艾體寶方案 ntopng監(jiān)測異常流量并通知到企業(yè)微信

你是否曾因網(wǎng)絡(luò)異常而感到困擾？在數(shù)字化時代，網(wǎng)絡(luò)流量異?？赡芙o企業(yè)帶來巨大損失。但別擔(dān)心，我們?yōu)槟鷾?zhǔn)備了一份詳盡的解決方案！想知道如何利用ntopng及時發(fā)現(xiàn)異常流量，并通過企業(yè)微信等渠道通知你的團(tuán)隊嗎？跟隨我們的指南一起探索吧！

告警示例

環(huán)境：CentOS Linux release 7.9.2009 (Core)
ntopng版本：
[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M

ntopng監(jiān)測單臺主機(jī)的流量

ntopng 可根據(jù)本地主機(jī)流量時間序列（或指定 “*”時的所有本地主機(jī)）或本地網(wǎng)絡(luò)接口觸發(fā)自定義警報。這對于識別在指定時間段內(nèi)觸發(fā)過多流量的主機(jī)或接口非常有用。
下面是一些規(guī)則示例：

ens160 網(wǎng)絡(luò)接口的每日總流量不得超過 15 GB；

192.168.2.28 的每日總流量不得少于 2 GB；

192.168.1.1 的 NTP 日總流量不得超過 2 GB；

1.1.1.1 每 5 分鐘的 1kxun 流量不得超過前 5 分鐘總流量的 15%；

1.1.1.1 每 5 分鐘的流量不得超過 1 Mbps；

每當(dāng)滿足條件時，ntopng 就會觸發(fā)警報，下面我們來看看操作。

在Host菜單上選擇Local Traffic Rules

要添加新規(guī)則，請單擊表格上方的“+”符號

添加一個本地流量規(guī)則

目標(biāo)：插入要分析的本地主機(jī) IP 或 *（表示必須分析所有本地主機(jī)），或選擇本地網(wǎng)絡(luò)接口、網(wǎng)段等

指標(biāo)：選擇要分析的指標(biāo)（例如 DNS -> DNS 流量），比如上下行流量、主機(jī)得分，某協(xié)議或者應(yīng)用程序的流量等

頻率：選擇分析頻率（如 5 分鐘 -> 每 5 分鐘分析一次）1小時、1天

閾值：選擇閾值類型（流量、吞吐量或百分比）、下限或上限，以及一旦超過將觸發(fā)警報的閾值

百分比變化：計算最近兩次頻率檢查之間的百分比變化（例如，頻率為 5 分鐘的百分比變化小于 1%；如果前一次頻率檢查和最后一次 5 分鐘檢查之間的百分比變化小于 1%，則觸發(fā)警報）。

從現(xiàn)在開始，帶有已配置字段的新條目將添加到表中，并且每當(dāng)超過閾值時，就會觸發(fā)新警報。

流量規(guī)則根據(jù)指定的規(guī)則頻率進(jìn)行評估。例如，每日規(guī)則會在每個午夜根據(jù)前一天的流量進(jìn)行評估。
配置了檢查流量的規(guī)則，下面我們來看看如何配置wechat告警吧！

配置wechat告警

通過在 ntopng 中配置 URL，微信可用于將警報信息傳遞到微信 HTTP 端點。

要獲取微信的有效 WebHook URL，用戶必須在企業(yè)微信上注冊。之后，需要創(chuàng)建一個群聊并添加一個群機(jī)器人，以便獲取群機(jī)器人的WebHook URL。欲了解更多信息，請查看此處。

警報將發(fā)送給收件人。收件人及其關(guān)聯(lián)的端點是通過系統(tǒng)界面進(jìn)行管理的。
收件人只與一個端點相關(guān)聯(lián)，但同一端點可與多個收件人共享。

端點和收件人都有一種類型和一組配置參數(shù)，具體取決于類型。本節(jié)將介紹所有可用的端點和收件人。

端點包含通用配置，然后通過收件人配置進(jìn)行擴(kuò)展。例如，電子郵件端點包含 SMTP 服務(wù)器地址，而電子郵件收件人則包含目標(biāo)電子郵件地址。這樣就可以創(chuàng)建多個電子郵件收件人，他們共享同一個端點，因此也共享同一個 SMTP 服務(wù)器地址。

然后去增加一個收件人

警報信息通過 POST 請求以 JSON 格式提供給 Webhook。
當(dāng)我們的流量超過閾值時，我們將在企業(yè)微信上收到告警信息

除了監(jiān)控本地主機(jī)的各種流量之外，我們還有很多其他的監(jiān)控指標(biāo)，可以檢查主機(jī)行為、系統(tǒng)行為、流量等，如下圖所示：

多個指標(biāo)可編輯，自定義閾值，對于多種網(wǎng)絡(luò)行為都可以監(jiān)測和掌控，特別是里面有網(wǎng)絡(luò)安全相關(guān)指標(biāo)，對于我們防范不法分子的攻擊是十分有利的！
友情提醒：ntopng的Local Traffic Rules和告警到企業(yè)微信是企業(yè)版特有的功能哦，歡迎申請免費試用，具體的信息訪問主頁，通過簡介找到我們~也可以關(guān)注公眾號~

審核編輯 黃宇