ntop + mysql

[duncanlo]

ntop安裝的方法請參考!
http://phorum.study-area.org/viewtopic.php?t=10110

假如你想要即時的訊息,
ntop的web或intop文字是不錯的選擇,
不過,假如你想統計使用量或長期紀錄,
甚至是作分析報表,那應該是要有一個DB,
來儲存網路流量的資訊...

我把ntop裝在一台獨立的機器,
接在串著Firewall及內部SwithHub的
一個一般Hub上.

首先你的主機要先把mysql和ntop安裝好,
建立一個DB叫NTOP,
用mysqladmin create NTOP 建,
到ntop source內的database目錄,
在DB NTOP內建立Table,
用mysql NTOP < mySQLdefs.txt 建
先啟動ntop的mysql db連結(預設port是4000),
用perl mySQLserver.pl & 常駐來保持連結,
然後以再執行,
ntop -P /var/lib/ntop -u notobdy -i eth0 -E -b localhost:4000 -d
啟動ntop後,就會看到console一直有把流量寫入mysql的訊息.
假如你執行時出現db無法連線,
有可能是沒有mysql.pm這個perl modules,
你可以到CPAN抓DBD-mysql回來安裝就可以了,
測試完,以後只要執行下面兩行就行了!

perl mySQLserver.pl &
ntop -P /var/lib/ntop -u notobdy -i eth0 -E -b localhost:4000 -d

存到MySQL DB後,
就可以用分析統計工具作流量分析,
或是追查某個連線的狀況...

把ntop的資料存在mysql內,
可能會有巨量的資料存取量,
要特別注意一下,
不過我今天才剛裝好ntop+mysql,
還不知道資料的大小,
而且也還沒去找分析軟體!

[duncanlo]

NTOP的DB內有5個Table,
內容大概是...

Hosts
IP,MAC及連線統計值

IPtraffic
以ip為主之流量統計,像udp,tcp,icmp這些

NameMapper
ip及主機名對應表

NonIPTraffic
非ip之流量統計,如ipx,arp,atalk,netbios這些

TCPsessions
tcp連線之紀錄,有來源及目的之ip,port,sedn/rcvd量,時間


其中有點奇怪的是hosts的內容,
我有幾台是HP Server,
用的是Intel網卡,不過ntop辨識是
ASUSTEK COMPUTER INC. 的網卡,
這應該是華碩的Title吧!

[凱文克萊]

請問一定要裝資料庫嗎?因為我看了一些文章都沒提到要裝資料庫
結果自己裝了NTOP之後要啟動就出現了錯誤訊息.....
Database '/usr/local/bin/log/addressCache.db' open failed :File open error
是否是因為我沒裝MySQL..

[Frankie]

請問一定要裝資料庫嗎?因為我看了一些文章都沒提到要裝資料庫
結果自己裝了NTOP之後要啟動就出現了錯誤訊息.....
Database '/usr/local/bin/log/addressCache.db' open failed :File open error
是否是因為我沒裝MySQL..

我沒裝過ntop,有使用過tivoli netview,不管是啥網管軟體
應該都會要搭配一套DB吧.才可以將資料收集整理並做分析.

[duncanlo]

netview好像不需要DB就可以Run?!

不過CA那套就要裝個MS SQL才行.

[francisyap]

執行

perl mySQLserver.pl &

出現

[root@vip ntop]# recv: Bad file descriptor at mySQLserver.pl line 35.

如何解決呢?

35行是 recv($socket, $buffer, $bufLength, 0) || die "recv: $!";

謝謝指教!!

[350z]

我把ntop裝在一台獨立的機器,
接在串著Firewall及內部SwithHub的
一個一般Hub上.

請問一下
這樣應該只看得到這個Hub上的機器的流量, 接在switch上的其他機器的流量應該看不到吧。
除非您的switch有網管的功能而且有設定將switch上的封包mirror到notp機器的網卡上。
如果我的switch沒有網管功能而想看到公司所有機器的流量該如何呢?把ntop接在nat跟switch之間嗎?這樣會拖慢其他機器上internet的速度嗎?頭痛中~~

[windgo]

補充一下 如果照上面的方法設定
會只有Mysql為root 密碼為空白 才能跑 mySQLserver.pl
修改一下mySQLserver.pl  改為你自己定的帳號密碼

my $dbh = DBI->connect('DBI:mysql:NTOP',"user","pw") or die "Couldn't connect to database: "

[will]

請問，  
mysql NTOP < mySQLdefs.txt  這一行中，

mySQLdefs.txt   這個檔在那找，還是要自己建？？？


我是用 FreeBSD 4.9 + Ntop 3.0

[SkyJou]

ntop 目前已經不支援與SQL連線了，現在使用 rrd。

[icutep4]

請問一下
這樣應該只看得到這個Hub上的機器的流量, 接在switch上的其他機器的流量應該看不到吧。
除非您的switch有網管的功能而且有設定將switch上的封包mirror到notp機器的網卡上。
如果我的switch沒有網管功能而想看到公司所有機器的流量該如何呢?把ntop接在nat跟switch之間嗎?這樣會拖慢其他機器上internet的速度嗎?頭痛中~~

 :lol: 如果我的switch有網管功能而想看到公司所有機器的流量又該如何呢
如何可設定將switch上的封包mirror到notp機器的網卡上
還請大大指教

[【defender】]

請問一下
這樣應該只看得到這個Hub上的機器的流量, 接在switch上的其他機器的流量應該看不到吧。
除非您的switch有網管的功能而且有設定將switch上的封包mirror到notp機器的網卡上。
如果我的switch沒有網管功能而想看到公司所有機器的流量該如何呢?把ntop接在nat跟switch之間嗎?這樣會拖慢其他機器上internet的速度嗎?頭痛中~~

 :lol: 如果我的switch有網管功能而想看到公司所有機器的流量又該如何呢
如何可設定將switch上的封包mirror到notp機器的網卡上
還請大大指教

Switch只能監看連接在Switch下的封包流如果你那台Switch有支援Port mirror則只要打開就行監看,跨Switch則不能看到..只能看到該Switch,其他Switch下的電腦上網只會上跑出Internet 所以不會流經其他Switch
若要監看全部則要看網路架構..做調整

[yuchin]

在這裡想請問一下站上的各位
你們在實做mirror port時 點有很多嗎?流量會不會太大
最近我發現每當換了一張接收mirror prot的網卡
隔天或一個禮拜就會掛掉
一定要高級的網卡才能做嗎?