你是否曾因网络异常而感到困扰?在数字化时代,网络流量异常可能给企业带来巨大损失。但别担心,我们为您准备了一份详尽的解决方案!想知道如何利用ntopng及时发现异常流量,并通过企业微信等渠道通知你的团队吗?跟随我们的指南一起探索吧!
告警示例
环境:CentOS Linux release 7.9.2009 (Core)
ntopng版本:
[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M
ntopng监测单台主机的流量
ntopng 可根据本地主机流量时间序列(或指定 “*”时的所有本地主机)或本地网络接口触发自定义警报。这对于识别在指定时间段内触发过多流量的主机或接口非常有用。
下面是一些规则示例:
ens160 网络接口的每日总流量不得超过 15 GB;
192.168.2.28 的每日总流量不得少于 2 GB;
192.168.1.1 的 NTP 日总流量不得超过 2 GB;
1.1.1.1 每 5 分钟的 1kxun 流量不得超过前 5 分钟总流量的 15%;
1.1.1.1 每 5 分钟的流量不得超过 1 Mbps;
每当满足条件时,ntopng 就会触发警报,下面我们来看看操作。
在Host菜单上选择Local Traffic Rules
要添加新规则,请单击表格上方的“+”符号
添加一个本地流量规则
目标:插入要分析的本地主机 IP 或 *(表示必须分析所有本地主机),或选择本地网络接口、网段等
指标:选择要分析的指标(例如 DNS -> DNS 流量),比如上下行流量、主机得分,某协议或者应用程序的流量等
频率:选择分析频率(如 5 分钟 -> 每 5 分钟分析一次)1小时、1天
阈值:选择阈值类型(流量、吞吐量或百分比)、下限或上限,以及一旦超过将触发警报的阈值
百分比变化:计算最近两次频率检查之间的百分比变化(例如,频率为 5 分钟的百分比变化小于 1%;如果前一次频率检查和最后一次 5 分钟检查之间的百分比变化小于 1%,则触发警报)。
从现在开始,带有已配置字段的新条目将添加到表中,并且每当超过阈值时,就会触发新警报。
流量规则根据指定的规则频率进行评估。例如,每日规则会在每个午夜根据前一天的流量进行评估。
配置了检查流量的规则,下面我们来看看如何配置wechat告警吧!
配置wechat告警
通过在 ntopng 中配置 URL,微信可用于将警报信息传递到微信 HTTP 端点。
要获取微信的有效 WebHook URL,用户必须在企业微信上注册。之后,需要创建一个群聊并添加一个群机器人,以便获取群机器人的WebHook URL。欲了解更多信息,请查看此处。
警报将发送给收件人。收件人及其关联的端点是通过系统界面进行管理的。
收件人只与一个端点相关联,但同一端点可与多个收件人共享。
端点和收件人都有一种类型和一组配置参数,具体取决于类型。本节将介绍所有可用的端点和收件人。
端点包含通用配置,然后通过收件人配置进行扩展。例如,电子邮件端点包含 SMTP 服务器地址,而电子邮件收件人则包含目标电子邮件地址。这样就可以创建多个电子邮件收件人,他们共享同一个端点,因此也共享同一个 SMTP 服务器地址。
然后去增加一个收件人
警报信息通过 POST 请求以 JSON 格式提供给 Webhook。
当我们的流量超过阈值时,我们将在企业微信上收到告警信息
除了监控本地主机的各种流量之外,我们还有很多其他的监控指标,可以检查主机行为、系统行为、流量等,如下图所示:
多个指标可编辑,自定义阈值,对于多种网络行为都可以监测和掌控,特别是里面有网络安全相关指标,对于我们防范不法分子的攻击是十分有利的!
友情提醒:ntopng的Local Traffic Rules和告警到企业微信是企业版特有的功能哦,欢迎申请免费试用,具体的信息访问主页,通过简介找到我们~也可以关注公众号~
审核编辑 黄宇
-
网络安全
+关注
关注
10文章
3124浏览量
59583 -
监测
+关注
关注
2文章
3524浏览量
44433
发布评论请先 登录
相关推荐
评论