艾体宝方案 ntopng监测异常流量并通知到企业微信

你是否曾因网络异常而感到困扰？在数字化时代，网络流量异常可能给企业带来巨大损失。但别担心，我们为您准备了一份详尽的解决方案！想知道如何利用ntopng及时发现异常流量，并通过企业微信等渠道通知你的团队吗？跟随我们的指南一起探索吧！

告警示例

环境：CentOS Linux release 7.9.2009 (Core)
ntopng版本：
[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M

ntopng监测单台主机的流量

ntopng 可根据本地主机流量时间序列（或指定 “*”时的所有本地主机）或本地网络接口触发自定义警报。这对于识别在指定时间段内触发过多流量的主机或接口非常有用。
下面是一些规则示例：

ens160 网络接口的每日总流量不得超过 15 GB；

192.168.2.28 的每日总流量不得少于 2 GB；

192.168.1.1 的 NTP 日总流量不得超过 2 GB；

1.1.1.1 每 5 分钟的 1kxun 流量不得超过前 5 分钟总流量的 15%；

1.1.1.1 每 5 分钟的流量不得超过 1 Mbps；

每当满足条件时，ntopng 就会触发警报，下面我们来看看操作。

在Host菜单上选择Local Traffic Rules

要添加新规则，请单击表格上方的“+”符号

添加一个本地流量规则

目标：插入要分析的本地主机 IP 或 *（表示必须分析所有本地主机），或选择本地网络接口、网段等

指标：选择要分析的指标（例如 DNS -> DNS 流量），比如上下行流量、主机得分，某协议或者应用程序的流量等

频率：选择分析频率（如 5 分钟 -> 每 5 分钟分析一次）1小时、1天

阈值：选择阈值类型（流量、吞吐量或百分比）、下限或上限，以及一旦超过将触发警报的阈值

百分比变化：计算最近两次频率检查之间的百分比变化（例如，频率为 5 分钟的百分比变化小于 1%；如果前一次频率检查和最后一次 5 分钟检查之间的百分比变化小于 1%，则触发警报）。

从现在开始，带有已配置字段的新条目将添加到表中，并且每当超过阈值时，就会触发新警报。

流量规则根据指定的规则频率进行评估。例如，每日规则会在每个午夜根据前一天的流量进行评估。
配置了检查流量的规则，下面我们来看看如何配置wechat告警吧！

配置wechat告警

通过在 ntopng 中配置 URL，微信可用于将警报信息传递到微信 HTTP 端点。

要获取微信的有效 WebHook URL，用户必须在企业微信上注册。之后，需要创建一个群聊并添加一个群机器人，以便获取群机器人的WebHook URL。欲了解更多信息，请查看此处。

警报将发送给收件人。收件人及其关联的端点是通过系统界面进行管理的。
收件人只与一个端点相关联，但同一端点可与多个收件人共享。

端点和收件人都有一种类型和一组配置参数，具体取决于类型。本节将介绍所有可用的端点和收件人。

端点包含通用配置，然后通过收件人配置进行扩展。例如，电子邮件端点包含 SMTP 服务器地址，而电子邮件收件人则包含目标电子邮件地址。这样就可以创建多个电子邮件收件人，他们共享同一个端点，因此也共享同一个 SMTP 服务器地址。

然后去增加一个收件人

警报信息通过 POST 请求以 JSON 格式提供给 Webhook。
当我们的流量超过阈值时，我们将在企业微信上收到告警信息

除了监控本地主机的各种流量之外，我们还有很多其他的监控指标，可以检查主机行为、系统行为、流量等，如下图所示：

多个指标可编辑，自定义阈值，对于多种网络行为都可以监测和掌控，特别是里面有网络安全相关指标，对于我们防范不法分子的攻击是十分有利的！
友情提醒：ntopng的Local Traffic Rules和告警到企业微信是企业版特有的功能哦，欢迎申请免费试用，具体的信息访问主页，通过简介找到我们~也可以关注公众号~

审核编辑 黄宇