你是否曾因網(wǎng)絡(luò)異常而感到困擾？在數(shù)字化時(shí)代，網(wǎng)絡(luò)流量異?？赡芙o企業(yè)帶來(lái)巨大損失。但別擔(dān)心，我們?yōu)槟鷾?zhǔn)備了一份詳盡的解決方案！想知道如何利用ntopng及時(shí)發(fā)現(xiàn)異常流量，并通過(guò)企業(yè)微信等渠道通知你的團(tuán)隊(duì)嗎？跟隨我們的指南一起探索吧！

告警示例

環(huán)境：CentOS Linux release 7.9.2009 (Core)
ntopng版本：
[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M

ntopng監(jiān)測(cè)單臺(tái)主機(jī)的流量

ntopng 可根據(jù)本地主機(jī)流量時(shí)間序列（或指定 “*”時(shí)的所有本地主機(jī)）或本地網(wǎng)絡(luò)接口觸發(fā)自定義警報(bào)。這對(duì)于識(shí)別在指定時(shí)間段內(nèi)觸發(fā)過(guò)多流量的主機(jī)或接口非常有用。
下面是一些規(guī)則示例：

ens160 網(wǎng)絡(luò)接口的每日總流量不得超過(guò) 15 GB；

192.168.2.28 的每日總流量不得少于 2 GB；

192.168.1.1 的 NTP 日總流量不得超過(guò) 2 GB；

1.1.1.1 每 5 分鐘的 1kxun 流量不得超過(guò)前 5 分鐘總流量的 15%；

1.1.1.1 每 5 分鐘的流量不得超過(guò) 1 Mbps；

每當(dāng)滿(mǎn)足條件時(shí)，ntopng 就會(huì)觸發(fā)警報(bào)，下面我們來(lái)看看操作。

在Host菜單上選擇Local Traffic Rules

要添加新規(guī)則，請(qǐng)單擊表格上方的“+”符號(hào)

添加一個(gè)本地流量規(guī)則

目標(biāo)：插入要分析的本地主機(jī) IP 或 *（表示必須分析所有本地主機(jī)），或選擇本地網(wǎng)絡(luò)接口、網(wǎng)段等

指標(biāo)：選擇要分析的指標(biāo)（例如 DNS -> DNS 流量），比如上下行流量、主機(jī)得分，某協(xié)議或者應(yīng)用程序的流量等

頻率：選擇分析頻率（如 5 分鐘 -> 每 5 分鐘分析一次）1小時(shí)、1天

閾值：選擇閾值類(lèi)型（流量、吞吐量或百分比）、下限或上限，以及一旦超過(guò)將觸發(fā)警報(bào)的閾值

百分比變化：計(jì)算最近兩次頻率檢查之間的百分比變化（例如，頻率為 5 分鐘的百分比變化小于 1%；如果前一次頻率檢查和最后一次 5 分鐘檢查之間的百分比變化小于 1%，則觸發(fā)警報(bào)）。

從現(xiàn)在開(kāi)始，帶有已配置字段的新條目將添加到表中，并且每當(dāng)超過(guò)閾值時(shí)，就會(huì)觸發(fā)新警報(bào)。

流量規(guī)則根據(jù)指定的規(guī)則頻率進(jìn)行評(píng)估。例如，每日規(guī)則會(huì)在每個(gè)午夜根據(jù)前一天的流量進(jìn)行評(píng)估。
配置了檢查流量的規(guī)則，下面我們來(lái)看看如何配置wechat告警吧！

配置wechat告警

通過(guò)在 ntopng 中配置 URL，微信可用于將警報(bào)信息傳遞到微信 HTTP 端點(diǎn)。

要獲取微信的有效 WebHook URL，用戶(hù)必須在企業(yè)微信上注冊(cè)。之后，需要?jiǎng)?chuàng)建一個(gè)群聊并添加一個(gè)群機(jī)器人，以便獲取群機(jī)器人的WebHook URL。欲了解更多信息，請(qǐng)查看此處。

警報(bào)將發(fā)送給收件人。收件人及其關(guān)聯(lián)的端點(diǎn)是通過(guò)系統(tǒng)界面進(jìn)行管理的。
收件人只與一個(gè)端點(diǎn)相關(guān)聯(lián)，但同一端點(diǎn)可與多個(gè)收件人共享。

端點(diǎn)和收件人都有一種類(lèi)型和一組配置參數(shù)，具體取決于類(lèi)型。本節(jié)將介紹所有可用的端點(diǎn)和收件人。

端點(diǎn)包含通用配置，然后通過(guò)收件人配置進(jìn)行擴(kuò)展。例如，電子郵件端點(diǎn)包含 SMTP 服務(wù)器地址，而電子郵件收件人則包含目標(biāo)電子郵件地址。這樣就可以創(chuàng)建多個(gè)電子郵件收件人，他們共享同一個(gè)端點(diǎn)，因此也共享同一個(gè) SMTP 服務(wù)器地址。

然后去增加一個(gè)收件人

警報(bào)信息通過(guò) POST 請(qǐng)求以 JSON 格式提供給 Webhook。
當(dāng)我們的流量超過(guò)閾值時(shí)，我們將在企業(yè)微信上收到告警信息

除了監(jiān)控本地主機(jī)的各種流量之外，我們還有很多其他的監(jiān)控指標(biāo)，可以檢查主機(jī)行為、系統(tǒng)行為、流量等，如下圖所示：

多個(gè)指標(biāo)可編輯，自定義閾值，對(duì)于多種網(wǎng)絡(luò)行為都可以監(jiān)測(cè)和掌控，特別是里面有網(wǎng)絡(luò)安全相關(guān)指標(biāo)，對(duì)于我們防范不法分子的攻擊是十分有利的！
友情提醒：ntopng的Local Traffic Rules和告警到企業(yè)微信是企業(yè)版特有的功能哦，歡迎申請(qǐng)免費(fèi)試用，具體的信息訪(fǎng)問(wèn)主頁(yè)，通過(guò)簡(jiǎn)介找到我們~也可以關(guān)注公眾號(hào)~

審核編輯 黃宇