2020年9月25日金曜日

【ntopng and nProbeによる高速トラフィック分析入門】第5章 ntopng Web GUI概要(1) ~5.1.2.3 フローまで

第5章 ntopng Web GUI概要(1)

(2022年2月9日(水) ebookの記載を追加)
文:ジュピターテクノロジー よしひろ

  • (2022年2月9日(水) 追記)
    2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに公開しました。
    本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。
    是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。


5.1 ntopng Web GUIのメニュー



本章では、Web GUIの主なメニューと操作方法をご紹介します。


5.1.1 ヘッダーバー

図5-1 ヘッダーバー

説明用に、図5-1の各アイコン下に採番しています。
  1. 現在選択している監視対象インターフェイスです。ntopngをインストールしたホストが仮想を含めて複数NICを持っている場合、プルダウンメニューで監視対象のNICを選択します。メニュー内のシステムを選択すると、リソースの状況や設定画面に遷移することができます。
  2. 監視対象インターフェイスの上り/下りのスループットチャートです。監視対象インターフェイスがネットワークデバイスのミラーポートに接続されている場合、下りチャートのみ表示されます。
  3. アラートが発生したときに表示されるアラートアイコンです。発報されたアラート数が表示され、クリックするとアラート画面に遷移します。
  4. ローカルホスト(監視IPアドレススコープ内のホスト)のアイコンです。現在ネットワーク上で確認できるローカルホストの数が表示され、クリックするとローカルホスト画面に遷移します。
  5. リモートホスト(インターネット上のサイトや監視対象外のホスト)のアイコンです。現在ネットワーク上で確認できるリモートホストの台数が表示され、クリックするとリモートホスト画面に遷移します。
  6. 装置アイコンです。監視対象インターフェイスで確認できるMACアドレスの数が表示され、クリックするとソースMACアドレス画面に遷移します。
  7. フロー(ntopngもしくはnProbeが分析したネットワークフロー)のアイコンです。監視対象インターフェイスに流れるフロー数が表示され、クリックするとアクティブなフロー画面に遷移します。
  8. 検索ボックスです。IPアドレス、ホスト名、MACアドレスを入力して、オンメモリ上のホストを検索することができます。
  9. ブログ更新などntop社からのお知らせ情報が表示されます。
  10. ログインユーザー名の確認、ntopngの再起動、アップデート(自動アップデートが有効な場合)、再起動ができます。

5.1.2 サイドバー


図5-2 サイドバー

最新バージョンのntopngは、図5-2のサイドバーが存在し主要メニューへのリンクになっています。
以降では、サイドバーメニューの中で頻繁に利用するメニューと画面の概要説明をします。

5.1.2.1 ダッシュボード

トラフィックダッシュボード、ネットワーク探索(エンタープライズ版のみ)、トラフィックレポート(エンタープライズ版のみ)画面に遷移します。

トラフィックダッシュボードは、エンタープライス版の場合リアルタイムで監視対象トラフィックのトラフィック量、アプリケーショントラフィック情報を表示します。
コミュニティ版の場合は、図5-4のサンキーダイアグラムが表示されます。

図5-3 トラフィックダッシュボード エンタープライズ版


図5-4 トラフィックダッシュボード コミュニティ版


ネットワーク探索は、「5.1.1 ヘッダバー」の1で説明したインターフェイス選択のNICが、他ローカルホストに疎通可能な場合ntopngのメニューに表示され、疎通可能なデバイスを発見します。

図5-5 ネットワーク探索

トラフィックレポートは、以下のトラフィックレポート情報を選択表示することができます。
  1. ネットワークインターフェイス
  2. ローカル/リモートトラフィック量内訳
  3. ローカルネットワークトラフィック量
  4. トップネットワーク
  5. アプリケーション
  6. アプリケーション分解
  7. トップASN
  8. トップローカルOS
  9. トップ非ローカルOS
  10. トップローカルホスト
  11. トップリモートホスト
  12. トップ国
図5-6 トラフィックレポート

5.1.2.2 アラート

検出されたアラート、アラートダッシュボード、フローアラートエクスプローラ画面に遷移します。

検出されたアラートページは、アラートの発生状況によって現在のアラート、過去のアラート、フローアラート、無効なアラート(管理者が設定した場合のみ表示)タブが表示されます。
アラートが発生していなければ、タブが表示されないことに注意してください。

図5-7 アラートページ

アラートダッシュボードは、指定日時に発生したアラートを分析することができます。
アラート数、重大度、タイプといった情報を確認することができます。

図5-7 アラートダッシュボード

フローアラートエクスプローラは、サマリ、タイプ、ビジュアル、フローアラートタブからなり、フローアラートの分析に活用することができます。

図5-8 フローアラートエクスプローラ

5.1.2.3 フロー

アクティブなフロー画面に遷移します。
監視対象インターフェイスで検知したフローが表示されます。
ホスト、状態、方向、アプリケーション、カテゴリ、IPバージョン、プロトコルのドロップダウンリストが存在し、現在のフローをソート及び絞りこむことができます。

図5-9 フローページ

------------------------------------------------------------------------------------------

ntop社のnProbe, ntopngにご興味のある方は、以下のリンクから弊社までお気軽にお問い合わせください!