第5章 ntopng Web GUI概要(2)
(2022年2月9日(水) ebookの記載を追加)
文:ジュピターテクノロジー よしひろ
- (2022年2月9日(水) 追記)2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに公開しました。本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。
5.1.2.4 ホスト
ホスト、MACアドレス、ネットワーク、ホストプール、⾃律システム、国、オペレーティングシステム、サーバーHTTP、トップホスト、ホストエクスプローラといった画⾯に遷移するメニューです。
ntopngのメニューの中で最も画⾯遷移が多いメニューとなっています。
監視対象のインターフェイスで確認できるすべてのホストが一覧表示されます
全ホスト
IPアドレス、ローケーション(ローカルホストかリモートホストか)、受信総バイト数、名前、システムがホストを発⾒してからの経過時間、CS割合、スループット、合計バイト数を分析することができます。
また、列ヘッダをクリックして結果を降順(昇順)に並べ替えることができます。
図5-10 ホスト-全てのホスト
ソースMACアドレス
監視対象のインターフェイスで確認できるすべてのMACアドレスが一覧表示されます。
MACアドレス、製造者、デバイスタイプ、名前、ARP、システムがホストを発⾒してからの経過時間、スループット、トラフィック量を確認することができます。
また、列ヘッダをクリックして結果を降順(昇順)に並べ替えることができます。
図5-11 ホスト-ソースMACアドレス
ネットワーク
ntopngの設定ファイルで定義したローカルネットワークが⼀覧表⽰され、サブネットごとにトラフィックチャート、ホスト数、CS割合、スループット、トラフィック量を分析することができます。
また、チャート列のグラフボタンを押すと監視対象サブネットごとのトラフィック量を確認することができます。
図5-12 ホスト-ネットワーク
ホストプール
ntopngのホストプールは、異なるホストをグループ化する設定⽅法です。
トラフィックチャート、ホスト数、監視開始からの経過時間、CS割合、スループット、トラフィックを分析することができます。
また、ホストプールは、ネットワークインターフェィスごとに定義することができます。
ホストプールは、次の特徴があります。
- IPv4/IPv6アドレスを設定してグループを作ることができます
- MACアドレスを設定してグループを作ることができます
- CIDRフォーマットでネットワークを指定して、マッチするホストからグループを作ることができます
また、ホストプール設定VLAN idは、特定VLANのホストにマッチするように定義することができます。
ホストプールによってグループ化した後、グループ化された統計情報や時系列を参照することができます。
図5-13 ホスト-プール
自律システム
監視対象のインターフェイスで確認できる全てのAS番号がここに一覧表⽰されます。
AS番号、チャート、ホスト数、監視開始からの経過時間、CS割合、スループット、トラフィックを分析することができます。
また、チャート列のグラフボタンを押すと自律システムごとのトラフィック量を確認することができます。
図5-14 ホスト-AS
国
ntopngによって検出された全ての国が⼀覧表⽰されます。
名前、チャート、ホスト数、監視開始からの経過時間、CS割合、スループット、トラフィックを分析することができます。
また、国のリンクをクリックすると、その国にローカライズされたホストのリストページにリダイレクトします。
図5-15 ホスト-国
OS(オペレーティングシステム)
ntopngによって検出されたすべてのOSが一覧表示されます。
名前、ホスト、アラート数、監視開始からの経過時間、CS割合、スループット、トラフィックを分析することができます。
また、OSリンクをクリックすると、ホストの詳細なリストが表⽰されます。
図5-16 ホスト-OS
HTTPサーバー
監視対象のインターフェイスで確認できるローカルHTTPサーバーが⼀覧表⽰されます。 ローカルHTTPサーバーIPアドレス、送信バイト、受信バイト、リクエスト数を分析することができます。また、HTTP仮想ホストの近くにある拡⼤レンズアイコンをクリックすると、関連する全てのフローを確認することができます。
図5-17 ホスト-HTTPサーバー
トップホスト
ホストアクティビティが画⾯に表⽰されます。
動的更新ができるように、ページは開いたままにしておく必要があります。
時間軸は5分⾜で区切られ、状態がリアルタイムで更新されます。
図5-18 ホスト-トップホスト
エクスプローラ
フロー、DNSクエリ、TCPフラグ、送受信パケット種類ごとにバブルチャートが表⽰されます。振る舞いが他と異なるホストは、他グループから離れた場所にポイントされます。
各ポイントを調査することによって、ネットワークの不具合を調査することができます。
図5-19 ホスト-エクスプローラ
5.1.2.5 インターフェイス
ホストの次に多彩な分析項⽬にアクセスすることができます。
ネットワーク全体の分析が可能で、監視対象インターフェイスの中長期的な分析に利用できます
ホーム画⾯
インターフェイスボタンを押すと、ホーム画⾯が表⽰されます。
ホーム画⾯では、リモートとローカルトラフィックの分布割合、総トラフィック量、送受信トラフィック量などを確認することができます。
図5-20 インターフェイス-ホーム
ネットワーク
サブネット単位でホストの一覧が表示されます。
リンクを押すと、サブネット単位でのホスト⼀覧が表⽰されます。
図5-21 インターフェイス-ネットワーク
パケット
パケットのサイズ分布、IPのバージョン情報分布、TCPフラグ状態を確認することができます。
図5-22 インターフェイス-パケット
アプリケーション
アプリケーション利⽤、カテゴリ、フローカウント割合、TCPフラグ割合、インターフェイス上で確認できるアプリケーションの⼀覧とトラフィック量の累計を確認することができます。
図5-23 インターフェイス-アプリケーション
ICMP
ICMPメッセージごとのパケット量を分析することができます。
図5-24 インターフェイス-ICMP
ARPリクエスト、レスポンスのパケット量を分析することができます。
図5-25 インターフェイス-ARP
統計グラフ
インターフェイスメニューの主要機能です。
5分、30分、時間、⽇、週、⽉、年といった単位で中⻑期のトラフィック分析が可能です。
グラフはマウスオーバーで時間枠指定が可能で柔軟な分析を実現します。
また、様々な観点でトラフィックを分析することが可能で、時系列と組み合わせてトラフィック、パケット、TCP統計、アプリケーションごとのグラフをプルダウンメニューから選択することができます。
rawフローの取得、n2diskと連携して指定時間のpcapファイルを抽出することもできます。
インターフェイスメニューから単⼀ホストのドリルダウン調査まで可能ですので、最も活躍してくれるメニューといっても過⾔ではないでしょう。
図5-26 インターフェイス-統計グラフ
