本指南将带您了解如何在 Rocky Linux 8 上安装 ntopng。ntopng 是一个基于 Web 的高性能网络流量监控应用程序。 它提供了一个直观、加密的 Web 用户界面,用于探索实时和历史交通信息。
ntopng 主要功能
- 根据许多标准对网络流量进行排序,包括 IP 地址、端口、第 7 层 (L7) 应用协议、吞吐量、自治系统 (AS)
- 显示实时网络流量和活动主机
- 为多个网络指标生成长期报告,包括吞吐量和 L7 应用协议
- 顶级谈话者(发送者/接收者)、顶级 AS、顶级 L7 应用协议
- 监控和报告实时吞吐量、网络和应用程序延迟、往返时间 (RTT)、TCP 统计信息(重传、乱序数据包、数据包丢失)以及传输的字节和数据包
- 存储在磁盘上的持久流量统计数据,以允许未来的探索和事后分析
- 在地理地图中定位和覆盖主机
- 利用 nDPI、ntop 深度包检测 (DPI) 技术发现第 7 层应用协议(Facebook、YouTube、BitTorrent 等)
- 分析IP流量并根据来源/目的地对其进行排序
- 报告按协议类型排序的 IP 协议使用情况
- 生成 HTML5/AJAX 网络流量统计
- 完全支持 IPv4 和 IPv6
- 完整的第 2 层支持(包括 ARP 统计)
- GTP/GRE 去隧道
- 支持nIndex、MySQL、ElasticSearch导出监控数据
- 导出到 nIndex 和 MySQL 的监控数据的交互式历史探索
- 灵活的警报处理
- SNMP v1/v2c/v3 支持和持续监控 SNMP 设备
- 身份管理,包括 VPN 用户与流量的关联
- 专注于网络安全
- 行为交通分析,例如横向移动和定期交通检测
- REST API 可简化与第三方的集成
在 Rocky Linux 8 上安装 ntopng
存在各种版本的 ntopng。 从社区版到企业版。
我们将学习如何在 Rocky Linux 8 上安装社区版的 ntopng。
在 Rocky Linux 8 上安装 ntop Packages Repository
ntopng 在默认的 Rocky Linux 8 存储库中不可用。
因此,您需要安装 ntop 软件包存储库。
wget https://packages.ntop.org/centos-stable/ntop.repo -O /etc/yum.repos.d/ntop.repo
安装并启用其他存储库
dnf install epel-release
dnf install https://rpms.remirepo.net/enterprise/remi-release-8.rpm
dnf config-manager --set-enabled powertools
在 Rocky Linux 8 上安装 ntopng
接下来,执行以下命令在 Rocky Linux 8 上安装 ntopng。
dnf erase zeromq3
dnf install pfring-dkms n2disk nprobe ntopng cento pfring-drivers-zc-dkms
运行ntopng社区版
为了运行社区版的ntopng,编辑配置文件, /etc/ntopng/ntopng.conf,通过运行下面的命令;
sed -i 's#-G=/var/run/ntopng.pid#-G=/var/run/ntopng.pid n--community#' /etc/ntopng/ntopng.conf
这是我们可以在这个演示中进行的唯一配置。 该文件得到了高度评价,您可以通读它以了解更多配置选项。
运行 ntopng 服务
启动并启用 ntopng 在系统启动时运行;
systemctl enable --now ntopng
检查状态;
systemctl status ntopng
● ntopng.service - ntopng high-speed web-based traffic monitoring and analysis tool Loaded: loaded (/usr/lib/systemd/system/ntopng.service; disabled; vendor preset: disabled) Active: active (running) since Thu 2021-07-22 13:20:13 EAT; 12s ago Process: 5087 ExecStopPost=/bin/rm -rf /run/ntopng.conf /run/ntopng.conf.raw /run/ntopng.pid (code=exited, status=0/SUCCESS) Process: 5510 ExecStartPre=/bin/sh -c /bin/sed "/^[ ]*-e.*$|^[ ]*-G.*|^[ ]*--daemon.*|[ ]*--pid.*/s/^/#/" /run/ntopng.conf.raw > /run/ntopng.conf (code=exited, status> Process: 5507 ExecStartPre=/bin/sh -c /bin/cat /etc/ntopng/ntopng.conf.d/*.conf >> /run/ntopng.conf.raw 2>/dev/null || true (code=exited, status=0/SUCCESS) Process: 5503 ExecStartPre=/bin/sh -c /bin/cat /etc/ntopng/ntopng.conf > /run/ntopng.conf.raw (code=exited, status=0/SUCCESS) Process: 5490 ExecStartPre=/bin/sh -c /usr/bin/ntopng-utils-manage-config -a check-restore && /usr/bin/ntopng-utils-manage-config -a restore || true (code=exited, statu> Main PID: 5512 (ntopng) Tasks: 47 (limit: 23673) Memory: 203.7M CGroup: /system.slice/ntopng.service └─5512 /usr/bin/ntopng /run/ntopng.conf Jul 22 13:20:16 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:16 [Ntop.cpp:882] Adding fe80::301d:abeb:ad8b:6c56/64 as IPv6 local network for enp0s8 Jul 22 13:20:16 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:16 [PeriodicActivities.cpp:107] Started periodic activities loop... Jul 22 13:20:17 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:17 [startup.lua:50] Processing startup.lua: please hold on... Jul 22 13:20:18 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:18 [startup.lua:144] [lists_utils.lua:758] Refreshing category lists... Jul 22 13:20:18 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:18 [startup.lua:144] [lists_utils.lua:696] Category Lists (695 hosts, 3140 IPs, 99 JA3) loaded in> Jul 22 13:20:18 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:18 [startup.lua:218] Startup completed: ntopng is now operational Jul 22 13:20:18 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:18 [PeriodicActivities.cpp:168] Each periodic activity script will use 4 threads Jul 22 13:20:18 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:18 [NetworkInterface.cpp:2749] Started packet polling on interface lo [id: 1]... Jul 22 13:20:18 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:18 [NetworkInterface.cpp:2749] Started packet polling on interface enp0s3 [id: 2]... Jul 22 13:20:18 rocky8.kifarunix-demo.com ntopng[5512]: 22/Jul/2021 13:20:18 [NetworkInterface.cpp:2749] Started packet polling on interface enp0s8 [id: 3]...
访问 ntopng 网页界面
默认情况下,ntopng 侦听端口 3000/tcp。
ss -altnp | grep 3000
LISTEN 0 128 0.0.0.0:3000 0.0.0.0:* users:(("ntopng",pid=5512,fd=45))因此,在 firewalld 上打开此端口:
firewall-cmd --permanent --add-port=3000/tcp
firewall-cmd --reload
接下来,导航到 https://server-IP:3000
使用默认凭据登录: admin:admin 并在之后重置密码。
ntopng 的一些仪表板;
警报
就是这样。 ntopng 现在已安装并运行。 您可以在文档页面上进一步阅读;
ntopng 文档
使用 Wazuh 和 VirusTotal 检测恶意文件
在 Rocky Linux 8 上安装 Prometheus
在 Rocky Linux 8 上安装 Grafana
