Ntop

A Unix/Linux szerverek üzemeltetése wikiből
(Változatok közti eltérés)
(Használat)
78. sor: 78. sor:
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10
 
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10
   
  +
== Konfigurációs lehetőségek ==
  +
  +
  +
=== Port és IP cím beállítás ===
  +
  +
  +
## Path: Network/Monitors/Ntop
  +
## Description: ntop startup parameters
  +
## Type: string(eth0)
  +
## Default: eth0
  +
## Config:
  +
## ServiceRestart: ntop
  +
#
  +
# Specifies the network interface used by ntop
  +
#
  +
NTOPD_IFACE="eth0"
  +
## Type: ip
  +
## Default: 127.0.0.1:3000
  +
#
  +
# Supposing to start ntop at the port 3000,
  +
# the URL to access is http://hostname:3000/
  +
#
  +
# Please note that an HTTP server is NOT needed in
  +
# order to use the program in interactive mode.
  +
#
  +
NTOPD_PORT="127.0.0.1:3000"
  +
## Type: integer(0:65535)
  +
## Default:
  +
#
  +
# define SSL port. Please note, that you have to generate
  +
# a certificate to run run ntop with this option.
  +
# This may be done with the commands:
  +
# openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 365 -out cert.pem
  +
# cat privkey.pem cert.pem > /etc/ntop/ntop-cert.pem
  +
# /bin/rm -f privkey.pem cert.pem
  +
#
  +
# NTOPD_SSL_PORT="3001"
  +
#
  +
NTOPD_SSL_PORT=""
  +
## Type: string
  +
## Default: "ntop"
  +
#
  +
# define the user to run ntop. This should not be root!
  +
#
  +
NTOP_USER="ntop"
  +
## Type: string
  +
## Default: ""
  +
## ServiceRestart: ntop
  +
#
  +
# Additional arguments when starting ntop with the init script
  +
# /etc/init.d/ntop or rcntop.
  +
#
  +
# See man 8 ntop for all available commandline options.
  +
#
  +
NTOP_ARGS=""
 
'''
 
'''

A lap 2010. december 5., 22:48-kori változata

Készítette : Jakó Zoltán

Tartalomjegyzék

1 Bevezetés

Az ntop egy hálózat monitorozó program. Működik Linux, FreeBSD, Solaris, MAC és Windows (kivéve Vista) alatt is. A program a háttérben elfut nem zavar minket a munkavégzésben. Segítségével képesek vagyunk megfigyelni a hálózatunk aktuális használtságát. Megjeleníti azokat a hosztneveket, akik éppen használják a hálózatot és megnézhetjük az egyes hosztok által generált, ill. fogadott forgalmat (cél és forrás szerint: ki kivel kommunikál?). A program által elkapott csomagok megjelenítésére egy web böngészőre is szükségünk van. Ha a border gateway gépünkre telepítjük az Ntop-ot akkor megfigyelhetjük kik kapcsolódnak hozzánk a lokális hálózaton és mekkora forgalmat bonyolítanak le, és figyelhetjük például milyen oldalakat néztek meg. Az elkapott forgalomból statisztika szerkeszthető, a tartós forgalomról készült statisztika mentésére is képes.

Az Ntop a beküldött információs adatokat feldolgozza nekünk majd a statisztikákat megjeleníti a böngészőben. Képes a NetFlow,sFlow (RFC 3176) és RMON (HP)adattovábbítási protokollokat megérteni és belőlük készíteni statisztikát. Ha nem rendelkezünk olyan routerekkel, támogatják ezen protokollokat, akkor se kell pánikba esni, ugyanis a program maga is tudja emulálni ezeket a protokollokat például az eth0-ás interfészen átment adatokból. Alapesetben az ntop egy virtuális Netflow-t valósít meg az eth0-ás interfész figyelésével. Az interfészt átállíthatjuk, erről majd a konfigurálós részben még szót ejtek.

Számos protokollt támogat:IPv4/IPv6, IPX, AppleTalk, Netbios, TCP/UDP, ARP, PPP/PPPoE, VoIP, NetFlow (v5 és v9),IPFIX, HTTP, DNS, FTP, SMTP, POP/IMAP, SNMP, Telnet és minden protokollra szűrni is lehet.

A piacon létezik olyan üzleti termék is (nbox néven) amely az adat gyűjtést és feldolgozást is elvégzi. Két fő része az nProbe és az ntop és egy kiegészítő az n2disk. Az nProbe egy firmware a routerekben van elhelyezve és ez küldi be az adatokat az ntop pedig feldolgozza őket. Az nProbe és ntop egyesüléséből születik meg az Nbox szerver amely figyeli az eszközöket és az általuk küldött adatokból szép, csinos webböngészővel megcsodálható monitorozást biztosít nekünk. A kiegészítő az n2diszkkel pedig a szerverünk és többi gép terhelését tudjuk figyelni (memória felhasználás, I/O műveletek stb.).

Hasonlít egy másik monitorozó programra az mrtg-ra, mindkettő hálózati csomagok analizálására való és mindkettő hálózati információkat jelent meg. A különbség az információszerzés módjában van és máshogy is jelenítik meg az információkat. Az mrtg SNMP protokollt használ az adatok begyűjtésére. Az ntop más módszert alkalmaz az adatok begyűjtésére, nem használja a SNMP protokollt, helyette főleg a NetFlow adatokból nyeri az információt, de ettől függetlenül képes az SNMP protokoll kezelésére is. Az mrtg képes akár több száz hálózati eszköz (router, switch stb.) monitorozására és róluk az információ megjelenítésére. Az ntop inkább egyszerűbb hálózatok aggregált forgalmának figyelésére összpontosít. A Netflow adatokból több információ nyerhető ki, például látja a webszerver kérést is, nem csak azt, hogy forgalom volt a 80-as porton. Negatívum ugyanakkor, hogy nagyon könnyű az ntop-ot futtató gép erőforrásait leterhelni. Vagyis ha egy ISP ntop-ot kíván használni a néhány nagy sebességű optikai kapcsolatának monitorozására igen gyors és nagy memóriával rendelkező gépre van szüksége.

A bevezető után foglaljuk össze mi az ntop előnye és hátránya:

  • Előnyei:
    • Sok protokollt ismer,
    • egyszerű kezelés, webes kezelőfelület,
    • képes a NetFlow, sflow adatok gyűjtésére,
    • látványos statisztikák
  • Hátrányai:
    • memória igénye nagy,
    • a historikus adatok sok helyet foglalhatnak.

2 Telepítés

A legegyszerűbb módszer csomagból telepíteni:

[IT@Zed root]# sudo apt-get install ntop –y

A másik megoldás forráskódból: Letöltjük a forrásfájlt egy ntop nevű mappába, majd lefordítjuk.

cd ntop
./autogen.sh
make
make install 

3 Használat

A terminál ablakból egyszerűen az alábbi parancsokkal indíthatjuk el: Előbb rootként beállítunk egy admin jelszót, majd utána indítjuk a programot.

[IT@Zed root]# /usr/bin/ntop -P /usr/share/ntop -u ntop -A
Wait please: ntop is coming up...
DD/MMM/YYYY HH:MM:SS Initializing IP services...
SSL is present but https is disabled: use -W <https port> for enabling it
DD/MMM/YYYY HH:MM:SS Initializing GDBM...
DD/MMM/YYYY HH:MM:SS Initializing network devices...
DD/MMM/YYYY HH:MM:SS ntop v.2.0.99 ntop-02-04-12.tgz MT (SSL) [i686-pc-linux-gnu] (04/12/0210:02:15 AM build)
DD/MMM/YYYY HH:MM:SS Listening on [eth0]
DD/MMM/YYYY HH:MM:SS Copyright 1998-2002 by Luca Deri <deri@ntop.org>
DD/MMM/YYYY HH:MM:SS Get the freshest ntop from http://www.ntop.org/
DD/MMM/YYYY HH:MM:SS Initializing...
...
DD/MMM/YYYY HH:MM:SS Welcome to sFlow: listening on UDP port 6343...

Majd ha már második alkalommal akarjuk elindítani már egyszerűbb:

[IT@Zed]# sudo /etc/init.d/ntop start

A böngészőbe írjuk be, hogy:

http://localhost:3000
vagy
https://localhost:3000

és megkapjuk a webes kezelőfelületet. A port és az SSL beállítást a konfigurációs részben olvashatjuk.

Az újraindítás és leállítás:

[IT@Zed root]# sudo /etc/init.d/ntop restart
[IT@Zed root]# sudo /etc/init.d/ntop stop

A webes kezelőfelület: Fájl:ntop.jpg

Továbbá képes naplófájlok készítésére. Ezek az Apache naplófájljához hasonlítanak:

192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] - "GET / HTTP/1.1" 200 1489 4
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /index_top.html HTTP/1.1" 200 1854 4
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500]] "GET /index_inner.html HTTP/1.1" 200 1441 7
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /index_left.html HTTP/1.1" 200 1356 4
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500]] - "GET /home_.html HTTP/1.1" 200 154/617 9
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /home.html HTTP/1.1" 200 1100/3195 10
192.168.4.127 - - [04/Nov/2010:10:11:20 -0500] "GET /About.html HTTP/1.1" 200 2010 10

4 Konfigurációs lehetőségek

4.1 Port és IP cím beállítás

## Path:	   Network/Monitors/Ntop
## Description:	   ntop startup parameters
## Type:	   string(eth0)
## Default:	   eth0
## Config:
## ServiceRestart: ntop
#
# Specifies the network interface used by ntop
#
NTOPD_IFACE="eth0"
## Type:	ip
## Default:	127.0.0.1:3000
#
# Supposing to start  ntop  at  the port  3000,
# the  URL  to  access  is http://hostname:3000/
#
# Please note that an HTTP server is NOT needed  in
# order to use the program in interactive mode.
#
NTOPD_PORT="127.0.0.1:3000"
## Type:	integer(0:65535)
## Default:	
#
# define SSL port. Please note, that you have to generate 
# a certificate to run run ntop with this option.
# This may be done with the commands:
# openssl req -new -x509 -sha1 -extensions v3_ca -nodes -days 365 -out cert.pem
# cat privkey.pem cert.pem > /etc/ntop/ntop-cert.pem
# /bin/rm -f privkey.pem cert.pem
#
# NTOPD_SSL_PORT="3001"
#
NTOPD_SSL_PORT=""
## Type:	string
## Default:	"ntop"
#
# define the user to run ntop. This should not be root!
#
NTOP_USER="ntop"
## Type: string
## Default: ""
## ServiceRestart: ntop
#
# Additional arguments when starting ntop with the init script
# /etc/init.d/ntop or rcntop.
#
# See man 8 ntop for all available commandline options.
#
NTOP_ARGS=""

Személyes eszközök