インストールまで完了したら、早速トラフィックを監視してみましょう。
前章の図2-15 の画面から説明を開始します。
文:ジュピターテクノロジー よしひろ
-
2022年2月9日(水)に、本ブログ記事のシリーズ【ntopng and nProbeによる高速トラフィック分析入門】がもととなったebookを弊社サイトに公開しました。本サイトで紹介する以上の内容が盛だくさんで、かつ本ブログ執筆当時ではntopngのバージョンが4系でしたが、こちらのebookは5系を対象に執筆しております。是非、無料のebook「ntopによる高速トラフィック分析入門(ntopngバージョン5.0.2系)」をご入手ください。ダウンロードは、こちらからお願いします。
第3章 クイックスタート
3.1 基本設定
画面左のメニューから、設定→環境設定を選択してください。
図3-1 ランタイム設定画面が表示されるので、時系列データをクリックしてください。
図3-1 ラインタイム設定
デフォルトではすべてのトラフィック情報を取得することはできません。時系列データ画面で以下の通り設定し、画面下の保存ボタンで設定変更を反映してください。
表3-1 時系列データ設定
図3-2 時系列データ設定
3.2 インターフェイス選択
図3-3の画面左上、赤枠のインターフェイス選択プルダウンメニューから、トラフィック情報を取得するNICを選択できます。
図では、Oracle Virtual Boxのブリッジアダプターであるenp0s3を選択しています。
このNICを選択することで、Ubuntuが送受信するトラフィックを分析することができます。
図3-3 インターフェイス選択
ntopngの本来の使い方は、2つ以上のNICをもつ物理PCを準備して、1つのNICをネットワーク機器のミラーポートに接続するといった方式が一般的です。
しかし、本章ではネットワーク機器のミラーポートを利用したトラフィック分析ではなく、Ubuntuのトラフィック分析にフォーカスして説明しておりますので、ご注意ください。
3.3 トラフィック分析 ダッシュボード
(コミュニティ版機能制限あり)
図3-3でインターフェイスを選択すると、Ubuntuのトラフィックに対するトラフィックダッシュボードが表示されます。
起動から10分間体験できるEnterprise版の場合、リアルタイムで監視対象トラフィックのトラフィック量、アプリケーショントラフィック情報を表示します。
一方、コミュニティ版の場合は、サンキーダイアグラムが表示されます。
一方、コミュニティ版の場合は、サンキーダイアグラムが表示されます。
図3-4 トラフィックダッシュボード Enterprise版
図3-5 トラフィックダッシュボード コミュニティ版
3.4 トラフィック分析 フロー
(Enterprise版、コミュニティ版共通)
画面左のメニューから、フローをクリックしてください。
アクティブなフロー画面に遷移し、UbuntuのNICに流れるトラフィックがフローとして表示されます。
表の上にホスト、状態、方向といったメニューがあります。
こちらは、プルダウンメニューになっておりそれぞれの要素によって、表示されるフローの一覧をソート、集約することができます。
図3-6 アクティブなフロー
3.5 トラフィック分析 ホスト
(コミュニティ版機能制限あり)
画面左のメニューから、ホスト→ホストをクリックしてください。
すべてのホスト画面に遷移し、トラフィックに含まれるホスト一覧が表示されます。
Ubuntuが所属するサブネットのアドレスを持つホストはローカルホストと認識され、それ以外はリモートホストとして認識されます。
表の上にIPバージョン、方向といったメニューがあります。
こちらはプルダウンメニューになっておりそれぞれの要素によって、表示されるホストの一覧をソート、集約することができます。
図3-7 すべてのホスト
次に 図3-7からUbuntuのIPアドレスを探して、クリックしてください。
図3-8特定ホストのホーム画面が表示されます。
トラフィック、パケット、ポート、ピア …. etc..といったメニューが表示されます。
それぞれクリックし、どのような画面が表示されるかを確認してください。
図3-8 Ubuntuホストの選択
コミュニティ版とEnterprise版で差がでる部分が、特定ホストトラフィックの中長期分析となります。図3-8の画面のグラフマークをクリックするとそれぞれ以下のグラフが表示されます。
図3-9 ホストグラフ Enterprise版
図3-10 ホストグラフ コミュニティ版
Enterprise版では秒単位でトラフィック情報を分析できるリッチなグラフである一方、コミュニティ版は時間軸が表示されずにマウスオーバーで右の表のデータが書き換わるといった仕様になっています。
3.6 トラフィック分析 インターフェイス
(コミュニティ版機能制限あり)
画面左のメニューから、インターフェイスをクリックしてください。
インターフェイス:enp0s3のホーム画面に遷移します。
ネットワーク、パケット、アプリケーション… etc..といったメニューが表示されます。
それぞれクリックし、どのような画面が表示されるかを確認してください。
図3-11 インターフェイス(enp0s3)のホーム画面
ホスト画面と同じく、コミュニティ版とEnterprise版で差がでる部分が、中長期分析となります。図3-11のグラフマークをクリックするとそれぞれ以下のグラフが表示されます。
図3-12 インターフェイスのグラフ画面 Enterprise版
図3-13 インターフェイスのグラフ画面 コミュニティ版
ホスト画面のグラフと同様、Enterprise版では秒単位でトラフィック情報を分析できるリッチなグラフである一方、コミュニティ版は時間軸が表示されずにマウスオーバーで右の表のデータが書き換わるといった仕様になっています。
クイックスタートでは、ntopngが提供する主要なページの概要を紹介しました。
次章では、クイックスタートでは説明しなかった各種画面とWeb GUIの詳細を説明します。
本記事で扱っているntop社のnProbe, ntopng製品にご興味のある方は、以下のリンクから弊社までお問い合わせください!
