加入星计划,您可以享受以下权益:

  • 创作内容快速变现
  • 行业影响力扩散
  • 作品版权保护
  • 300W+ 专业用户
  • 1.5W+ 优质创作者
  • 5000+ 长期合作伙伴
立即加入
  • 正文
  • 推荐器件
  • 相关推荐
  • 电子产业图谱
申请入驻 产业图谱

艾体宝方案 | ntopng监测异常流量并通知到企业微信

06/27 07:33
829
阅读需 8 分钟
加入交流群
扫码加入
获取工程师必备礼包
参与热点资讯讨论

引导语:

你是否曾因网络异常而感到困扰?在数字化时代,网络流量异常可能给企业带来巨大损失。但别担心,我们为您准备了一份详尽的解决方案!想知道如何利用ntopng及时发现异常流量,并通过企业微信等渠道通知你的团队吗?跟随我们的指南一起探索吧!

简介:

在当今数字化的世界中,网络流量异常可能是企业面临的一项重要挑战。ntopng 是一款强大的工具,可帮助您及时发现并解决异常流量问题,并通过企业微信等渠道及时通知您的团队。本文将详细介绍如何利用 ntopng 实现这一目标,并提供免费试用的申请方式,让您可以在实际应用中体验其强大功能。

简介:ntopng 是用于监控计算机网络流量的计算机软件,具有非常丰富的可视化图表。它能从流量镜像、NetFlow 导出器、SNMP 设备、防火墙日志和入侵检测系统中收集流量信息,从而提供 360° 的网络可视性。ntopng依靠 Redis 键值服务器而非传统数据库,利用 nDPI 进行协议检测,支持主机地理定位,并能显示连接主机的实时流量分析。

告警示例

环境:CentOS Linux release 7.9.2009 (Core)

ntopng版本:

[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M

ntopng监测单台主机的流量

ntopng 可根据本地主机流量时间序列(或指定 “*”时的所有本地主机)或本地网络接口触发自定义警报。这对于识别在指定时间段内触发过多流量的主机或接口非常有用。

下面是一些规则示例:

  • ens160 网络接口的每日总流量不得超过 15 GB;
  • 192.168.2.28 的每日总流量不得少于 2 GB;
  • 192.168.1.1 的 NTP 日总流量不得超过 2 GB;
  • 1.1.1.1 每 5 分钟的 1kxun 流量不得超过前 5 分钟总流量的 15%;
  • 1.1.1.1 每 5 分钟的流量不得超过 1 Mbps;

每当满足条件时,ntopng 就会触发警报,下面我们来看看操作。

在Host菜单上选择Local Traffic Rules

要添加新规则,请单击表格上方的“+”符号

添加一个本地流量规则

  • 目标:插入要分析的本地主机 IP 或 *(表示必须分析所有本地主机),或选择本地网络接口、网段等
  • 指标:选择要分析的指标(例如 DNS -> DNS 流量),比如上下行流量、主机得分,某协议或者应用程序的流量等
  • 频率:选择分析频率(如 5 分钟 -> 每 5 分钟分析一次)1小时、1天
  • 阈值:选择阈值类型(流量、吞吐量或百分比)、下限或上限,以及一旦超过将触发警报的阈值
  • 百分比变化:计算最近两次频率检查之间的百分比变化(例如,频率为 5 分钟的百分比变化小于 1%;如果前一次频率检查和最后一次 5 分钟检查之间的百分比变化小于 1%,则触发警报)。

从现在开始,带有已配置字段的新条目将添加到表中,并且每当超过阈值时,就会触发新警报。

流量规则根据指定的规则频率进行评估。例如,每日规则会在每个午夜根据前一天的流量进行评估。

配置了检查流量的规则,下面我们来看看如何配置wechat告警吧!

配置wechat告警

通过在 ntopng 中配置 URL,微信可用于将警报信息传递到微信 HTTP 端点。

要获取微信的有效 WebHook URL,用户必须在企业微信上注册。之后,需要创建一个群聊并添加一个群机器人,以便获取群机器人的WebHook URL。欲了解更多信息,请查看此处。

警报将发送给收件人。收件人及其关联的端点是通过系统界面进行管理的。

收件人只与一个端点相关联,但同一端点可与多个收件人共享。

端点和收件人都有一种类型和一组配置参数,具体取决于类型。本节将介绍所有可用的端点和收件人。

端点包含通用配置,然后通过收件人配置进行扩展。例如,电子邮件端点包含 SMTP 服务器地址,而电子邮件收件人则包含目标电子邮件地址。这样就可以创建多个电子邮件收件人,他们共享同一个端点,因此也共享同一个 SMTP 服务器地址。

然后去增加一个收件人

警报信息通过 POST 请求以 JSON 格式提供给 Webhook。

当我们的流量超过阈值时,我们将在企业微信上收到告警信息

除了监控本地主机的各种流量之外,我们还有很多其他的监控指标,可以检查主机行为、系统行为、流量等,如下图所示:

多个指标可编辑,自定义阈值,对于多种网络行为都可以监测和掌控,特别是里面有网络安全相关指标,对于我们防范不法分子的攻击是十分有利的!

友情提醒:ntopng的Local Traffic Rules和告警到企业微信是企业版特有的功能哦,欢迎申请免费试用,具体的信息访问主页,通过简介找到我们~也可以关注公众号~

了解 ITT-ntopng 更多信息,欢迎前往【艾体宝】官方网站:https://itbigtec.com/

联系艾体宝工程师:TEL:13533491614

推荐器件

更多器件
器件型号 数量 器件厂商 器件描述 数据手册 ECAD模型 风险等级 参考价格 更多信息
MCP2551-I/SN 1 Microchip Technology Inc DATACOM, INTERFACE CIRCUIT, PDSO8, 0.150 INCH, LEAD FREE, PLASTIC, SOIC-8

ECAD模型

下载ECAD模型
$1.37 查看
KSZ9893RNXC 1 Microchip Technology Inc Ethernet Transceiver

ECAD模型

下载ECAD模型
$7.84 查看
LAN8742AI-CZ 1 Microchip Technology Inc DATACOM, ETHERNET TRANSCEIVER

ECAD模型

下载ECAD模型
$2.57 查看

相关推荐

电子产业图谱

虹科是一家资源整合及技术服务落地供应商,与全球顶尖公司深度技术合作,专注于制造业、汽车、生物、医药、测试与测量、广播电视与媒体、通信、网络安全、光电等领域,为客户提供:智能自动化、工业物联网、智能感知、数字化+AR、光电、网络安全、测试测量、卫星与无线通信、医药环境监测与验证、生命科学、汽车电子、汽车维修诊断、云科技等解决方案。虹科始终致力于为行业客户提供创新及前端的产品和技术解决方案,为科技社会发展助力加码。