艾体宝方案 | ntopng监测异常流量并通知到企业微信

引导语：

你是否曾因网络异常而感到困扰？在数字化时代，网络流量异常可能给企业带来巨大损失。但别担心，我们为您准备了一份详尽的解决方案！想知道如何利用ntopng及时发现异常流量，并通过企业微信等渠道通知你的团队吗？跟随我们的指南一起探索吧！

简介：

在当今数字化的世界中，网络流量异常可能是企业面临的一项重要挑战。ntopng 是一款强大的工具，可帮助您及时发现并解决异常流量问题，并通过企业微信等渠道及时通知您的团队。本文将详细介绍如何利用 ntopng 实现这一目标，并提供免费试用的申请方式，让您可以在实际应用中体验其强大功能。

简介：ntopng 是用于监控计算机网络流量的计算机软件，具有非常丰富的可视化图表。它能从流量镜像、NetFlow 导出器、SNMP 设备、防火墙日志和入侵检测系统中收集流量信息，从而提供 360° 的网络可视性。ntopng依靠 Redis 键值服务器而非传统数据库，利用 nDPI 进行协议检测，支持主机地理定位，并能显示连接主机的实时流量分析。

告警示例

环境：CentOS Linux release 7.9.2009 (Core)

ntopng版本：

[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M

ntopng监测单台主机的流量

ntopng 可根据本地主机流量时间序列（或指定 “*”时的所有本地主机）或本地网络接口触发自定义警报。这对于识别在指定时间段内触发过多流量的主机或接口非常有用。

下面是一些规则示例：

ens160 网络接口的每日总流量不得超过 15 GB；
192.168.2.28 的每日总流量不得少于 2 GB；
192.168.1.1 的 NTP 日总流量不得超过 2 GB；
1.1.1.1 每 5 分钟的 1kxun 流量不得超过前 5 分钟总流量的 15%；
1.1.1.1 每 5 分钟的流量不得超过 1 Mbps；

每当满足条件时，ntopng 就会触发警报，下面我们来看看操作。

在Host菜单上选择Local Traffic Rules

要添加新规则，请单击表格上方的“+”符号

添加一个本地流量规则

目标：插入要分析的本地主机 IP 或 *（表示必须分析所有本地主机），或选择本地网络接口、网段等
指标：选择要分析的指标（例如 DNS -> DNS 流量），比如上下行流量、主机得分，某协议或者应用程序的流量等
频率：选择分析频率（如 5 分钟 -> 每 5 分钟分析一次）1小时、1天
阈值：选择阈值类型（流量、吞吐量或百分比）、下限或上限，以及一旦超过将触发警报的阈值
百分比变化：计算最近两次频率检查之间的百分比变化（例如，频率为 5 分钟的百分比变化小于 1%；如果前一次频率检查和最后一次 5 分钟检查之间的百分比变化小于 1%，则触发警报）。

从现在开始，带有已配置字段的新条目将添加到表中，并且每当超过阈值时，就会触发新警报。

流量规则根据指定的规则频率进行评估。例如，每日规则会在每个午夜根据前一天的流量进行评估。

配置了检查流量的规则，下面我们来看看如何配置wechat告警吧！

配置wechat告警

通过在 ntopng 中配置 URL，微信可用于将警报信息传递到微信 HTTP 端点。

要获取微信的有效 WebHook URL，用户必须在企业微信上注册。之后，需要创建一个群聊并添加一个群机器人，以便获取群机器人的WebHook URL。欲了解更多信息，请查看此处。

警报将发送给收件人。收件人及其关联的端点是通过系统界面进行管理的。

收件人只与一个端点相关联，但同一端点可与多个收件人共享。

端点和收件人都有一种类型和一组配置参数，具体取决于类型。本节将介绍所有可用的端点和收件人。

端点包含通用配置，然后通过收件人配置进行扩展。例如，电子邮件端点包含 SMTP 服务器地址，而电子邮件收件人则包含目标电子邮件地址。这样就可以创建多个电子邮件收件人，他们共享同一个端点，因此也共享同一个 SMTP 服务器地址。

然后去增加一个收件人

警报信息通过 POST 请求以 JSON 格式提供给 Webhook。

当我们的流量超过阈值时，我们将在企业微信上收到告警信息

除了监控本地主机的各种流量之外，我们还有很多其他的监控指标，可以检查主机行为、系统行为、流量等，如下图所示：

多个指标可编辑，自定义阈值，对于多种网络行为都可以监测和掌控，特别是里面有网络安全相关指标，对于我们防范不法分子的攻击是十分有利的！

友情提醒：ntopng的Local Traffic Rules和告警到企业微信是企业版特有的功能哦，欢迎申请免费试用，具体的信息访问主页，通过简介找到我们~也可以关注公众号~

了解 ITT-ntopng 更多信息，欢迎前往【艾体宝】官方网站：https://itbigtec.com/

联系艾体宝工程师：TEL：13533491614

器件型号	数量	器件厂商	器件描述	ECAD模型	参考价格	更多信息
TCAN4550RGYRQ1	1	Texas Instruments	Automotive system basis chip (SBC) with integrated CAN FD controller & transceiver 20-VQFN -40 to 125	ECAD模型下载ECAD模型	暂无数据	查看
KSZ9896CTXI-TR	1	Microchip Technology Inc	IC ETHERNET SWITCH 6PORT 128TQFP	ECAD模型下载ECAD模型	暂无数据	查看
KSZ8041TLI-S	1	Microchip Technology Inc	DATACOM, ETHERNET TRANSCEIVER, PQFP48		$3.03	查看

器件型号

数量

器件厂商

器件描述

数据手册

ECAD模型

风险等级

参考价格

更多信息

TCAN4550RGYRQ1

Texas Instruments

Automotive system basis chip (SBC) with integrated CAN FD controller & transceiver 20-VQFN -40 to 125