虹科分享｜在ntopng中使用多用戶模式

并非所有 ntop 用戶都知道 ntopng 本機(jī)實(shí)現(xiàn)了多用戶支持。也就是說(shuō)，您可以使用ntopng收集和分析來(lái)自多個(gè)用戶的流量，并向每個(gè)用戶顯示自己的流量，隱藏其余所有流量。

您需要做的就是非常簡(jiǎn)單：

1. 啟動(dòng) ntopng 并將其配置為接收受監(jiān)控的流量。您可以通過(guò)流或數(shù)據(jù)包來(lái)完成。

2. 創(chuàng)建 ntopng 用戶并為每個(gè)用戶指定流量限制。

#

流和數(shù)據(jù)包收集

ntopng 允許您指定數(shù)據(jù)源。您可以使用 -i 選項(xiàng)執(zhí)行此操作。例如，您可以使用“-i eth0”捕獲和分析 eth0 接口上的流量，或使用“-i zmq://192.168.1.200:1234”連接到在端口 192 上偵聽(tīng)的主機(jī) 168.1.200.1234 上運(yùn)行的 nProbe。如果需要在多個(gè)接口上收集流或捕獲數(shù)據(jù)包，則可以定義多個(gè) -i，或者（僅適用于流）可以在收集器模式下運(yùn)行 ntopng。下面您可以看到在遠(yuǎn)程主機(jī)上運(yùn)行的兩個(gè) nProbes 的描述和示例，每個(gè) nProbes 捕獲本地 eth0 接口上的流量，所有流量都發(fā)送到中央 ntopng 實(shí)例。

如果要保留來(lái)自每個(gè)遠(yuǎn)程 nProbe 的拆分流量，此設(shè)置非常有用。例如，這是每個(gè)遠(yuǎn)程 nProbe 監(jiān)控兩個(gè)客戶的流量的典型情況，您希望通過(guò)為每個(gè)客戶創(chuàng)建一個(gè)虛擬收集器接口來(lái)避免在 ntopng 端混合此流量。請(qǐng)注意，在此設(shè)置中，ntopng 通過(guò) ZMQ（在 TCP 之上）連接到遠(yuǎn)程 nProbe（即每個(gè) nProbe 都是接受由 ntopng 發(fā)起的連接）的服務(wù)器）。

相反，如果您的客戶有多個(gè)遠(yuǎn)程站點(diǎn)，每個(gè)站點(diǎn)由一個(gè) nProbe 實(shí)例監(jiān)控，則可以將所有流發(fā)送到同一個(gè)虛擬 ntopng 收集器接口，

配置與前一種情況略有不同（可能更簡(jiǎn)單），因?yàn)樵谶@種情況下，所有探測(cè)器都以相同的方式配置，所有發(fā)送流到同一個(gè) ntopng。

當(dāng)然，您可以向ntopng添加多個(gè)接口，具體取決于您的拓?fù)?。?qǐng)記住幾個(gè)細(xì)節(jié)：

您可以使用視圖界面合并多個(gè)接口上的流量。例如，如果您添加“-i view：all”，ntopng 會(huì)創(chuàng)建另一個(gè)接口，合并來(lái)自現(xiàn)有接口的所有流量。請(qǐng)注意，如果您不想合并所有流量，“-i view”接受接口名稱。示例“ntopng -i eth0 -i eth1 -i eth2 -i view：eth0，eth1”將創(chuàng)建一個(gè)視圖接口，僅包含來(lái)自 eth0 和 eth1 的流量，而不是不包含 eth2。

在 ntopng 中，每個(gè)接口都在單獨(dú)的線程上運(yùn)行。因此，除了隨著接口數(shù)量的增加而略微增加線程數(shù)之外，ntopng 在將流量發(fā)送到單個(gè)接口方面的性能會(huì)更好，因?yàn)樵谶@種情況下，您可以更好地利用多核架構(gòu)。

#

用戶配置

現(xiàn)在集合基礎(chǔ)結(jié)構(gòu)已設(shè)置，我們需要配置用戶權(quán)限。也就是說(shuō)，確保每個(gè)用戶只能看到他/她重要的流量，而不是所有受監(jiān)控的流量。假設(shè)我們想創(chuàng)建本地用戶，可以看到部分受監(jiān)控流量，限制其對(duì)流量的可見(jiàn)性，隱藏所有其他流量ntopng監(jiān)視器。

您可以通過(guò)創(chuàng)建用戶（左側(cè)邊欄設(shè)置 -> 用戶）來(lái)實(shí)現(xiàn)此目的，如下所示：

角色：通常這些用戶是非特權(quán)用戶，因?yàn)樘貦?quán)用戶可以更改設(shè)置，從而克服所有限制。

如果您使用接口劃分入口流量，則可以將此用戶綁定到接口，以便他只能看到此接口，而看不到其他接口。相反，如果您需要根據(jù)此客戶擁有的 IP 地址進(jìn)行限制（也），則可以在允許的網(wǎng)絡(luò)框中設(shè)置它們。

您可以通過(guò)設(shè)置表末尾的切換來(lái)決定這些用戶是否可以查看警報(bào)和歷史流（如果已啟用 ClickHouse）。

這樣做，當(dāng)用戶連接到ntopng Web界面時(shí)，僅顯示重要的信息，其余所有信息都被隱藏，包括歷史流和警報(bào)。請(qǐng)注意，有些信息似乎不一致（例如總吞吐量），因?yàn)閱蝹€(gè)用戶只能看到接口計(jì)數(shù)器，也就是說(shuō)只能看到流/主機(jī)/警報(bào)的子集。

今日推薦

虹科網(wǎng)絡(luò)流量監(jiān)控產(chǎn)品介紹

虹科提供網(wǎng)絡(luò)流量監(jiān)控與分析的軟件解決方案-ntop。該方案可在物理，虛擬，容器等多種環(huán)境下部署，部署簡(jiǎn)單且無(wú)需任何專業(yè)硬件即可實(shí)現(xiàn)高速流量分析。解決方案由多個(gè)組件構(gòu)成，每個(gè)組件即可單獨(dú)使用，與第三方工具集成，也可以靈活組合形成不同解決方案。包含的組件如下：

PF_RING：一種新型的網(wǎng)絡(luò)套接字，可顯著提高數(shù)據(jù)包捕獲速度，DPDK替代方案。

nProbe：網(wǎng)絡(luò)探針，可用于處理NetFlow/sFlow流數(shù)據(jù)或者原始流量。

n2disk：用于高速連續(xù)流量存儲(chǔ)處理和回放。

ntopng:基于Web的網(wǎng)絡(luò)流量監(jiān)控分析工具，用于實(shí)時(shí)監(jiān)控和回溯分析。