網絡流量監控分析工具ntopng的安裝與使用

我寫這篇文章的起因：網上介紹ntopng這款工具的博客不算很多，而且安裝方法基本沒一個行得通（可能是版本更新太快了），我在安裝過程中遇到了一些問題，想跟大家分享下；其次，在講使用方法方面，大部分博客都是貼一堆圖，沒有做太多解釋，本文會參考《高性能linux服務器構建實戰--系統安全、故障排查、自動化運維與集羣架構》一書給出更多解釋，感興趣也可以閱讀原文。

1. 介紹：Ntopng的前身是Ntop，Ntop在更新到5.x版本後就停止更新了，官方推出替代產品Ntopng。Ntop是一款可以監控大型網絡、並分析局域網內每臺主機及端口網絡狀態的網絡管理系統。新版本的Ntopng去除了一些冗長功能， 增加了網絡流量實時監控功能。Ntopng使用Redis鍵值服務，支持命令行界面和web界面兩種工作方式。

2.安裝

很多博客啊書啊介紹的安裝方式有點老了，裝的都是1.X的版本。我建議去官網上看安裝方式，比較靠譜。以下摘抄官網：http://packages.ntop.org/centos-stable/

This directory contains stable builds (SVN code) of 64 bit binary packages for RedHat/CentOS (latest OS version). Please use rpm-stable.ntop.org for stable builds.

In order to use this repository do (as root):

• cd /etc/yum.repos.d/
• wget http://packages.ntop.org/centos-stable/ntop.repo -O ntop.repo

• CentOS 6

• wget http://packages.ntop.org/centos-stable/epel-6.repo -O epel.repo
• wget https://copr.fedoraproject.org/coprs/saltstack/zeromq4/repo/epel-6/saltstack-zeromq4-epel-6.repo
• rpm -ivh http://packages.ntop.org/rpm6/extra/hiredis-0.10.1-3.el6.x86_64.rpm http://packages.ntop.org/rpm6/extra/hiredis-devel-0.10.1-3.el6.x86_64.rpm

• CentOS 7

• wget http://packages.ntop.org/centos/epel-7.repo -O epel.repo

then do:

• yum erase zeromq3 (Do this once to make sure zeromq3 is not installed)
• yum clean all
• yum update
• yum install pfring n2disk nprobe ntopng ntopng-data cento

照着來吧。完了再把redis裝上：

yum install redis

然後問題來了，沒發現配置文件。一般用yum安裝後在/etc/目錄下都應該該有配置文件的。用find找一下：

第一個是回滾日誌的設置，不用理（它的存在也說明了ntopng安裝成功且有日誌記錄），第二個ntopng這個服務的定義，我們看下具體內容（我只截了部分）：

這段大概是說服務啓動都會檢查是否有/etc/ntopng這個目錄，沒有的話就創建。配置文件/etc/ntopng.conf也會創建到這裏, 雖然只有一句話 -G=/var/run/ntopng.pid

那我們開啓這個服務：service redis start

service ntopng start

現在再來看，發現有配置文件了。

這兩個都是配置文件，ntopng.start表示開啓時需要的配置文件。簡單配置一下，編輯ntopng.conf，

-G=/var/run/ntopng.pid 表示存儲ntopng進程號的路徑

--local-networks "192.168.1.0/24" 表示要監聽的網段

--interface eth0 表示要監聽eth0網卡上的流量

--user nobody 指定服務使用的賬戶爲nobody

--http-port 3000 指定web服務端口號，默認也是3000

使用：

訪問IP:3000, 打開ntopng頁面，用戶名和默認密碼都是admin/admin，主界面中間的“Top Flow Talkers”就是一個流量實時展示的界面。

web主界面主要分爲Home、Flows、Hosts、Interfaces四個主欄目。Home是從整體上展示並統計發送、接收的數據流。

flow欄目基於DPI的自動程序或服務探測程序生成的實時數據報告，主要用於統計活躍的數據流，並將數據流以協議類型、應用類型、數據量大小等方式進行詳細統計，如圖：

上圖中也展示了每臺主機的主機名、網絡吞吐量、數據傳輸量等信息，單擊每臺主機的ip可以進入主機詳細信息頁，單擊端口號也可以看到端口流量的信息。每臺主機又對應很多細分：

traffic可以根據協議類型查看數據的通信量，以TCP、UDP、ICMP三種協議類型進行統計，並通過餅狀圖進行整體彙總。

packet欄目展示數據包發送量、接收量的分佈圖，也是餅狀圖；port、peers等欄目也大同小異，大家可以逐個看看。protocols欄目可以根據應用程序的類型進行流量統計，這個比較有用，如下圖：

圖中展示了各種應用協議在一段時間內的發送、接收數據量，通過此功能可以發現哪個應用程序存在問題。

最後一個主欄目是interfaces，用於對監控的網絡接口的數據流量進行分析，可以查看監控接口傳輸數據量的總大小、接收數據包的總個數以及包大小分佈狀況、每個協議產生的流量大小、歷史流量數據查詢等，可以從整體上了解網絡接口的通信狀態。還有很多小欄目就不一一細說了，大家可以自己摸索下。