0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
会员中心
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

艾体宝方案 ntopng监测异常流量并通知到企业微信

laraxu 来源:laraxu 作者:laraxu 2024-07-05 13:57 次阅读

你是否曾因网络异常而感到困扰?在数字化时代,网络流量异常可能给企业带来巨大损失。但别担心,我们为您准备了一份详尽的解决方案!想知道如何利用ntopng及时发现异常流量,并通过企业微信等渠道通知你的团队吗?跟随我们的指南一起探索吧!

告警示例

wKgZomaHifiAIODRAAUS89nrjcU660.png

wKgZomaHif2AI8DNAA54-V6JjhE027.png


环境:CentOS Linux release 7.9.2009 (Core)
ntopng版本:
[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M


ntopng监测单台主机的流量


ntopng 可根据本地主机流量时间序列(或指定 “*”时的所有本地主机)或本地网络接口触发自定义警报。这对于识别在指定时间段内触发过多流量的主机或接口非常有用。
下面是一些规则示例:

ens160 网络接口的每日总流量不得超过 15 GB;

192.168.2.28 的每日总流量不得少于 2 GB;

192.168.1.1 的 NTP 日总流量不得超过 2 GB;

1.1.1.1 每 5 分钟的 1kxun 流量不得超过前 5 分钟总流量的 15%;

1.1.1.1 每 5 分钟的流量不得超过 1 Mbps;

每当满足条件时,ntopng 就会触发警报,下面我们来看看操作。

在Host菜单上选择Local Traffic Rules

wKgZomaHilCAWsjpAAWYAE1D4zI830.png

要添加新规则,请单击表格上方的“+”符号

wKgaomaHilqABypAAASiaNSknVw013.png

添加一个本地流量规则

目标:插入要分析的本地主机 IP 或 *(表示必须分析所有本地主机),或选择本地网络接口、网段等

指标:选择要分析的指标(例如 DNS -> DNS 流量),比如上下行流量、主机得分,某协议或者应用程序的流量等

频率:选择分析频率(如 5 分钟 -> 每 5 分钟分析一次)1小时、1天

阈值:选择阈值类型(流量、吞吐量或百分比)、下限或上限,以及一旦超过将触发警报的阈值

百分比变化:计算最近两次频率检查之间的百分比变化(例如,频率为 5 分钟的百分比变化小于 1%;如果前一次频率检查和最后一次 5 分钟检查之间的百分比变化小于 1%,则触发警报)。

wKgZomaHioKAOROrAAWGY0Su05A976.png

wKgZomaHioqADSWkAAZDxJbhp_Q307.png

wKgZomaHipyAa_q_AAZI-oWlnrs283.png

从现在开始,带有已配置字段的新条目将添加到表中,并且每当超过阈值时,就会触发新警报。

wKgZomaHiqKAURTIAAUvGxg6STw918.png

流量规则根据指定的规则频率进行评估。例如,每日规则会在每个午夜根据前一天的流量进行评估。
配置了检查流量的规则,下面我们来看看如何配置wechat告警吧!


配置wechat告警


通过在 ntopng 中配置 URL,微信可用于将警报信息传递到微信 HTTP 端点。

要获取微信的有效 WebHook URL,用户必须在企业微信上注册。之后,需要创建一个群聊并添加一个群机器人,以便获取群机器人的WebHook URL。欲了解更多信息,请查看此处。

wKgaomaHirOANewCAAc5Dsqu_5c616.png

警报将发送给收件人。收件人及其关联的端点是通过系统界面进行管理的。
收件人只与一个端点相关联,但同一端点可与多个收件人共享。

端点和收件人都有一种类型和一组配置参数,具体取决于类型。本节将介绍所有可用的端点和收件人。

端点包含通用配置,然后通过收件人配置进行扩展。例如,电子邮件端点包含 SMTP 服务器地址,而电子邮件收件人则包含目标电子邮件地址。这样就可以创建多个电子邮件收件人,他们共享同一个端点,因此也共享同一个 SMTP 服务器地址。

wKgaomaHiryAGESoAAfqau598Z0448.png


然后去增加一个收件人

wKgZomaHisGAYhB5AAmSg3FJFN8762.png


警报信息通过 POST 请求以 JSON 格式提供给 Webhook。
当我们的流量超过阈值时,我们将在企业微信上收到告警信息

wKgaomaHisaALIn3AAWJkHSNL-M194.png

wKgZomaHitSAWZwgAAi1RCGejSQ475.png

wKgaomaHityAFxmUAAdLo1xgSOE050.png

除了监控本地主机的各种流量之外,我们还有很多其他的监控指标,可以检查主机行为、系统行为、流量等,如下图所示:

wKgZomaHit-AQVHfAAcs3oX9Q40689.png

wKgaomaHiuOAMCI-AAvCV2U6Sek634.png

wKgaomaHiu2Ad7ROAAtJkho_q1s182.png

wKgaomaHivKAeYeZAAnbM-nw3tQ607.png


多个指标可编辑,自定义阈值,对于多种网络行为都可以监测和掌控,特别是里面有网络安全相关指标,对于我们防范不法分子的攻击是十分有利的!
友情提醒:ntopng的Local Traffic Rules和告警到企业微信是企业版特有的功能哦,欢迎申请免费试用,具体的信息访问主页,通过简介找到我们~也可以关注公众号~

审核编辑 黄宇

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 网络安全
    +关注

    关注

    10

    文章

    3124

    浏览量

    59583
  • 监测
    +关注

    关注

    2

    文章

    3524

    浏览量

    44433
收藏 人收藏

    评论

    相关推荐

    活动回顾 开源软件供应链安全的最佳实践 线下研讨会圆满落幕!

    与Mend举办研讨会,聚焦开源软件供应链安全,邀请行业专家分享合规管理、治理之路及最佳实践,圆桌讨论加深理解,助力企业更安全稳健发展。
    的头像 发表于 10-30 17:52 446次阅读
    活动回顾 <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b> 开源软件供应链安全的最佳实践 线下研讨会圆满落幕!

    生态流量在线监测系统解决方案

    的生态流量在线监测系统成为了迫切需求。本文旨在提出一套完整的生态流量在线监测系统完整解决方案,为水域生态保护提供技术支持。二、系统介绍生态
    的头像 发表于 10-28 14:43 132次阅读
    生态<b class='flag-5'>流量</b>在线<b class='flag-5'>监测</b>系统解决<b class='flag-5'>方案</b>

    为什么要进行污水管网流量监测

    污水管网流量监测作为城市水环境管理的重要一环,其作用和意义不可小觑。通过实时监测污水流量,我们可以及时发现解决污水排放中的
    的头像 发表于 09-04 10:37 173次阅读

    干货 如何使用IOTA进行远程流量数据采集分析

    本文详细介绍了如何使用IOTA设备进行远程流量数据采集与分析,特别适用于分布式网络、多站点管理和受限访问环境。通过IOTA的远程管理功能和ZeroTier VPN技术,即使在偏远
    的头像 发表于 09-02 17:20 221次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>干货 如何使用IOTA进行远程<b class='flag-5'>流量</b>数据采集分析

    案例 IOTA在研发智慧医疗设备方面的应用实例

    本文将探讨Profitap IOTA如何监控实验室的网络环境,有哪些功能较为实用,有哪些关键应用场景等。
    的头像 发表于 08-12 14:25 237次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>案例  IOTA在研发智慧医疗设备方面的应用实例

    干货 网络安全第一步!扫描主机漏洞!

    想要保护网络安全?了解漏洞扫描的重要性是关键一步。本期我们将介绍使用ntopng漏洞扫描的实施方法,帮助您建立更加安全的网络环境。 ntopng简介: ntopng 是用于监控计算机网络流量
    的头像 发表于 07-16 13:36 241次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>干货  网络安全第一步!扫描主机漏洞!

    干货 IOTA流量分析秘籍第三招:检测黑名单上的IP地址

    干货 | IOTA流量分析秘籍第三招:检测黑名单上的IP地址 IOTA 设备提供 RESTful API,允许直接访问存储在设备上的数据。这对于集成
    的头像 发表于 07-16 11:48 346次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>干货 IOTA<b class='flag-5'>流量</b>分析秘籍第三招:检测黑名单上的IP地址

    干货 IOTA流量分析秘籍第一招:网络基线管理

    网络基线管理是一项关键的网络安全实践,它有助于识别网络中的异常活动及时采取措施。本文将探讨如何利用IOTA这一强大的工具来捕获和分析网络流量,以便更有效地了解网络中的流量模式,并提供
    的头像 发表于 07-02 14:53 302次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>干货  IOTA<b class='flag-5'>流量</b>分析秘籍第一招:网络基线管理

    干货 | 教程:使用ntopng和nProbe监控网络流量

    本文是关于使用 ntopng 和 nProbe 监控网络流量的教程。文章详细介绍了如何配置和使用这两个工具来监控和分析网络流量。内容涉及硬件和软件的安装、配置端口镜像、静态IP地址设置、SSH服务器
    的头像 发表于 05-29 15:35 806次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>干货 | 教程:使用<b class='flag-5'>ntopng</b>和nProbe监控网络<b class='flag-5'>流量</b>

    河道流量监测解决方案

    河道流量监测解决方案 河道流量的远程监测是现代水资源管理与防洪减灾体系中的关键技术环节,它依赖于物联网(Internet of Things
    的头像 发表于 05-22 15:32 334次阅读
    河道<b class='flag-5'>流量</b><b class='flag-5'>监测</b>解决<b class='flag-5'>方案</b>

    产品 | 网络流量分析仪样机已备妥,欢迎试用

    在当今数字化时代,网络的可靠性和安全性是企业成功的关键。的 ITT-Allegro 500 和 ITT-Allegro 1000 是专为网络监控和故障排除而设计的先进工具。无论您
    的头像 发表于 05-06 15:00 349次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>产品 | 网络<b class='flag-5'>流量</b>分析仪样机已备妥,欢迎试用

    产品 | Allegro网络流量分析仪

    产品 | Allegro网络流量分析仪
    的头像 发表于 04-29 08:04 437次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b>产品 | Allegro网络<b class='flag-5'>流量</b>分析仪

    方案 | ITT-Profitap IOTA——铁路运输的远程网络捕获和故障排除方案

    铁路运输作为重要的交通方式,正逐步实现数字化和智能化升级。然而,移动环境下的网络连接问题和故障排查依然是铁路运输面临的挑战之一。本文将介绍Profitap技术如何通过远程网络捕获和故障排查功能,帮助铁路运输行业实现远程监控
    的头像 发表于 04-17 13:32 326次阅读
    <b class='flag-5'>艾</b><b class='flag-5'>体</b><b class='flag-5'>宝</b><b class='flag-5'>方案</b> | ITT-Profitap IOTA——铁路运输的远程网络捕获和故障排除<b class='flag-5'>方案</b>

    ntopng如何将漏洞扫描与流量监控相结合,以提高网络安全性

    和CVE支持,可以实施漏洞报告,也可以扫描主机、端口查找CVE,ntopng的独特之处在于将流量分析与漏洞评估合二为一。这意味着可以根据实际流量定位CVE(即如果
    的头像 发表于 11-25 08:04 375次阅读
    <b class='flag-5'>ntopng</b>如何将漏洞扫描与<b class='flag-5'>流量</b>监控相结合,以提高网络安全性