你是否曾因網絡異常而感到困擾？在數字化時代，網絡流量異常可能給企業帶來巨大損失。但別擔心，我們為您準備了一份詳盡的解決方案！想知道如何利用ntopng及時發現異常流量，并通過企業微信等渠道通知你的團隊嗎？跟隨我們的指南一起探索吧！

告警示例

環境：CentOS Linux release 7.9.2009 (Core)
ntopng版本：
[root@centos7 ~]# ntopng -V
Version: 6.1.240510 [Enterprise/Professional build]
GIT rev: dev:afbdf91abe535ef7415dfbbca34f3707257df3fb:20240510
Pro rev: r6507
Built on: CentOS Linux release 7.9.2009 (Core)
System Id: L3B050EC176066B13--U3B050EC181ADB966--OL
Platform: x86_64
Edition: Enterprise M

ntopng監測單臺主機的流量

ntopng 可根據本地主機流量時間序列（或指定 “*”時的所有本地主機）或本地網絡接口觸發自定義警報。這對于識別在指定時間段內觸發過多流量的主機或接口非常有用。
下面是一些規則示例：

ens160 網絡接口的每日總流量不得超過 15 GB；

192.168.2.28 的每日總流量不得少于 2 GB；

192.168.1.1 的 NTP 日總流量不得超過 2 GB；

1.1.1.1 每 5 分鐘的 1kxun 流量不得超過前 5 分鐘總流量的 15%；

1.1.1.1 每 5 分鐘的流量不得超過 1 Mbps；

每當滿足條件時，ntopng 就會觸發警報，下面我們來看看操作。

在Host菜單上選擇Local Traffic Rules

要添加新規則，請單擊表格上方的“+”符號

添加一個本地流量規則

目標：插入要分析的本地主機 IP 或 *（表示必須分析所有本地主機），或選擇本地網絡接口、網段等

指標：選擇要分析的指標（例如 DNS -> DNS 流量），比如上下行流量、主機得分，某協議或者應用程序的流量等

頻率：選擇分析頻率（如 5 分鐘 -> 每 5 分鐘分析一次）1小時、1天

閾值：選擇閾值類型（流量、吞吐量或百分比）、下限或上限，以及一旦超過將觸發警報的閾值

百分比變化：計算最近兩次頻率檢查之間的百分比變化（例如，頻率為 5 分鐘的百分比變化小于 1%；如果前一次頻率檢查和最后一次 5 分鐘檢查之間的百分比變化小于 1%，則觸發警報）。

從現在開始，帶有已配置字段的新條目將添加到表中，并且每當超過閾值時，就會觸發新警報。

流量規則根據指定的規則頻率進行評估。例如，每日規則會在每個午夜根據前一天的流量進行評估。
配置了檢查流量的規則，下面我們來看看如何配置wechat告警吧！

配置wechat告警

通過在 ntopng 中配置 URL，微信可用于將警報信息傳遞到微信 HTTP 端點。

要獲取微信的有效 WebHook URL，用戶必須在企業微信上注冊。之后，需要創建一個群聊并添加一個群機器人，以便獲取群機器人的WebHook URL。欲了解更多信息，請查看此處。

警報將發送給收件人。收件人及其關聯的端點是通過系統界面進行管理的。
收件人只與一個端點相關聯，但同一端點可與多個收件人共享。

端點和收件人都有一種類型和一組配置參數，具體取決于類型。本節將介紹所有可用的端點和收件人。

端點包含通用配置，然后通過收件人配置進行擴展。例如，電子郵件端點包含 SMTP 服務器地址，而電子郵件收件人則包含目標電子郵件地址。這樣就可以創建多個電子郵件收件人，他們共享同一個端點，因此也共享同一個 SMTP 服務器地址。

然后去增加一個收件人

警報信息通過 POST 請求以 JSON 格式提供給 Webhook。
當我們的流量超過閾值時，我們將在企業微信上收到告警信息

除了監控本地主機的各種流量之外，我們還有很多其他的監控指標，可以檢查主機行為、系統行為、流量等，如下圖所示：

多個指標可編輯，自定義閾值，對于多種網絡行為都可以監測和掌控，特別是里面有網絡安全相關指標，對于我們防范不法分子的攻擊是十分有利的！
友情提醒：ntopng的Local Traffic Rules和告警到企業微信是企業版特有的功能哦，歡迎申請免費試用，具體的信息訪問主頁，通過簡介找到我們~也可以關注公眾號~

審核編輯 黃宇