第6章 アラートの種類と設定
本章では、ntopngのアラート機能を紹介します。
(2022年2月9日(水) ebookの記載を追加)
文:ジュピターテクノロジー よしひろ
- (2022年2月9日(水) 追記)2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに公開しました。本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。
6.1 ntopngのアラート機能
ntopngのアラート機能は、2種類あります。
- サイドバーの設定→アラートメニューから設定するビルトインアラート
- 設定→ユーザースクリプトから設定するユーザースクリプトアラート
また、アラートの通知先はメール,Slack,Webhook,Syslogを選択することができるので自由度が高いです。メールを通知先に設定する場合は、別途Postfixをインストールする必要があります。
以降では、ビルトインアラートの種類と内容、ネットワークトラフィック監視に関連したユーザースクリプトを取り上げて、実際の設定を行います。
6.2 ビルトインアラートの確認と設定
サイドバーの設定→アラートを選択してください。
ビルトインアラートの有効/無効をこの画面で管理します。
図6-1 ビルトインアラートの設定
ビルトインアラートは、v4.0時点で5種類あります。
- IP再割り当てアラート ・・・ MACアドレスとIPアドレスのマッピングが変更されたときにアラートを発報します。ARPキャッシュポイゾニングを検知することができます。
- リモートホストからリモートホストへのアラート ・・・ntopngには、-mオプションでローカルホストが所属するIPアドレスの範囲を定義することができます。ローカルホストの範囲外は全てリモートホストとして定義されます。ntopngは、リモートホスト同士の通信を検知した場合アラート発報します。
- 新しいデバイスの接続 ・・・今までトラフィック内には存在しなかったデバイスを検知した場合、アラート発報します。
- デバイス接続/切断アラート ・・・デバイスがネットワークに接続、切断した場合にアラートを発報します。
- ホストプール接続/切断アラート ・・・ホストプールに所属するホストが切断した場合にアラートを発報します。
デフォルト設定では、ビルトインアラートは全て無効になっています。
必要に応じて、有効にしてください。
6.3 ユーザースクリプトアラートの概要
ユーザースクリプトアラートは、Luaで記述されたプログラムの実行によるものです。
Web画面から有効/無効、閾値の設定が可能です。
ユーザースクリプトは、あらかじめntop社が開発メンテナンスしたものと、世界中のユーザーが開発したスクリプトを利用することができるため、自由度が高いシステムを実装することができます。
以下にいくつかのユーザースクリプトアラートの例をご紹介します。
- 単一ホストが生成したトラフィックが、設定した閾値以下となった
- 単一ホストによって送信されたSYNの数が、スキャナーと認識される数に到達した
- 監視インターフェィスのパケット廃棄数が、全体監視パケットの合計パーセンテージを超えた
- 監視ネットワークが利用したトラフィックが1Gbpsを超過した
閾値は以下のオブジェクトに対して、それぞれ設定することができます。
- ローカルホスト
- インターフェィス
- ローカルネットワーク
6.4 ユーザースクリプトアラート設定ハンズオン
監視インターフェイスに流れるトラフィックが30Mbpsを超えた場合、アラートを発報するといった設定を有効にしてみましょう。
サイドバーの設定→ユーザースクリプトを選択してください。
図6-2 ユーザースクリプトトップ画面
次にオブジェクトを選択します。
今回は監視インターフェイスにユーザースクリプトを設定したいので、インターフェイスを選択します。
図6-3 ユーザースクリプト/インターフェイス画面
図6-3のアクション列編集ボタンを選択してください。
現在有効なユーザースクリプトの一覧が表示されます。
今回設定するスループットアラートは、デフォルトで無効になっていますので、無効化リンクを選択してください。
図6-4 有効なユーザースクリプト
スループットアラートのアクション列、編集ボタンを選択してください。
図6-5 無効なユーザースクリプト
図6-6のようにスループットアラートの閾値設定画面が表示されます。
分,5分,毎時,毎日とありますが、これはユーザースクリプトの実行間隔設定です。
図6-6 スループットアラート閾値設定画面
今回は、5分ごとにインターフェイスが30Mbpsを超過していないかを確認する設定にしてみましょう。
5分の有効化チェックボックスを選択して、テキストボックスに30を入力してください。
最後に適用ボタンを押してください。
図6-7 閾値設定
図6-4に画面遷移して、スループットアラートが有効化されているかを確認してください。
以上で、スループットアラートの閾値設定は完了です。
実際に監視インターフェイスが20Mbpsを超過した場合、サイドバーのアラート→検出されたアラートで図6-8のようなアラートを確認することができます。
図6-8 現在のアラート画面
本記事で扱っているntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!
