Ntop

A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
(IPTraf)
 
(2 szerkesztő 36 közbeeső változata nincs mutatva)
1. sor: 1. sor:
  +
''' Készítette ''': Jakó Zoltán
 
'''
  
'''
  +
== Bevezetés ==
  +
Az ntop egy ingyenes hálózat monitorozó program. Működik Linux, FreeBSD, Solaris, MAC és Windows (kivéve Vista) alatt is, bár én még csak Solarisos, linuxos és FreeBSD változattal találkoztam eddig.
  +
Segítségével képesek vagyunk megfigyelni a hálózatunk aktuális használtságát. Megjeleníti azokat a hosztneveket, akik éppen használják a hálózatot és megnézhetjük az egyes hosztok által generált, illetve fogadott forgalmat (cél és forrás szerint: ki kivel kommunikál?). A program által elkapott csomagok megjelenítésére egy webböngészőre is szükségünk van. Ha a border gateway gépünkre telepítjük az ntop-ot akkor megfigyelhetjük kik kapcsolódnak hozzánk a lokális hálózatból, mekkora forgalmat bonyolítanak le a külvilággal, és megfigyelhetjük például milyen oldalakat tekintettek meg a felhasználók. Az ilyen módon elkapott forgalomból statisztika szerkeszthető, akár több hónapnyi forgalmi adat mentésre is van lehetőségünk vele.
   
== vmstat (virtual memory statistics) ==
 +
Az ntop a beküldött információs adatokat feldolgozza nekünk majd a statisztikákat megjeleníti a böngészőben. Képes a [[NetFlow]], [http://www.sflow.org sFlow (RFC 3176)] és [http://www.inmon.com/products/xrmonagents.php RMON (HP)]adattovábbítási protokollokat megérteni. Ha nem rendelkezünk olyan routerekkel, támogatják ezen protokollokat, akkor se kell pánikba esni, ugyanis a program maga is tudja emulálni a NetFlow protokollt. Alapértelmezetten az ''eth0''-ás interfészen átment adatokból egy virtuális NetFlow-t valósít meg. Az ''eth0'' interfészt más interfészre is átállíthatjuk, erről majd a konfigurálós részben még szót ejtek.
   
'''
 +
A program nagy előnye, hogy számos protokollt támogat. Csak néhány a fontosabbak közül: IPv4/IPv6, IPX, AppleTalk, Netbios, TCP/UDP, ARP, PPP/PPPoE, VoIP, NetFlow (v5 és v9),IPFIX, HTTP, DNS, FTP, SMTP, POP/IMAP, SNMP, Telnet és minden protokollra szűrni is lehet.
   
A vmstat egy olyan UNIX és UNIX jellegű (Linux, FreeBSD, Solaris) operációs rendszerben lévő rendszermonitorozó program, a virtuális memória használatáról tud különféle statisztikákat, kimutatásokat készíteni. Megmutatja, mennyi virtuális memóriánk van összesen, ebből mennyi szabad, illetve összefoglalja a lapkezeléssel kapcsolatos eseményeket. A legfontosabb azonban az, hogy segítségével a be- és kilapozásokat már megtörténésük pillanatában érzékelni tudjuk, azaz közel valós időben felügyelhetjük vele rendszerünk aktivitását. Ez pedig egy nagyon hasznos képesség.
 +
A piacon létezik olyan üzleti termék is (Nbox néven) amely az adat gyűjtést és feldolgozást is elvégzi. Két része az nProbe és az ntop és egy kiegészítő az n2disk. Az nProbe egy firmware, ami a routerekben található és ez küldi az adatokat az ntop pedig feldolgozza őket. Az nProbe és ntop egyesüléséből születik meg az Nbox szerver amely figyeli az eszközöket és az általuk küldött adatokból szép, egyszerű, webböngészővel felügyelhető monitorozást biztosít nekünk. Az n2diszk kiegészítővel pedig a szerverünk és többi gép terhelését tudjuk figyelni (memória felhasználás, I/O műveletek stb.).
   
''Szintaktika:''
 +
Aki ismeri az [http://oss.oetiker.ch/mrtg/ mrtg] nevű programot az felismerheti a közte és az ntop közti hasonlóságot.Voltaképpen mindkettő hálózati csomagok analizálására való és mindkettő hálózati információkat jelent meg. A különbség köztük az információszerzés módjában van és máshogy is jelenítik meg az információkat.
vmstat [-a] [-n] [delay [ count]]
 +
Az mrtg SNMP protokollt használ az adatok begyűjtésére. Az ntop más módszert alkalmaz az adatok begyűjtésére, nem használja a SNMP protokollt, helyette főleg a NetFlow adatokból nyeri az információt, de ettől függetlenül képes az SNMP protokoll kezelésére is. Az mrtg képes akár több száz hálózati eszköz (router, switch stb.) monitorozására és róluk az információ megjelenítésére. Az ntop inkább egyszerűbb hálózatok aggregált forgalmának figyelésére összpontosít. A Netflow adatokból több információ nyerhető ki, például látja a webszerver kérést is, nem csak azt, hogy forgalom volt a 80-as porton. Negatívum ugyanakkor, hogy nagyon könnyű az ntop-ot futtató gép erőforrásait leterhelni. Vagyis ha egy ISP ntop-ot kíván használni a nagy sebességű optikai kapcsolatának monitorozására igen gyors és nagy memóriával rendelkező gépre van szüksége.
vmstat [-f] [-s] [-m]
  
vmstat [-S unit]
  
vmstat [-d]
  
vmstat [-p disk partition]
  
vmstat [-V]
  
   
''Kapcsolók:''
 +
A bevezető után foglaljuk össze mi az ntop előnye és hátránya:
  +
*Előnyei:
  +
** sok protokollt ismer,
  +
** egyszerű kezelés, webes kezelőfelület,
  +
** képes a NetFlow, sflow adatok gyűjtésére,
  +
** látványos statisztikák készíthetőek vele
   
-V verzió információ
 +
*Hátrányai:
-a megjeleníti az aktív és inaktív memóriát (2.5.41 kernel kell hozzá vagy jobb),
+
** memória igénye nagy,
-n a headereket csak egyszer jeleníti meg nem nyomtatja ki a képernyőre periodikusan,
 +
** a historikus adatok sok helyet foglalhatnak.
-s több fontos számláló és memória statisztikák megjelenítése (ez a megjelenítés nem ismétlődik) például: total memory, used memory, system CPU ticks stb.,
  
-m rendszermag memóriahasználatáról (/proc/slabinfo) információ megjelenítése
  
-S unit k, K, m, M kapcsolók után következhet kimenetek értéke: 1024, 1000000, vagy 1048576 byte,
  
-d diszkünk vagy diszkjeink statisztikáját jeleníti meg pl. partíciók száma, mérete,
  
-p disk partition a partíciót nevét beírva információt kaphatunk a partícióról.
 
delay [ count]] delay segítségével beállíthatjuk, hogy hány másodpercenként kérjünk frissítést a kijelzésre, a count pedig a frissítések számát adja meg (ha nem adunk meg count értéket, akkor a default count érték végtelen).
 
   
Írjuk be a terminálba a vmstat-ot! Az eredmény:
 +
== Telepítés ==
  +
A legegyszerűbb csomagból telepíteni a következő parancs kiadásával:
  +
[IT@Zed root]# sudo apt-get install ntop –y
   
procs -----------memory---------- ---swap-- -----io---- -system-- -----cpu------
 +
A másik megoldás forráskódból.
r b swpd free buff cache si so bi bo in cs us sy id wa st
  
2 1 290316 14608 3132 163900 43 61 521 132 1662 3650 24 22 47 6 0
  
   
és a magyarázat:
 +
== Használat ==
   
''Proceszek:''
 +
Elindítása egyszerű, de az első indításnál célszerű egy admin jelszó beállítása, hogy illetéktelenek ne férjenek hozzá a forgalmi adatokhoz.
r: futási időre váró processek száma
  
b: (a nem megszakítható) alvó processek száma
  
   
''Memória:''
 +
[IT@Zed root]# ntop --set-admin-password
swpd: A felhasznált virtuális memória
 +
[IT@Zed root]# /usr/bin/ntop -P /usr/share/ntop -u ntop -A
free: A rendelkezésre álló memória.
 +
Wait please: ntop is coming up...
buff: A pufferek által használt memória.
 +
DD/MMM/YYYY HH:MM:SS Initializing IP services...
cache: cache-ként használt memória.
 +
SSL is present but https is disabled: use -W <https port> for enabling it
inact: inaktív memória.(-a kapcsoló használatakor jelenik meg)
 +
DD/MMM/YYYY HH:MM:SS Initializing GDBM...
active: aktív memória. (-a kapcsoló használatakor jelenik meg)
 +
DD/MMM/YYYY HH:MM:SS Initializing network devices...
  +
DD/MMM/YYYY HH:MM:SS ntop v.2.0.99 ntop-02-04-12.tgz MT (SSL) [i686-pc-linux-gnu] (04/12/0210:02:15 AM build)
  +
DD/MMM/YYYY HH:MM:SS Listening on [eth0]
  +
DD/MMM/YYYY HH:MM:SS Copyright 1998-2002 by Luca Deri <deri@ntop.org>
  +
DD/MMM/YYYY HH:MM:SS Get the freshest ntop from http://www.ntop.org/
  +
DD/MMM/YYYY HH:MM:SS Initializing...
  +
...
  +
DD/MMM/YYYY HH:MM:SS Welcome to sFlow: listening on UDP port 6343...
  +
  +
Majd ha már második alkalommal akarjuk elindítani egyszerűbb a folyamat:
  +
[IT@Zed]# sudo /etc/init.d/ntop start
   
''Swap:''
 +
A böngészőbe írjuk be, hogy:
si: A lemeztől becserélt memória /s
 +
http://localhost:3000
so: A lemeznek kiutalt memória (/s).
 +
vagy
  +
https://localhost:3001
  +
és megkapjuk a webes kezelőfelületet. A port és az SSL beállítást a konfigurációs részben olvashatjuk.
   
''IO:''
 +
Az újraindítás és leállítás:
bi: Az eszköztől fogadott blokkolások száma (blocks/s).
  
bo: Az eszközöknek küldött blokkolások száma (blocks/s).
  
   
''Rendszer:''
 +
[IT@Zed root]# sudo /etc/init.d/ntop restart
in: megszakítás kérések száma egy másodperc alatt.
 +
[IT@Zed root]# sudo /etc/init.d/ntop stop
cs: context váltások száma másodpercenként
  
   
''CPU- A teljes CPU idő %-ban kifejezve:''
 +
=== Webes kezelőfelület===
us: a nem kernel kódra fordított idő,
 +
[[Fájl:ntop.jpg]]
sy: a kernel kódra fordított idő,
  
id: rendelkezésre álló idő (beleértve az I/O-várás idejét),
  
wa: az I/O-várás ideje
  
   
'''
 +
A menüpontok segítségével kiválaszthatjuk, hogy csak egy összegzést nézünk (''summary''), minden protkollt figyelni szeretnénk (''All protocols''), vagy csak IP forgalmat. Ezen belül is lehet csak a helyi forgalmat vizsgálni. A ''Plugins'' menüpontnál lehet az ICMP üzenetek figyelését bekapcsolni, vagy a NetFlow és sFlow-okat beállítani. Mi a küldő router IP címe a port amin figyelni kell?
   
== Netstat ==
 +
=== Szintaktika ===
   
'''
 +
Ha nem kívánunk élni a webes felülettel terminálból is tudjuk működtetni az ntopot:
A netstat egy parancssori, hálózati program arra, hogy megnézzük a hálózati konfigurációt és annak aktivitását. Képes mind a kimenő, mind a bejövő hálózati forgalom, a routing táblák és a hálózati interfészek statisztikájának megjelenítésére.
 +
ntop [@filename] [-a|--access-log-file <path>] [-b|--disable-decoders] [-c|--sticky-hosts
  +
[-e|--max-table-rows] [-f|--traffic-dump-file file>] [-g|--track-local-hosts] [-h|--help]
  +
[-j|--create-other-packets] [-l|--pcap-log <path>] [-m|--local-subnets <addresses>]
  +
[-n|--numeric-ip-addresses] [-o|--no-mac] [-p|--protocols <list>] [-q|--create-suspicious-packets]
  +
[-r|--refresh-time <number>] [-s|--no-promiscuous] [-t|--trace-level <number>]
  +
[-x <max_num_hash_entries>] [-w|--http-server <port>] [-z|--disable-sessions]
  +
[-A|--set-admin-password password] [-B|--filter-expression expression] [-C <configmode>]
  +
[-D|--domain <name>] [-F|--flow-spec <specs>] [-M|--no-interface-merge] [-N|--wwn-map]
  +
[-O|----output-packet-path] [-P|--db-file-path <path>] [-Q|--spool-file-path <path>]
  +
[-U|--mapper <URL>] [-V|--version] [-X <max_num_TCP_sessions>] [--disable-instantsessionpurge]
  +
[--disable-mutexextrainfo] [--disable- schedyield] [--disable-stopcap] [--fc-only] [--instance]
  +
[--no-fc] [--no-invalid-lun] [--p3p-cp] [--p3p-uri] [--skip-version-check] [--w3c] [-4|--ipv4]
  +
[-6|--ipv6]
   
'' Kapcsolók (csak a fontosabbak):''
 +
Az ntop képes naplófájlok készítésére a -a kapcsoló felhasználásával. Ezek a naplófájlok az Apache naplófájljához hasonlítanak. Egy weboldal betöltéséről készült naplófájl valahogy így néz ki:
   
-nr routing táblák kiíratása,
 +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] - "GET / HTTP/1.1" 200 1489 4
–n kapcsolóval íratja ki a címeket, ponttal elválasztott formátumban, hoszt- és hálózati nevek helyett.
 +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /index_top.html HTTP/1.1" 200 1854 4
-i a felkonfigurált hálózati interfészekről jelenít meg információt
 +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500]] "GET /index_inner.html HTTP/1.1" 200 1441 7
-g IPv4 és IPv6 multicast csoporttagságról jelenít meg információt,
 +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /index_left.html HTTP/1.1" 200 1356 4
-s Minden egyes protokollról (IP, TCP, SNMP stb.)készít egy összefoglalót
 +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500]] - "GET /home_.html HTTP/1.1" 200 154/617 9
-M a maszkolt kapcsolatok kilistázása(Ip maszkolás például),
 +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /home.html HTTP/1.1" 200 1100/3195 10
-l a „hallgatózó” szerver socketek kilistázása,
 +
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10
   
-ta, Ezek a kapcsolók megmutatják az aktív TCP,UDP,RAW vagy Unix socket kapcsolatokat. Ha „a”-t írunk utána akkor a kapcsolatra
 +
== Konfigurációs lehetőségek ==
-ua, váró socketeket is megjeleníti.
  
-wa,
  
-xa
  
   
'''
 +
A konfigurációs lehetőségein sajnos igen csekélyek. A Webes felületen a Plugin menüpontban állíthatjuk be a NetFlow illetve az sflow paramétereket, az admin fülben pedig a hozzáféréseket. A port és IP cím változtatására manuálisan az /etc/ntop/etc/ntop.conf fájl módosításával van lehetőségünk.
 
== IPTraf ==
  
 
'''
  
Az IPTraf egy nyílt forráskódú szoftver, amellyel monitorozható az IP hálózat és a jónéhány fontos protokoll a számítógépünkön. Ez egy tisztán szoftveres analizátor így csak a kernel által definiált interfészek figyelésére képes. Szűröket állíthatunk be, hogy csak az általunk kiválasztott protokollt figyelje a program.
  
 
Alkalmazható az alábbi protokollokra:
  
 
• User Datagram Protocol (UDP)
  
• Internet Control Message Protocol (ICMP)
  
• Open Shortest-Path First (OSPF)
  
• Interior Gateway Routing Protocol (IGRP)
  
• Interior Gateway Protocol (IGP)
  
• Internet Group Management Protocol (IGMP)
  
• General Routing Encapsulation (GRE)
  
• Address Resolution Protocol (ARP)
  
• Reverse Address Resolution Protocol (RARP)
  
 
Támogatott hálózati interfészek: lo, ethn, fddin, trn, pppn, slin, ipppn, isdnn, plipn, ipsecn, sbnin, dvbn, sm200, sm300, wlann, wvlann, hdlcnpvc.
  
 
'''Telepítése, elindítása:'''
  
 
1. Letölthető az alábbi helyről:
  
 
ftp://iptraf.seul.org/pub/iptraf/
  
 
2. Bontsuk ki (terminál ablakban):
  
 
tar zxvf iptraf-x.y.z.tar.gz
  
 
3. Lépjünk a / könyvtárba, majd./Setup (csak rootként engedi)
  
 
4. A telepítés végén, a programunk megtalálható a /usr/local/bin könyvtárban
  
 
5. A terminál ablakba csak írjuk be, hogy iptraf .
  
   
Ekkor egy "grafikus" kezelőfelületet kapunk, de használhatjuk terminálból is a következő kapcsolók segítségével:
 +
=== Az IP-cím és a port szám beállítása ===
   
-i iface A iface helyére a figyelni kívánt interfész nevét írjuk pl. eth0. Így azonnal elindul az eth0 interfész figyelése.
 +
Először is állítsuk le az ntop-ot. Majd az /etc/ntop/etc/ntop.conf fájlban az NTOPD_IFACE="eth0" megváltoztatásával érhető el más interfész figyelése, az IP címet és a port számot pedig az TOPD_PORT="127.0.0.1:3000" átírásával tudjuk megváltoztatni. Ha biztonságos kapcsolaton keresztül szeretnénk elérni a monitorozó gépet az SSL paramétereket is itt tudjuk beállítani: NTOPD_SSL_PORT="".
-g az interfészek alap statisztikáját írja ki.
  
-d iface a kiválasztott interfészről közöl adatokat pl. bejövő, kimenő IP csomagok száma, bejövő/kimenő TCP/UDP szegmensek
  
-s iface a kiválasztott interfész TCP/UDP forgalmának monitorozása.
  
-z iface csomagméret szerint csoportosítja a forgalmat.
  
-l iface LAN állomás monitorozása (ha minden LAN interfészt monitorozni szeretnénk, akkor –l all)
  
-t timeout hány percig fusson a mérés, ha ezt nem állítjuk be a menüs mérés során az első gomb nyomásig mér,
  
-B a terminál ablakot a háttérbe küldi, így közbe nyugodtan folyhat a munka, míg ő mér.
 
Ez a beállítás csak a -i, -g, -d, -s, -z, -l paraméterekkel együtt érvényes,
  
–h segítség a programhoz.
  
   
  +
## Path: Network/Monitors/Ntop
  +
## Description: ntop startup parameters
  +
## Type: string(eth0)
  +
## Default: eth0
  +
## Config:
  +
## ServiceRestart: ntop
  +
#
  +
# Specifies the network interface used by ntop
  +
#
  +
NTOPD_IFACE="eth0"
  +
## Type: ip
  +
## Default: 127.0.0.1:3000
  +
#
  +
# Supposing to start ntop at the port 3000,
  +
# the URL to access is http://hostname:3000/
  +
#
  +
# Please note that an HTTP server is NOT needed in
  +
# order to use the program in interactive mode.
  +
#
  +
NTOPD_PORT="127.0.0.1:3000"
  +
## Type: integer(0:65535)
  +
## Default:
  +
#
  +
# define SSL port. Please note, that you have to generate
  +
# a certificate to run run ntop with this option.
  +
# This may be done with the commands:
  +
# openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 365 -out cert.pem
  +
# cat privkey.pem cert.pem > /etc/ntop/ntop-cert.pem
  +
# /bin/rm -f privkey.pem cert.pem
  +
#
  +
# NTOPD_SSL_PORT="3001"
  +
#
  +
NTOPD_SSL_PORT=""
  +
## Type: string
  +
## Default: "ntop"
  +
#
  +
# define the user to run ntop. This should not be root!
  +
#
  +
NTOP_USER="ntop"
  +
## Type: string
  +
## Default: ""
  +
## ServiceRestart: ntop
  +
#
  +
# Additional arguments when starting ntop with the init script
  +
# /etc/init.d/ntop or rcntop.
  +
#
  +
# See man 8 ntop for all available commandline options.
  +
#
  +
NTOP_ARGS=""
 
'''
  
'''
   
== ntop ==
 +
== Memóriaigény==
   
'''
 +
Az ntop (mint ahogy azt eddig láttuk) rentgeteg információt tárol minden egyes hosztról és ezt egy belső memória tábla segítségével (in-memory table) képes megvalósítani. Periodikusan végignézi a tábla bejegyzéseit és törli azokat a bejegyzéseket amelyek már egy ideje idle állapotban vannak. Idle-nek tekinti azt az állapotot, ha 5 percig nem volt forgalom a hoszt felé.
  +
A tábla mérete, a törlések közti idő és az idle állapot ideje átállítható a ''/usr/src/debug/ntop-4.0/globals-core.h'' fájlban, de ahhoz, hogy kellően pontos képet kapjunk a hálózati aktivitásról nagy memóriára felhasználásra van szükségünk. Ha például kevesebbre állítjuk az idle állapotot például 2 percre, akkor hamarabb törlődnek a memóriából az éppen idle-nek feltételezett hosztok. A memória fogyasztás csökkenthető a ''-B'' kapcsoló segítségével. A ''-B'' kapcsolóval kikapcsoljuk a protokoll dekódert, így nem monitorozzuk bizonyos 2. és 3. rétegbeli protokollokat (pl.a NetFlow, NetBIOS, Netware SAP, http, FTP),így az kevesebb memóriát is fogyaszt a feldolgozás.
   
Az ntop egy libcap alapú hálózat monitorozó, amelynek segítségével figyeli tudjuk a hálózat aktuális használtságát. Megjeleníti azokat a hoszt neveket, akik éppen használják a hálózatot és megnézhetjük az egyes hosztok által generált, ill. fogadott forgalmat (cél és forrás szerint: ki kivel kommunikál?). A program által elkapott csomagok megjelenítésére egy web böngészőre is szükségünk van a webes admin felület miatt. Az elkapott forgalomból statisztika szerkeszthető, a tartós forgalomról készült statisztika mentésére is képes. Számos protokollt támogat (IPv4/IPv6, IPX, AppleTalk, Netbios, OSI, DLC stb.) ezekre külön szűrni is lehet. Működik Linux, FreeBSD, Solaris, MAC és Windows (kivéve Vista) alatt is.
 +
Tehát az ntop memóriaigénye a hosztok számával és azok forgalmával van összefüggésben. Ha egy felhasználó portszkenelést hajt végre akkor 100 hoszt is fog megjelenni a monitorozás során (igaz rövid időre), ha DoS támadást hajt végre akkor akár 1000 hoszt is megjelenhet. Persze ezek a hosztok csak néhány bájtnyi forgalmat generálnak majd eltűnnek, de memóriaigényük jelentős lehet.
   
Telepítése: sudo apt-get install ntop –y
 +
Személyes tapasztalatom szerint ntop sok memóriát fogyaszt, nagy hálózati forgalom mellett. A hivatalos weboldal szerint LAN hálózatok esetén néhány MB memóriát igényel, WAN hálózatok monitorozása esetén pedig 100 MB-ot. Elvégeztem egy kísérletet, ahol kb. 40 lokális hálózaton lévő számítógép külvilág felé menő forgalmát vizsgáltam.
  +
Az ntop memóriaigénye a hivatalosan megadott pár MB-ot jóval meghaladta, volt olyan időszak ahol 200MB-os memória felhasználás is megfigyelhető volt csúcsidőben.
   
Indítása, újraindítása, megállítása:
 +
== Historikus adatok kezelése==
 
sudo /etc/init.d/ntop start
  
sudo /etc/init.d/ntop restart
  
sudo /etc/init.d/ntop stop
  
Jelszó beállítási lehetőség:
  
sudo ntop --set-admin-password
  
   
Továbbá képes naplófájlok készítésére. Ezek az Apache naplófájljához hasonlítanak:
 +
Az ntop a historikus adatokat egy RRD (round-robin database) adatbázisba gyűjti. Az RRD speciális adatbázis ami egy körpuffert valósít meg. Ha például 15 perces időintervallumban szeretnénk percenként megmérni az aktuális forgalmat akkor ez 15 bejegyzést jelent majd az adatbázisban. A 15 perc letelte után a következő perc mérési adat már az előző intervallum első bejegyzését írja felül, így az adatbázis mérete állandó marad.
   
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] - "GET / HTTP/1.1" 200 1489 4
 +
Az ntop által begyűjtött adatokat a webböngésző segítségével tekinthetjük meg, ami az RRD grafikával rajzoltatjuk ki a memória táblákból is a számlálókból (megjegyzés: ha az ntopot újraindítjuk ezek az adatok eltűnnek és a grafikon rajzolás is újraindul). A begyűjtött adatokból készült rrd fájlokat a /usr/share/ntop/rrd/ mappában találjuk.
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /index_top.html HTTP/1.1" 200 1854 4
 +
Itt a fájlok 3 almappában a számlálók típusa szerint csoportosítva helyezkednek el (pl.arpRarpBytes számláló, vagy IP_FTPBytes számláló által gyűjtött rrd fájlok). A 3 mappa: Graphics,Flows és az Interfaces. A Flow mappa tartalma lehet a NetFlow adatokból készült rrd.
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500]] "GET /index_inner.html HTTP/1.1" 200 1441 7
  
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /index_left.html HTTP/1.1" 200 1356 4
  
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500]] - "GET /home_.html HTTP/1.1" 200 154/617 9
  
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /home.html HTTP/1.1" 200 1100/3195 10
  
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10
  
   
A böngészőbe írjuk be, hogy:
 +
A hosszú mérési eredmények (több hónapnyi) kijelzésére is van lehetőség az ntopban. Ezeket a Plugin menü RRD Preferences fül alatt lehet beállítani. Ezen a felületen beállíthatjuk milyen gyakran és mekkora adatot tároljuk egyszerre:
http://localhost:3000
 +
* Dump Interval: milyen gyakorisággal tároljunk el adatot (pl. 300 másodpercenként, azaz 5 perc)
  +
* Dump Hours: hány órányi 300sec-enként rögzített adatot tároljunk
  +
* Dump Days: hány napnyi órás lebontású adatot tároljunk
  +
* Dump Months: hány havi napi lebontású adatot tároljunk
  +
Ebből a 4 paraméterből áll össze az ntop által gyűjtött RRD-k körpufferének a mérete.
   
'''
 +
[[File:Ntop_rrd.png]]
 
== httperf ==
  
 
'''
  
A httperf segítségével mérhetjük a webszerverünk teljesítményét. Képes a HTTP/1.0 és HTTP/1.1 protokoll megértésére, és képes változatos terhelés generálásra. Futása közben számos teljesítmény jellemzőt rögzít majd a teszt végén az összegzést adja a kijelzőre. A legegyszerűbb művelete, hogy fix számú HTTP GET kéréssel bombázza a szervert, majd megméri hány válasz jön a szervertől rá és milyen rátával érkeznek ezek a válaszok. A mérés végeztével egy összesítő statisztikát jelenít meg a terminál ablakban.
  
MEGJEGYZÉS: ha helyes eredményeket akarunk kapni, akkor lehetőleg egy httperf processt futassunk a kliens gépen és csak néhány háttérben futó process legyen, mind a szerver mind a kliens gépen.
  
 
Telepítés: töltsük le a legújabb verziót: http://sourceforge.net/projects/httperf/
  
 
A legegyszerűbb eset:
  
 
httperf −−hog −−server www
  
 
Ezzel a paranccsal létrehozunk egy kapcsolatot a hoszt és a kliens között, majd a kérésre adott választ figyeljük. A válasz beérkezése után lezárjuk a kapcsolatot. A www helyére kell beírni a vizsgált szerver hosztnevét vagy az IP címét. A kapott eredményekről a program egy statisztikát készít a mérés végeztével.
 
A −−hog kapcsolóval annyi TCP portot használunk, amennyire szükség van, ha nem használjuk a program csak az 1024-5000 terjedő portok közül választ, ám ezek sok kapcsolat esetén hamar elfogyhatnak (ha például 4000 kapcsolódási kísérletet szeretnénk elindítani és mindegyiket külön portról akkor kifogynánk a rendelkezésre álló portokból).
  
 
Bővítések: Természetesen számos egyéb paraméter finom hangolható. Tekintsük meg a leglényegesebbeket:
  
 
−−add−header=S
 
 
Az S sztringet additív headerként tekinti, ami hozzáfűzhető a kérés fejrészéhez. Így több kérést is lehet küldeni egy fejrészben pl.: −−add−header "Referer: foo\nAuth: secret\n". Ebben az esetben minden kéréshez két fejrészt ad: „Referer” és „Auth”.
 
 
−−no−host−hdr A kliens HTTP kérése nem tartalmaz Hoszt fejrészt.
  
−−http−version=S Az S sztringgel adhatjuk meg a HTTP protokoll verzióját. Alapállapotban 1.1-es verziót használ.
  
−−close−with−reset A httperf egy RESET küldéssel zárja le a TCP kapcsolatokat, a szokásos TCP hand shake-es
  
kapcsolat lezárás helyett.
  
−−max−connections=N Sessiönönként N darab kapcsolat lehet maximum.
  
−−method=S Ezzel állíthatjuk, hogy a HTTP kérésben milyen metódus legyen.Alapértelmezetten a GET-et használja.
 
A következő metódusok elfogadottak(GET, HEAD, PUT és POST).
  
−−num−conns=N Maximum N darab kapcsolatot hozható létre a szerverrel.
 
−−period=[D]T1[,T2]
 
 
A kapcsolatok és sessiönök generálása közötti idő intervallum állítására szolgál. A D paraméter a kapcsolat/ sessiön kérés érkezések eloszlása. Ha a D betű helyére „d”-t írunk akkor az determinisztikus kérés generálást jelent, „e”- exponenciális, „u”-t akkor egyenletes eloszlás T1 és T2 időintervallum között.
 
 
−−port=N
 
 
A Web szerver ezen a porton hallgatja a HTTP kéréseket. Alapértelmezetten a 80-as portot figyeli. Ha csak a kliens gépen használjuk a httperf-et akkor ez a beállítás lényegtelen.
  
 
−−print−reply[=[header|body]] és −−print−request[=[header|body]]
  
 
A kérés és a válasz fejrészének, vagy testének kinyomtatása a standard outputra.
  
   
−−rate=X Fix rátával (X) készüljenek az igények és sessiönök.
 +
Több hónapnyi adat szépen lassan felduzzasztja a /usr/share/ntop/rrd/ mappát és ezeket sajnos csak manuálisan lehet törölni a gépről. Arról nem is beszélve ha sok aktív felhasználó, sok mindent csinál akkor könnyen meghaladhatjuk a könyvtárban megengedett maximális fájlok számát. Ezért vezették be a hierarchikus mappákat. Például az Interfaces mappában találjuk az eth0 mappát. Az eth0-ról begyűjtött adatok ide kerülnek.
−−recv−buffer=N A HTTP válaszokra szánt maximális puffer méret. Alapértelmezetten ez 16KB.
  
−−send−buffer=N A HTTP kérésekre szánt maximális puffer méret. Alapértelmezetten ez 4KB.
  
−−server=S A Szerver (amit le szeretnénk tesztelni) hosztneve vagy IP címe. Ezt mindig kötelező megadni.
  
−−server−name=S A kérés során a HTTP fejrész „Host” mezejébe ezt a szerver nevet írja a httperf.
  
−−session−cookie Süti menedzselés engedélyezése.
  
−−ssl A httperf és a szerver közti kommunikáció SSL protokoll által biztosított.
  
−−ssl−ciphers=L
 
   
Ha használnunk SSL protokollt, akkor az L paraméter helyére beírhatjuk a httperf által használt kulcsokat kettősponttal elválasztva egymástól. Ha szerver nem fogadja el ezeket a kulcsokat akkor a kapcsolat meghiúsul és a program kilép azonnal.
 +
== Ajánlott irodalom==
  +
http://www.ntop.org/ntop-man.html
   
−−ssl−no−reuse Ha az SSL kapcsolat létrejött a kliens fogadja a szerver által küldött sessiön azonosítót (session id).
 +
http://www.ntop.org/overview.html
−−timeout=X X másodpercig ideig vár a szerver válaszára a httperf.
  
--wsess 1,2,3
 
   
Ezzel az opcióval több paramétert is finomhangolhatunk:1. a kapcsolatok száma, 2. kérések száma kapcsolatonként,3. a két küldési börszt közti várakozási idő.
 +
http://www.gossamer-threads.com/lists/ntop/users/22584
   
−−version A httperf verzióját írja ki.
 +
http://www.linuxaria.com/recensioni/ntop-network-analysis?lang=en

A lap jelenlegi, 2010. december 10., 21:38-kori változata

Készítette : Jakó Zoltán

Tartalomjegyzék

[szerkesztés] 1 Bevezetés

Az ntop egy ingyenes hálózat monitorozó program. Működik Linux, FreeBSD, Solaris, MAC és Windows (kivéve Vista) alatt is, bár én még csak Solarisos, linuxos és FreeBSD változattal találkoztam eddig. Segítségével képesek vagyunk megfigyelni a hálózatunk aktuális használtságát. Megjeleníti azokat a hosztneveket, akik éppen használják a hálózatot és megnézhetjük az egyes hosztok által generált, illetve fogadott forgalmat (cél és forrás szerint: ki kivel kommunikál?). A program által elkapott csomagok megjelenítésére egy webböngészőre is szükségünk van. Ha a border gateway gépünkre telepítjük az ntop-ot akkor megfigyelhetjük kik kapcsolódnak hozzánk a lokális hálózatból, mekkora forgalmat bonyolítanak le a külvilággal, és megfigyelhetjük például milyen oldalakat tekintettek meg a felhasználók. Az ilyen módon elkapott forgalomból statisztika szerkeszthető, akár több hónapnyi forgalmi adat mentésre is van lehetőségünk vele.

Az ntop a beküldött információs adatokat feldolgozza nekünk majd a statisztikákat megjeleníti a böngészőben. Képes a NetFlow, sFlow (RFC 3176) és RMON (HP)adattovábbítási protokollokat megérteni. Ha nem rendelkezünk olyan routerekkel, támogatják ezen protokollokat, akkor se kell pánikba esni, ugyanis a program maga is tudja emulálni a NetFlow protokollt. Alapértelmezetten az eth0-ás interfészen átment adatokból egy virtuális NetFlow-t valósít meg. Az eth0 interfészt más interfészre is átállíthatjuk, erről majd a konfigurálós részben még szót ejtek.

A program nagy előnye, hogy számos protokollt támogat. Csak néhány a fontosabbak közül: IPv4/IPv6, IPX, AppleTalk, Netbios, TCP/UDP, ARP, PPP/PPPoE, VoIP, NetFlow (v5 és v9),IPFIX, HTTP, DNS, FTP, SMTP, POP/IMAP, SNMP, Telnet és minden protokollra szűrni is lehet.

A piacon létezik olyan üzleti termék is (Nbox néven) amely az adat gyűjtést és feldolgozást is elvégzi. Két fő része az nProbe és az ntop és egy kiegészítő az n2disk. Az nProbe egy firmware, ami a routerekben található és ez küldi az adatokat az ntop pedig feldolgozza őket. Az nProbe és ntop egyesüléséből születik meg az Nbox szerver amely figyeli az eszközöket és az általuk küldött adatokból szép, egyszerű, webböngészővel felügyelhető monitorozást biztosít nekünk. Az n2diszk kiegészítővel pedig a szerverünk és többi gép terhelését tudjuk figyelni (memória felhasználás, I/O műveletek stb.).

Aki ismeri az mrtg nevű programot az felismerheti a közte és az ntop közti hasonlóságot.Voltaképpen mindkettő hálózati csomagok analizálására való és mindkettő hálózati információkat jelent meg. A különbség köztük az információszerzés módjában van és máshogy is jelenítik meg az információkat. Az mrtg SNMP protokollt használ az adatok begyűjtésére. Az ntop más módszert alkalmaz az adatok begyűjtésére, nem használja a SNMP protokollt, helyette főleg a NetFlow adatokból nyeri az információt, de ettől függetlenül képes az SNMP protokoll kezelésére is. Az mrtg képes akár több száz hálózati eszköz (router, switch stb.) monitorozására és róluk az információ megjelenítésére. Az ntop inkább egyszerűbb hálózatok aggregált forgalmának figyelésére összpontosít. A Netflow adatokból több információ nyerhető ki, például látja a webszerver kérést is, nem csak azt, hogy forgalom volt a 80-as porton. Negatívum ugyanakkor, hogy nagyon könnyű az ntop-ot futtató gép erőforrásait leterhelni. Vagyis ha egy ISP ntop-ot kíván használni a nagy sebességű optikai kapcsolatának monitorozására igen gyors és nagy memóriával rendelkező gépre van szüksége.

A bevezető után foglaljuk össze mi az ntop előnye és hátránya:

  • Előnyei:
    • sok protokollt ismer,
    • egyszerű kezelés, webes kezelőfelület,
    • képes a NetFlow, sflow adatok gyűjtésére,
    • látványos statisztikák készíthetőek vele
  • Hátrányai:
    • memória igénye nagy,
    • a historikus adatok sok helyet foglalhatnak.

[szerkesztés] 2 Telepítés

A legegyszerűbb csomagból telepíteni a következő parancs kiadásával: 

[IT@Zed root]# sudo apt-get install ntop –y

A másik megoldás forráskódból.

[szerkesztés] 3 Használat

Elindítása egyszerű, de az első indításnál célszerű egy admin jelszó beállítása, hogy illetéktelenek ne férjenek hozzá a forgalmi adatokhoz. 

[IT@Zed root]# ntop --set-admin-password
[IT@Zed root]# /usr/bin/ntop -P /usr/share/ntop -u ntop -A
Wait please: ntop is coming up...
DD/MMM/YYYY HH:MM:SS Initializing IP services...
SSL is present but https is disabled: use -W <https port> for enabling it
DD/MMM/YYYY HH:MM:SS Initializing GDBM...
DD/MMM/YYYY HH:MM:SS Initializing network devices...
DD/MMM/YYYY HH:MM:SS ntop v.2.0.99 ntop-02-04-12.tgz MT (SSL) [i686-pc-linux-gnu] (04/12/0210:02:15 AM build)
DD/MMM/YYYY HH:MM:SS Listening on [eth0]
DD/MMM/YYYY HH:MM:SS Copyright 1998-2002 by Luca Deri <deri@ntop.org>
DD/MMM/YYYY HH:MM:SS Get the freshest ntop from http://www.ntop.org/
DD/MMM/YYYY HH:MM:SS Initializing...
...
DD/MMM/YYYY HH:MM:SS Welcome to sFlow: listening on UDP port 6343...

Majd ha már második alkalommal akarjuk elindítani egyszerűbb a folyamat: 

[IT@Zed]# sudo /etc/init.d/ntop start

A böngészőbe írjuk be, hogy: 

http://localhost:3000
vagy
https://localhost:3001

és megkapjuk a webes kezelőfelületet. A port és az SSL beállítást a konfigurációs részben olvashatjuk.

Az újraindítás és leállítás: 

[IT@Zed root]# sudo /etc/init.d/ntop restart
[IT@Zed root]# sudo /etc/init.d/ntop stop

[szerkesztés] 3.1 Webes kezelőfelület

Fájl:ntop.jpg

A menüpontok segítségével kiválaszthatjuk, hogy csak egy összegzést nézünk (summary), minden protkollt figyelni szeretnénk (All protocols), vagy csak IP forgalmat. Ezen belül is lehet csak a helyi forgalmat vizsgálni. A Plugins menüpontnál lehet az ICMP üzenetek figyelését bekapcsolni, vagy a NetFlow és sFlow-okat beállítani. Mi a küldő router IP címe a port amin figyelni kell?

[szerkesztés] 3.2 Szintaktika

Ha nem kívánunk élni a webes felülettel terminálból is tudjuk működtetni az ntopot: 

ntop [@filename] [-a|--access-log-file <path>] [-b|--disable-decoders] [-c|--sticky-hosts
[-e|--max-table-rows] [-f|--traffic-dump-file file>] [-g|--track-local-hosts] [-h|--help]
[-j|--create-other-packets] [-l|--pcap-log <path>] [-m|--local-subnets <addresses>]
[-n|--numeric-ip-addresses] [-o|--no-mac] [-p|--protocols <list>] [-q|--create-suspicious-packets]
[-r|--refresh-time <number>] [-s|--no-promiscuous] [-t|--trace-level <number>] 
[-x <max_num_hash_entries>] [-w|--http-server <port>] [-z|--disable-sessions] 
[-A|--set-admin-password password] [-B|--filter-expression expression] [-C <configmode>]
[-D|--domain <name>] [-F|--flow-spec <specs>] [-M|--no-interface-merge] [-N|--wwn-map] 
[-O|----output-packet-path] [-P|--db-file-path <path>] [-Q|--spool-file-path <path>] 
[-U|--mapper <URL>] [-V|--version] [-X <max_num_TCP_sessions>] [--disable-instantsessionpurge] 
[--disable-mutexextrainfo] [--disable- schedyield] [--disable-stopcap] [--fc-only] [--instance] 
[--no-fc] [--no-invalid-lun] [--p3p-cp] [--p3p-uri] [--skip-version-check] [--w3c] [-4|--ipv4] 
[-6|--ipv6]

Az ntop képes naplófájlok készítésére a -a kapcsoló felhasználásával. Ezek a naplófájlok az Apache naplófájljához hasonlítanak. Egy weboldal betöltéséről készült naplófájl valahogy így néz ki: 

192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] - "GET / HTTP/1.1" 200 1489 4
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /index_top.html HTTP/1.1" 200 1854 4
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500]] "GET /index_inner.html HTTP/1.1" 200 1441 7
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /index_left.html HTTP/1.1" 200 1356 4
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500]] - "GET /home_.html HTTP/1.1" 200 154/617 9
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /home.html HTTP/1.1" 200 1100/3195 10
192.168.4.127 - - [05/Dec/2010:11:12:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10

[szerkesztés] 4 Konfigurációs lehetőségek

A konfigurációs lehetőségein sajnos igen csekélyek. A Webes felületen a Plugin menüpontban állíthatjuk be a NetFlow illetve az sflow paramétereket, az admin fülben pedig a hozzáféréseket. A port és IP cím változtatására manuálisan az /etc/ntop/etc/ntop.conf fájl módosításával van lehetőségünk.

[szerkesztés] 4.1 Az IP-cím és a port szám beállítása

Először is állítsuk le az ntop-ot. Majd az /etc/ntop/etc/ntop.conf fájlban az NTOPD_IFACE="eth0" megváltoztatásával érhető el más interfész figyelése, az IP címet és a port számot pedig az TOPD_PORT="127.0.0.1:3000" átírásával tudjuk megváltoztatni. Ha biztonságos kapcsolaton keresztül szeretnénk elérni a monitorozó gépet az SSL paramétereket is itt tudjuk beállítani: NTOPD_SSL_PORT="". 

## Path:	   Network/Monitors/Ntop
## Description:	   ntop startup parameters
## Type:	   string(eth0)
## Default:	   eth0
## Config:
## ServiceRestart: ntop
#
# Specifies the network interface used by ntop
#
NTOPD_IFACE="eth0"
## Type:	ip
## Default:	127.0.0.1:3000
#
# Supposing to start  ntop  at  the port  3000,
# the  URL  to  access  is http://hostname:3000/
#
# Please note that an HTTP server is NOT needed  in
# order to use the program in interactive mode.
#
NTOPD_PORT="127.0.0.1:3000"
## Type:	integer(0:65535)
## Default:	
#
# define SSL port. Please note, that you have to generate 
# a certificate to run run ntop with this option.
# This may be done with the commands:
# openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 365 -out cert.pem
# cat privkey.pem cert.pem > /etc/ntop/ntop-cert.pem
# /bin/rm -f privkey.pem cert.pem
#
# NTOPD_SSL_PORT="3001"
#
NTOPD_SSL_PORT=""
## Type:	string
## Default:	"ntop"
#
# define the user to run ntop. This should not be root!
#
NTOP_USER="ntop"
## Type: string
## Default: ""
## ServiceRestart: ntop
#
# Additional arguments when starting ntop with the init script
# /etc/init.d/ntop or rcntop.
#
# See man 8 ntop for all available commandline options.
#
NTOP_ARGS=""

[szerkesztés] 5 Memóriaigény

Az ntop (mint ahogy azt eddig láttuk) rentgeteg információt tárol minden egyes hosztról és ezt egy belső memória tábla segítségével (in-memory table) képes megvalósítani. Periodikusan végignézi a tábla bejegyzéseit és törli azokat a bejegyzéseket amelyek már egy ideje idle állapotban vannak. Idle-nek tekinti azt az állapotot, ha 5 percig nem volt forgalom a hoszt felé. A tábla mérete, a törlések közti idő és az idle állapot ideje átállítható a /usr/src/debug/ntop-4.0/globals-core.h fájlban, de ahhoz, hogy kellően pontos képet kapjunk a hálózati aktivitásról nagy memóriára felhasználásra van szükségünk. Ha például kevesebbre állítjuk az idle állapotot például 2 percre, akkor hamarabb törlődnek a memóriából az éppen idle-nek feltételezett hosztok. A memória fogyasztás csökkenthető a -B kapcsoló segítségével. A -B kapcsolóval kikapcsoljuk a protokoll dekódert, így nem monitorozzuk bizonyos 2. és 3. rétegbeli protokollokat (pl.a NetFlow, NetBIOS, Netware SAP, http, FTP),így az kevesebb memóriát is fogyaszt a feldolgozás.

Tehát az ntop memóriaigénye a hosztok számával és azok forgalmával van összefüggésben. Ha egy felhasználó portszkenelést hajt végre akkor 100 hoszt is fog megjelenni a monitorozás során (igaz rövid időre), ha DoS támadást hajt végre akkor akár 1000 hoszt is megjelenhet. Persze ezek a hosztok csak néhány bájtnyi forgalmat generálnak majd eltűnnek, de memóriaigényük jelentős lehet.

Személyes tapasztalatom szerint ntop sok memóriát fogyaszt, nagy hálózati forgalom mellett. A hivatalos weboldal szerint LAN hálózatok esetén néhány MB memóriát igényel, WAN hálózatok monitorozása esetén pedig 100 MB-ot. Elvégeztem egy kísérletet, ahol kb. 40 lokális hálózaton lévő számítógép külvilág felé menő forgalmát vizsgáltam. Az ntop memóriaigénye a hivatalosan megadott pár MB-ot jóval meghaladta, volt olyan időszak ahol 200MB-os memória felhasználás is megfigyelhető volt csúcsidőben.

[szerkesztés] 6 Historikus adatok kezelése

Az ntop a historikus adatokat egy RRD (round-robin database) adatbázisba gyűjti. Az RRD speciális adatbázis ami egy körpuffert valósít meg. Ha például 15 perces időintervallumban szeretnénk percenként megmérni az aktuális forgalmat akkor ez 15 bejegyzést jelent majd az adatbázisban. A 15 perc letelte után a következő perc mérési adat már az előző intervallum első bejegyzését írja felül, így az adatbázis mérete állandó marad.

Az ntop által begyűjtött adatokat a webböngésző segítségével tekinthetjük meg, ami az RRD grafikával rajzoltatjuk ki a memória táblákból is a számlálókból (megjegyzés: ha az ntopot újraindítjuk ezek az adatok eltűnnek és a grafikon rajzolás is újraindul). A begyűjtött adatokból készült rrd fájlokat a /usr/share/ntop/rrd/ mappában találjuk. Itt a fájlok 3 almappában a számlálók típusa szerint csoportosítva helyezkednek el (pl.arpRarpBytes számláló, vagy IP_FTPBytes számláló által gyűjtött rrd fájlok). A 3 mappa: Graphics,Flows és az Interfaces. A Flow mappa tartalma lehet a NetFlow adatokból készült rrd.

A hosszú mérési eredmények (több hónapnyi) kijelzésére is van lehetőség az ntopban. Ezeket a Plugin menü RRD Preferences fül alatt lehet beállítani. Ezen a felületen beállíthatjuk milyen gyakran és mekkora adatot tároljuk egyszerre:

  • Dump Interval: milyen gyakorisággal tároljunk el adatot (pl. 300 másodpercenként, azaz 5 perc)
  • Dump Hours: hány órányi 300sec-enként rögzített adatot tároljunk
  • Dump Days: hány napnyi órás lebontású adatot tároljunk
  • Dump Months: hány havi napi lebontású adatot tároljunk

Ebből a 4 paraméterből áll össze az ntop által gyűjtött RRD-k körpufferének a mérete.

Ntop rrd.png

Több hónapnyi adat szépen lassan felduzzasztja a /usr/share/ntop/rrd/ mappát és ezeket sajnos csak manuálisan lehet törölni a gépről. Arról nem is beszélve ha sok aktív felhasználó, sok mindent csinál akkor könnyen meghaladhatjuk a könyvtárban megengedett maximális fájlok számát. Ezért vezették be a hierarchikus mappákat. Például az Interfaces mappában találjuk az eth0 mappát. Az eth0-ról begyűjtött adatok ide kerülnek.

[szerkesztés] 7 Ajánlott irodalom

http://www.ntop.org/ntop-man.html

http://www.ntop.org/overview.html

http://www.gossamer-threads.com/lists/ntop/users/22584

http://www.linuxaria.com/recensioni/ntop-network-analysis?lang=en

A lap eredeti címe: „http://unixlinux.tmit.bme.hu/index.php?title=Ntop&oldid=4619
Személyes eszközök