虹科分享 | 网络流量监控 | 使用 ntopng 收件人和端点进行灵活的警报处理

在之前，ntopng引擎对所有警报的配置是单一的：进入偏好页面并指定警报的发送地点。但这是不理想的，原因有很多：包括不可能在不同的渠道向不同的收件人发送警报，或有选择地决定何时发送警报。

出于这个原因，我们引入了以下概念：

端点

服务器账户配置，用于发送警报。它用于配置一次服务器参数（例如，对于电子邮件，你需要配置服务器IP、用户名和密码），你可以多次重复使用。

收件人

发送警报的终端用户。例如，一旦你配置了一个电子邮件服务器账户端点，你可以定义几个可以通过同一端点到达的接收者，只需继承端点的配置并定义接收者的电子邮件地址。

如何配置收件人和端点

这可以通过选择系统界面，使用通知子菜单来完成。

必须首先定义端点，如下所述：

请注意，有几个端点系列，包括：

Email

ElasticSearch

Slack

WebHook

Discord

Syslog

在这一点上，你可以定义一个收件人，这个收件人就是将收到警报信息的人。

请注意，你可以指定哪些警报的严重程度和类别可以被传递给这个人。这样，你可以将安全事件传递给一个接收者，而将网络事件传递给另一个接收者。

当然，你可以定义多个收件人和端点。

将收件人与警报绑定

现在我们已经定义了警报的传递地点，我们需要指定如何/何时将警报传递给指定的接收者。这是通过Pools实现的，你可以在系统菜单下访问。

Pools是一种将资源聚集起来的方式，我们想对其进行特定的设置。正如你在下图中所看到的，有各种Pool 族。

• Hosts
• Interfaces
• Local networks
• SNMP Devices
• Active Monitoring
• Host Pools (pools of host pools)
• Flows
• Devices
• System (Interface)

假设你想在主动监测有警报要报告时发送一个警报。你所需要做的就是：

1.选择 "主动监测 "标签

2. 点击 "编辑 "按钮，在下拉菜单中指定我们刚刚定义的收件人，并保存它。

如果你想仔细检查这个设置是否正确，你可以到你定义的一个活动监测资源中去编辑它。

正如你在上面的高亮文本上看到的，我们定义的新收件人已经被定义，现在正在使用中。

如果现在你想为每个被监控的主机定义不同的收件人呢？那么你需要回到Pool页面，选择活动监控（这将适用于其他标签），并定义新的池子，如下图所示，并将不同的收件人联系起来。

然后你现在可以回到活动监控页面，为每台主机选择你喜欢的主机池，如下图所示

让事情更复杂的是，你需要掌握主机池的定义方式。与主动监控相反，主机池可能相当复杂，因为你可能想根据IP地址、网络（CIDR）和Mac地址来定义Pool成员（对于IP浮动的DHCP网络来说是很好的）。

结束语

我们希望收件人和端点的概念现在已经很清楚了。你现在可以做的是，以一种简单而有效的方式，灵活地将事件传递给选定的接收者。