonyolítanak le a külvilággal, és megfigyelhetjük például milyen oldalakat tekintettek meg a felhasználók. Az ilyen módon elkapott forgalomból statisztika szerkeszthető, akár több hónapnyi forgalmi adat mentésre is van lehetőségünk vele.

Az ntop a beküldött információs adatokat feldolgozza nekünk majd a statisztikákat megjeleníti a böngészőben. Képes a NetFlow, sFlow (RFC 3176) és RMON (HP)adattovábbítási protokollokat megérteni. Ha nem rendelkezünk olyan routerekkel, támogatják ezen protokollokat, akkor se kell pánikba esni, ugyanis a program maga is tudja emulálni a NetFlow protokollt. Alapértelmezetten az eth0-ás interfészen átment adatokból egy virtuális NetFlow-t valósít meg. Az eth0 interfészt más interfészre is átállíthatjuk, erről majd a konfigurálós részben még szót ejtek.

A program nagy előnye, hogy számos protokollt támogat. Csak néhány a fontosabbak közül: IPv4/IPv6, IPX, AppleTalk, Netbios, TCP/UDP, ARP, PPP/PPPoE, VoIP, NetFlow (v5 és v9),IPFIX, HTTP, DNS, FTP, SMTP, POP/IMAP, SNMP, Telnet és minden protokollra szűrni is lehet.

A piacon létezik olyan üzleti termék is (Nbox néven) amely az adat gyűjtést és feldolgozást is elvégzi. Két fő része az nProbe és az ntop és egy kiegészítő az n2disk. Az nProbe egy firmware, ami a routerekben található és ez küldi az adatokat az ntop pedig feldolgozza őket. Az nProbe és ntop egyesüléséből születik meg az Nbox szerver amely figyeli az eszközöket és az általuk küldött adatokból szép, egyszerű, webböngészővel felügyelhető monitorozást biztosít nekünk. Az n2diszk kiegészítővel pedig a szerverünk és többi gép terhelését tudjuk figyelni (memória felhasználás, I/O műveletek stb.).

Aki ismeri az mrtg nevű programot az felismerheti a közte és az ntop közti hasonlóságot.Voltaképpen mindkettő hálózati csomagok analizálására való és mindkettő hálózati információkat jelent meg. A különbség köztük az információszerzés módjában van és máshogy is jelenítik meg az információkat. Az mrtg SNMP protokollt használ az adatok begyűjtésére. Az ntop más módszert alkalmaz az adatok begyűjtésére, nem használja a SNMP protokollt, helyette főleg a NetFlow adatokból nyeri az információt, de ettől függetlenül képes az SNMP protokoll kezelésére is. Az mrtg képes akár több száz hálózati eszköz (router, switch stb.) monitorozására és róluk az információ megjelenítésére. Az ntop inkább egyszerűbb hálózatok aggregált forgalmának figyelésére összpontosít. A Netflow adatokból több információ nyerhető ki, például látja a webszerver kérést is, nem csak azt, hogy forgalom volt a 80-as porton. Negatívum ugyanakkor, hogy nagyon könnyű az ntop-ot futtató gép erőforrásait leterhelni. Vagyis ha egy ISP ntop-ot kíván használni a nagy sebességű optikai kapcsolatának monitorozására igen gyors és nagy memóriával rendelkező gépre van szüksége.

A bevezető után foglaljuk össze mi az ntop előnye és hátránya:

  • Előnyei:
    • sok protokollt ismer,
    • egyszerű kezelés, webes kezelőfelület,
    • képes a NetFlow, sflow adatok gyűjtésére,
    • látványos statisztikák készíthetőek vele
  • Hátrányai:
    • memória igénye nagy,
    • a historikus adatok sok helyet foglalhatnak.

[szerkesztés] 2 Telepítés

A legegyszerűbb csomagból telepíteni a következő parancs kiadásával:

[IT@Zed root]# sudo apt-get install ntop –y

A másik megoldás forráskódból.

[szerkesztés] 3 Használat

Elindítása egyszerű, de az első indításnál célszerű egy admin jelszó beállítása, hogy illetéktelenek ne férjenek hozzá a forgalmi adatokhoz.

[IT@Zed root]# ntop --set-admin-password
[IT@Zed root]# /usr/bin/ntop -P /usr/share/ntop -u ntop -A
Wait please: ntop is coming up...
DD/MMM/YYYY HH:MM:SS Initializing IP services...
SSL is present but https is disabled: use -W <https port> for enabling it
DD/MMM/YYYY HH:MM:SS Initializing GDBM...
DD/MMM/YYYY HH:MM:SS Initializing network devices...
DD/MMM/YYYY HH:MM:SS ntop v.2.0.99 ntop-02-04-12.tgz MT (SSL) [i686-pc-linux-gnu] (04/12/0210:02:15 AM build)
DD/MMM/YYYY HH:MM:SS Listening on [eth0]
DD/MMM/YYYY HH:MM:SS Copyright 1998-2002 by Luca Deri <deri@ntop.org>
DD/MMM/YYYY HH:MM:SS Get the freshest ntop from http://www.ntop.org/
DD/MMM/YYYY HH:MM:SS Initializing...
...
DD/MMM/YYYY HH:MM:SS Welcome to sFlow: listening on UDP port 6343...

Majd ha már második alkalommal akarjuk elindítani egyszerűbb a folyamat:

[IT@Zed]# sudo /etc/init.d/ntop start

A böngészőbe írjuk be, hogy:

http://localhost:3000
vagy
https://localhost:3001

és megkapjuk a webes kezelőfelületet. A port és az SSL beállítást a konfigurációs részben olvashatjuk.

Az újraindítás és leállítás:

[IT@Zed root]# sudo /etc/init.d/ntop restart
[IT@Zed root]# sudo /etc/init.d/ntop stop

[szerkesztés] 3.1 Webes kezelőfelület

Fájl:ntop.jpg

A menüpontok segítségével kiválaszthatjuk, hogy csak egy összegzést nézünk (summary), minden protkollt figyelni szeretnénk (All protocols), vagy csak IP forgalmat. Ezen belül is lehet csak a helyi forgalmat vizsgálni. A Plugins menüpontnál lehet az ICMP üzenetek figyelését bekapcsolni, vagy a NetFlow és sFlow-okat beállítani. Mi a küldő router IP címe a port amin figyelni kell?

[szerkesztés] 3.2 Szintaktika

Ha nem kívánunk élni a webes felülettel terminálból is tudjuk működtetni az ntopot:

ntop [@filename] [-a|--access-log-file <path>] [-b|--disable-decoders] [-c|--sticky-hosts
[-e|--max-table-rows] [-f|--traffic-dump-file file>] [-g|--track-local-hosts] [-h|--help]
[-j|--create-other-packets] [-l|--pcap-log <path>] [-m|--local-subnets <addresses>]
[-n|--numeric-ip-addresses] [-o|--no-mac] [-p|--protocols <list>] [-q|--create-suspicious-packets]
[-r|--refresh-time <number>] [-s|--no-promiscuous] [-t|--trace-level <number>] 
[-x <max_num_hash_entries>] [-w|--http-server <port>] [-z|--disable-sessions] 
[-A|--set-admin-password password] [-B|--filter-expression expression] [-C <configmode>]
[-D|--domain <name>] [-F|--flow-spec <specs>] [-M|--no-interface-merge] [-N|--wwn-map] 
[-O|----output-packet-path] [-P|--db-file-path <path>] [-Q|--spool-file-path <path>] 
[-U|--mapper <URL>] [-V|--version] [-X <max_num_TCP_sessions>] [--disable-instantsessionpurge] 
[--disable-mutexextrainfo] [--disable- schedyield] [--disable-stopcap] [--fc-only] [--instance] 
[--no-fc] [--no-invalid-lun] [--p3p-cp] [--p3p-uri] [--skip-version-check] [--w3c] [-4|--ipv4] 
[-6|--ipv6]

Az ntop képes naplófájlok készítésére a -a kapcsoló felhasználásával. Ezek a naplófájlok az Apache naplófájljához hasonlítanak. Egy weboldal betöltéséről készült naplófájl valahogy így néz ki:

192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] - "GET / HTTP/1.1" 200 1489 4
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /index_top.html HTTP/1.1" 200 1854 4
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500]] "GET /index_inner.html HTTP/1.1" 200 1441 7
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /index_left.html HTTP/1.1" 200 1356 4
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500]] - "GET /home_.html HTTP/1.1" 200 154/617 9
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /home.html HTTP/1.1" 200 1100/3195 10
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10

[szerkesztés] 4 Konfigurációs lehetőségek

A konfigurációs lehetőségein sajnos igen csekélyek. A Webes felületen a Plugin menüpontban állíthatjuk be a NetFlow illetve az sflow paramétereket, az admin fülben pedig a hozzáféréseket. A port és IP cím változtatására manuálisan az /etc/ntop/etc/ntop.conf fájl módosításával van lehetőségünk.

[szerkesztés] 4.1 Az IP-cím és a port szám beállítása

Először is állítsuk le az ntop-ot. Majd az /etc/ntop/etc/ntop.conf fájlban az NTOPD_IFACE="eth0" megváltoztatásával érhető el más interfész figyelése, az IP címet és a port számot pedig az TOPD_PORT="127.0.0.1:3000" átírásával tudjuk megváltoztatni. Ha biztonságos kapcsolaton keresztül szeretnénk elérni a monitorozó gépet az SSL paramétereket is itt tudjuk beállítani: NTOPD_SSL_PORT="".

## Path:	   Network/Monitors/Ntop
## Description:	   ntop startup parameters
## Type:	   string(eth0)
## Default:	   eth0
## Config:
## ServiceRestart: ntop
#
# Specifies the network interface used by ntop
#
NTOPD_IFACE="eth0"
## Type:	ip
## Default:	127.0.0.1:3000
#
# Supposing to start  ntop  at  the port  3000,
# the  URL  to  access  is http://hostname:3000/
#
# Please note that an HTTP server is NOT needed  in
# order to use the program in interactive mode.
#
NTOPD_PORT="127.0.0.1:3000"
## Type:	integer(0:65535)
## Default:	
#
# define SSL port. Please note, that you have to generate 
# a certificate to run run ntop with this option.
# This may be done with the commands:
# openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 365 -out cert.pem
# cat privkey.pem cert.pem > /etc/ntop/ntop-cert.pem
# /bin/rm -f privkey.pem cert.pem
#
# NTOPD_SSL_PORT="3001"
#
NTOPD_SSL_PORT=""
## Type:	string
## Default:	"ntop"
#
# define the user to run ntop. This should not be root!
#
NTOP_USER="ntop"
## Type: string
## Default: ""
## ServiceRestart: ntop
#
# Additional arguments when starting ntop with the init script
# /etc/init.d/ntop or rcntop.
#
# See man 8 ntop for all available commandline options.
#
NTOP_ARGS=""

[szerkesztés] 5 Memóriaigény

Az ntop (mint ahogy azt eddig láttuk) rentgeteg információt tárol minden egyes hosztról és ezt egy belső memória tábla segítségével (in-memory table) képes megvalósítani. Periodikusan végignézi a tábla bejegyzéseit és törli azokat a bejegyzéseket amelyek már egy ideje idle állapotban vannak. Idle-nek tekinti azt az állapotot, ha 5 percig nem volt forgalom a hoszt felé. A tábla mérete, a törlések közti idő és az idle állapot ideje átállítható a /usr/src/debug/ntop-4.0/globals-core.h fájlban, de ahhoz, hogy kellően pontos képet kapjunk a hálózati aktivitásról nagy memóriára felhasználásra van szükségünk. Ha például kevesebbre állítjuk az idle állapotot például 2 percre, akkor hamarabb törlődnek a memóriából az éppen idle-nek feltételezett hosztok. A memória fogyasztás csökkenthető a -B kapcsoló segítségével. A -B kapcsolóval kikapcsoljuk a protokoll dekódert, így nem monitorozzuk bizonyos 2. és 3. rétegbeli protokollokat (pl.a NetFlow, NetBIOS, Netware SAP, http, FTP),így az kevesebb memóriát is fogyaszt a feldolgozás.

Tehát az ntop memóriaigénye a hosztok számával és azok forgalmával van összefüggésben. Ha egy felhasználó portszkenelést hajt végre akkor 100 hoszt is fog megjelenni a monitorozás során (igaz rövid időre), ha DoS támadást hajt végre akkor akár 1000 hoszt is megjelenhet. Persze ezek a hosztok csak néhány bájtnyi forgalmat generálnak majd eltűnnek, de memóriaigényük jelentős lehet.

Személyes tapasztalatom szerint ntop sok memóriát fogyaszt, nagy hálózati forgalom mellett. A hivatalos weboldal szerint LAN hálózatok esetén néhány MB memóriát igényel, WAN hálózatok monitorozása esetén pedig 100 MB-ot. Elvégeztem egy kísérletet, ahol kb. 40 lokális hálózaton lévő számítógép külvilág felé menő forgalmát vizsgáltam. Az ntop memóriaigénye a hivatalosan megadott pár MB-ot jóval meghaladta, volt olyan időszak ahol 200MB-os memória felhasználás is megfigyelhető volt csúcsidőben.

[szerkesztés] 6 Historikus adatok kezelése

Az ntop a historikus adatokat egy RRD (round-robin database) adatbázisba gyűjti. Az RRD speciális adatbázis ami egy körpuffert valósít meg. Ha például 15 perces időintervallumban szeretnénk percenként megmérni az aktuális forgalmat akkor ez 15 bejegyzést jelent majd az adatbázisban. A 15 perc letelte után a következő perc mérési adat már az előző intervallum első bejegyzését írja felül, így az adatbázis mérete állandó marad.

Az ntop által begyűjtött adatokat a webböngésző segítségével tekinthetjük meg, ami az RRD grafikával rajzoltatjuk ki a memória táblákból is a számlálókból (megjegyzés: ha az ntopot újraindítjuk ezek az adatok eltűnnek és a grafikon rajzolás is újraindul). A begyűjtött adatokból készült rrd fájlokat a /usr/share/ntop/rrd/ mappában találjuk. Itt a fájlok 3 almappában a számlálók típusa szerint csoportosítva helyezkednek el (pl.arpRarpBytes számláló, vagy IP_FTPBytes számláló által gyűjtött rrd fájlok). A 3 mappa: Graphics,Flows és az Interfaces. A Flow mappa tartalma lehet a NetFlow adatokból készült rrd.

A hosszú mérési eredmények (több hónapnyi) kijelzésére is van lehetőség az ntopban. Ezeket a Plugin menü RRD Preferences fül alatt lehet beállítani. Ezen a felületen beállíthatjuk milyen gyakran és mekkora adatot tároljuk egyszerre:

  • Dump Interval: milyen gyakorisággal tároljunk el adatot (pl. 300 másodpercenként, azaz 5 perc)
  • Dump Hours: hány órányi 300sec-enként rögzített adatot tároljunk
  • Dump Days: hány napnyi órás lebontású adatot tároljunk
  • Dump Months: hány havi napi lebontású adatot tároljunk

Ebből a 4 paraméterből áll össze az ntop által gyűjtött RRD-k körpufferének a mérete.

Ntop rrd.png

Több hónapnyi adat szépen lassan felduzzasztja a /usr/share/ntop/rrd/ mappát és ezeket sajnos csak manuálisan lehet törölni a gépről. Arról nem is beszélve ha sok aktív felhasználó, sok mindent csinál akkor könnyen meghaladhatjuk a könyvtárban megengedett maximális fájlok számát. Ezért vezették be a hierarchikus mappákat. Például az Interfaces mappában találjuk az eth0 mappát. Az eth0-ról begyűjtött adatok ide kerülnek.

[szerkesztés] 7 Ajánlott irodalom

http://www.ntop.org/ntop-man.html

http://www.ntop.org/overview.html

http://www.gossamer-threads.com/lists/ntop/users/22584

http://www.linuxaria.com/recensioni/ntop-network-analysis?lang=en

Személyes eszközök