餅乾工坊
流量分析 NTOP/NTOP NG/ Cacti [UNIX] - 可列印版本

+- 餅乾工坊 (http://ninja.s12.xrea.com/mybb)
+-- 版面: 電腦網路 (http://ninja.s12.xrea.com/mybb/forumdisplay.php?fid=2)
+--- 版面: 免費軟體 (http://ninja.s12.xrea.com/mybb/forumdisplay.php?fid=9)
+--- 主題: 流量分析 NTOP/NTOP NG/ Cacti [UNIX] (/showthread.php?tid=556)

流量分析 NTOP/NTOP NG/ Cacti [UNIX] - NINJA - 09-21-2010

Linux Proxy(Squid) + 監控(Sarg)
https://sourceforge.net/projects/sarg/files/sarg/

NfSen 可看出目前誰流量最大
http://nfsen.sourceforge.net
介紹 http://www.shunze.info/forum/thread.php?threadid=1953&boardid=3&sid=71d961ad1dd8b1eacb41883e2f0cac9b&page=1


Ntop NG 只有付費版才有單人流量下載/上傳排名

Notp NG 介紹
http://www.shunze.info/forum/thread.php?threadid=1881&boardid=3&sid=6a0352223f535ea7cdcad64847ee7e82

建立 ntop.repo
vi /etc/yum.repos.d/ntop.repo
程式碼:
[ntop]
name=ntop packages
baseurl=http://rpm.ntop.org/$releasever/$basearch/
enabled=1
建立 epel.repo
vi /etc/yum.repos.d/epel.repo
程式碼:
name=Extra Packages for Enterprise Linux 6 - $basearch
#baseurl=http://download.fedoraproject.org/pub/epel/6/$basearch
mirrorlist=https://mirrors.fedoraproject.org/metalink?repo=epel-6&arch=$basearch
failovermethod=priority
enabled=1
gpgcheck=1
gpgkey=file:///etc/pki/rpm-gpg/RPM-GPG-KEY-EPEL-6
(正常yum裝不到的套件可以在 epel 自動安裝)

把KEY放到etc/pki/rpm-gpg/
wget http://ftp.jaist.ac.jp/pub/Linux/Fedora/epel/RPM-GPG-KEY-EPEL-6

安裝前先更新yum
程式碼:
yum clean all
yum update
安裝 redis 和 ntopng

yum install redis ntopng
啟動redis ntopng
redis-server
ntopng -i eth0 (-U ntop 但不一定要)



==================================================================================
http://www.ntop.org/news.php
http://sourceforge.net/projects/ntop/files/ntop/
可以看到區域網路內的即時流量狀況
免費版,Unix

CentOS 文字模式 安裝 NTOP
由於 ntop 5.0 需從網路安裝 nDPI (OpenDPI封包分析功能)
所以網路要能上網,而且要關掉防火牆(預設會擋)CentOS 啟用網卡,停用SELinux,iptables
程式碼:
yum install libtool wget svn libpcap-devel gdbm-devel zlib-devel rrdtool-devel python python-devel
svn 或 subversion ,兩個是一樣的東西,只是yum名字不同
libpcap-devel 在光碟片2, libpcap 在光碟片1, 所以用光碟就先裝libpcap再換片裝libpcap-devel
gdbm-devel 在光碟片2 , gdbm 已裝
zlib-devel ,zlib 已裝
rrdtool-devel 在光碟2, rrdtool 在光碟片1, 所以用光碟就先裝rrdtool再換片裝rrdtool-devel

CentOS 的yum不能裝 GeoIP,要另外下載安裝
程式碼:
wget http://pkgs.repoforge.org/geoip/geoip-1.4.6-1.el6.rf.i686.rpm
wget http://pkgs.repoforge.org/geoip/geoip-devel-1.4.6-1.el6.rf.i686.rpm
rpm -ivh geoip-1.4.6-1.el6.rf.i686.rpm
rpm -ivh geoip-devel-1.4.6-1.el6.rf.i686.rpm

編譯Ntop
程式碼:
./autogen.sh
make
make install

執行Ntop
程式碼:
ntop -i "eth0" -u ntop -d -L -M -m "172.17.0.0/23" -o -g -c
註:-m -g 要搭配 -o 才有效

==========================================
NTOP 第一次安裝要建立使用者
useradd -M -s /sbin/nologin -r ntop
註:RHEL5需 su - 才能用這指令
===========================================
Fedora 如果使用 yum install ntop 會自動建立帳號
===========================================

===========================================
NTOP流量記在記憶體裡,清空資料可以到admin的reset status

Fedora 檔案容量分析程式
baobab

Fedora 首頁 /var/www/html
===========================================
//安裝 geoip geoip-devel ,nogpgcheck 不檢查gpg簽名 localinstall從本機rpm安裝
yum -y --nogpgcheck localinstall GeoIP-*.el5.i386.rpm
//安裝 ettercap ettercap-common
yum -y --nogpgcheck localinstall ettercap-*.rpm
//通常是devel沒安裝
yum -y install zlib zlib-devel gdbm gdbm-devel libpcap libpcap-devel rrdtool rrdtool-devel

解壓縮 tar zxvf ntop-4.0.1.tar.gz
執行./autogen.sh -> 找出缺少的程式 並安裝

./autogen.sh
make
make install

//如果執行ntop出現找不到程式的訊息就要做個連結
ln -s /usr/local/bin/ntop ntop

chown -R ntop:ntop /usr/local/share/ntop <-這目錄user和群組都是ntop , -R 讓ntop管理這目錄
chown -R ntop:ntop /usr/local/var/ntop

設定ntop網頁登入密碼(帳號admin)
ntop -A

以Demon執行ntop
ntop -i eth0 -d -L -u ntop

開機自動執行ntop
echo '/usr/local/bin/ntop -i "eth0" -d -L' >> /etc/rc.local

ntop的參數
-a
--access-log-file		(default) (nil)指定http的登入access的log檔案的路徑,
ps:與apache的log差異是ntop多了一行ntop回應需求的時間
-b
--disable-decoders		(default) No不處理具解譯功能的protocol,ex:dns,netbios
ps:當網路繁忙時可用,但ftp的封包仍會被解析出來
-c
--sticky-hosts		(default) No鎖定某一台主機,該主機的資訊不會被週期性地清除
-d
--daemon		No將ntop變成daemon在背景執行
ps:-L參數需指定,否則ntop的資料會被列出並丟棄
-e
--max-table-rows		(default) 128顯示web上的最大表格數
-f
--traffic-dump-file		(default) (nil)從特定的檔案讀取資料,通常讀取tcpdump所產生的檔案
ps:在debug時會用到
-g
--track-local-hosts		(default) Track all hosts指定區網主機資訊追蹤,適合在ntop在gateway上用
ps:當網路繁忙時可用,或有太多外網host時
-o
--no-mac		(default) Trust MAC Addresses不信任特定的mac address
-i
--interface		(effective) eth0指定要分析的界面,ex:-i eth0,ppp0
ps,-M可將各網卡資訊分開
-j
--create-other-packets		(default) Disabled幫other網路流量製成一檔案,此檔案路徑由-O指定
ps:此檔對了解未被標準化的封包有幫助
-k
--filter-expression-in-extra-frame
ntop的報告製作時日,版本資訊,使用中網卡可在額外看見
-l
--pcap-log		(default) (nil)將截取到的流量以pcap的格式存放,或以tcpdump的格式作出一個檔案,檔案目錄路徑由-O指定
-m
--local-subnets (effective)		(default) (nil)指定區網中特定的子網路流量分析,會將指定網路視做local看待
ex:-m 192.168.10.0/24,10.1.2.3/8
-n
--numeric-ip-addresses		(default) No以ip位置代替dns
ps:可省略dns省詢的時間
-p
--protocols		(default) internal list指定特定的tcp/udp port監控,格式有以下三種
name=port1|port2
ex:-p WWW=http|https 監控http和https的port,並以WWW標示
name=port1-port2
ex:-p other=1024-32767 監控1024到32767的port,並以other標示
filepath
ex:-p net.list 將上述的格式寫進net.list,並以此檔內的說明監控
-q
--create-suspicious-packets		(default) Disabled用pcap格式儲存可疑封包資訊到新檔案
ps:此檔案會放在-O指定目錄下
-r
--refresh-time		(default) 120顯示網頁更新時間
-s
--no-promiscuous		(default) No將雜亂模式關閉
-t
--trace-level		(default) 3啟動後所顯示的訊息等級,值越低訊息越少
-u
--user		nobody(uid=99, gid=99)指定使用者執行,但不可root執行
-w
--http-server		(default) Active, all interfaces, port 3000指定登入時的port號 ex:http://localhost:3000
-z
--disable-sessions		(default) No不顯示tcp session的追蹤,可有較好的效能
-A
--set-admin-password		設定管理員密碼
-B
--filter-expression		(default) none加上過濾敘述,與tcpdump相同
ex:只要abc.com.tw的資訊
-B src host abc.com.tw
-D
--domain		com.tw指定域名來做分析,會辦認本地端的domain
-F
--flow-spec		(default) none
-K
--enable-debug		(default) No啟動除錯模式,訊息在show configuration頁底下
-L
--use-syslog		daemon指定輸出的訊息要放到系統的log,不再另輸出檔案
-M
--no-interface-merge (effective)		(default) (Merging Interfaces) Yes不要將各介面資訊合併
-N
--wwn-map		(default) (nil)
-O
--pcap-file-path		(default) /var/ntop設定各類log存在指定路徑下
-P
--db-file-path		/tmp指定存放db檔的路徑
-Q
--spool-file-path		/tmp
-U
--mapper		(default) (nil)顯示主機的位置
-W
--https-server		Uninitialized指定登入時的port號,並有加密功能
-X32768
=====
Fedora 13 輸入法 ibus 安裝 dayi
下載 dayi.cin or dayi3.cin
安裝ibus-devel
ibus-table-createdb -s dayi3.cin
cp dayi3.db /usr/share/ibus-table/tables
===
開機時 sendmail/sm-client 停很久(約5-10分鐘)
因為安裝Linux時未設定主機名(預設 localhost.localdomain)
所以開機時會去查 localhost.localdomain 這個domain

解決方法:
/etc/hosts裡面127.0.0.1 local.domainname這筆記錄.
sendmail跟sm-client會試著去解local.domainname
留127.0.0.1只對應localhost就好

若上述不行就用下面的方法

將 /etc/sysconfig/network 檔案中
HOSTNAME=localhost.localdomain (改回來 localhost.localdomain)
這樣就可以

或 停用 SendMail [Fedora 13有界面模式,RHEL無)
====================================
Fedora 開放root登入

gedit /etc/pam.d/gdm-password
auth required pam_succeed_if.so user!=root quiet 註解掉即可
======================================

RE: 流量分析 NTOP/NTOP NG/ Cacti [UNIX] - NINJA - 10-08-2010

Untangle
http://www.untangle.com/Download-Untangle
calasoft
http://www.colasoft.com/products/network-tools.php
http://www.colasoft.com/download/
http://www.colasoft.com/download/nChronos_free.zip
http://www.colasoft.com/download/capsa_free.exe
===========================================
Cacti
http://www.cacti.net/index.php

Debian: apt-get install cacti
Fedora: yum install cacti



Fedora 13 LiveCD
建一個unix user : cactiuser
useradd -r -M cactiuser

1.yum -y install cacti net-snmp-utils snmp++-devel (自動裝 snmp++ ,需啟動服務 service snmpd start)
2.不明原因沒有cacti.sql ,所以到官網下載最新版,再用匯入cacti.sql
3.安裝 phpmyadmin
yum install phpmyadmin
裝完要重開httpd

2.更改mysql root密碼
mysql -u root
mysql> update mysql.user set password=PASSWORD("密碼") where User="root";
mysql> flush privileges;
mysql> quit

3. http://localhost/phpMyAdmin
gedit /etc/phpMyAdmin/config.inc.php
用phpmyadmin 把cacti資料庫的user改成 config.inc.php 裡的設定,權限打開
dbname:cacti
dbuser:cactiuser
dbpass:cactiuser

4.修改 /etc/httpd/conf.d/cacti.conf
測試時
#Deny from all
#Allow from 127.0.0.1
Allow from all
重新啟動httpd

http://localhost/cacti
Next->New Install->NET-SNMP 5.X /RRDTool 1.3.X->Finish
admin:admin->改密碼(還是可以用admin:admin)->登入網頁成功

5. CronJob 執行 [用cactiuser執行,權限要看一下 chown -R cactiuser:cactiuser /usr/share/cacti]
crontab -e 或 gedit /etc/crontab
*/5 * * * * cactiuser php /usr/share/cacti/poller.php > /dev/null 2>&1

===
gedit
nautilus