square.gif GroundWork ネットワーク管理スイート(NMS)

Topic Home Print Page Send Comments

NMS NTOP

目次 表示

NTOP について

GroundWork NMS ntop パッケージはネットワークトラフィック監視のオープンソースツールで、GroundWork Network Management System (NMS)のオプションコンポーネントとしてGroundWork Monitor に統合されています。パッケージがインストールされると ”Ntop” メニューがアプリケーションランチャーに表示されます。

要約すると、ntop はネットワーク上のアクティビティを監視するための統合されたツールです。GroundWork Monitor 内のほとんどのコンポーネントがネットワーク上の機器監視(例:ホスト上の利用可能なリソースの計測、条件が一致した際のアラームの生成)を目的にデザインされている一方で、ntopは管理者がネットワーク上のトラフィックの監視を行うことをサポートするようデザインされています(例:HTTPとSMTPのトラフィック量の計測、またはどのノードが最大のトラフィックを発生させているかの計測)。

より具体的言うと、ntopにはひとつ以上のネットワークセグメントからトラフィックキャプチャ、キーとなるトラフィックの特性を分析し、動的なデータベースにデータの要約を保存するために様々な技術が使用されています。そこから、管理者はネットワーク上のアクティビティを示すチャートやテーブルを表示するためにntopのWebインタフェースを使用することができ、特定のネットワークノードに関連する情報を調査するためにドリルダウンすることも可能です。

主にntopはネットワーク上のアプリケーショントラフィックの流れの表示、あるいはどのノードが最大のトラフィックを持っているのかを決定する、というようなネットワーク監視と管理タスクをもつネットワーク管理者のサポートツールとして有効です。しかしながら、ntopはあるノードがワームに感染している、禁止されているファイルシェアプログラムが起動している、望まないアクティビティが動いていることを確認するといった特定の機器における特定のトラフィックを監視することにも有効です。

このドキュメントでは、ntop の基本設定とオペレーションについて説明しています。詳細な内容については、 オンライン ntop ドキュメント を参照してください。

ntop パッケージの設定

GroundWork NMS ntop パッケージは、Groundwork Monitor や他のアプリケーションとは別個でインストールされており、独自の設定プロセスがあります。

ntopサーバの起動と停止

Ntopはネットワークトラフィックを監視し、結果をWebページに表示することに特化したデーモンを使用します。このデーモンはntopのWebページにアクセスする前に起動されている必要があります。Ntopデーモンは、/etc/init.d/nms-ntop スクリプトを使用して起動・停止を行います。初期設定ではこのスクリプトはシステム起動時に自動的に実行されます。

手動で ntopデーモンを停止するためには、ルート権限を持つユーザでログインして以下のコマンドを実行してください:

/etc/init.d/nms-ntop stop

手動で ntopデーモンをスタートするにはルート権限を持つユーザでログインして以下のコマンドを実行してください:

/etc/init.d/nms-ntop start

ntop デーモンを自動的にスタートさせたくない場合はルート権限を持つユーザでログインして以下のコマンドを実行してください:

chkconfig --del nms-ntop

スクリプトを再度有効にしたい場合はルート権限を持つユーザでログインして以下のコマンドを実行してください:

chkconfig --add nms-ntop

ユーザアクセスの管理

Ntop のフロントエンドは、GroundWork Guavaを使用してGroundWork Monitor に統合されていますが、Ntop のWeb ページはスタンドアローンのアプリケーションで提供されます。つまり、ntop の Guava オブジェクトにアクセスできるようロールベースでパーミッションを扶養されたユーザはGroundWork Monitor にログインし、アプリケーションランチャーから”Ntop” を選択することで Ntop にログインすることができるようになります。

しかし、ntop はGroundWork Monitor で使用するものとは別のユーザアカウントやアクセスコントロールを持ちます。初期設定では、notpは ”admin” というユーザ名・パスワードで管理者権限を持つユーザアカウントをもっています。それ以上に管理者用のページは制限がありますが、ほとんどのビルドインのWebページには制限はなく、認証も必要としません。Ntopのウエブサーバ、あるいはWebページへのアクセスを制限したい場合はntop内に適当なユーザアカウントとアクセスコントロールを作成する必要があります。

このプロセスは、GroundWork Monitor のアプリケーションランチャーで ”Ntop” へのアクセス権を持つユーザを特定するプロセスとは別のものであることに留意してください。”Ntop” へのユーザアクセスの設定についての情報は管理者ドキュメント内の”ロールの設定”セクションを参照してください。

ユーザアカウントの管理

ntop のユーザアカウントを管理するために、スクリーン上にある”Admin” メニューへマウスを移動し、”Configure” サブメニューへ移動、”Web Users” の上でクリックをしてください(下記の URL リストから”Show Users” をクリックすることでアクセスコントロールからこのページへアクセスすることができます)。Ntop デーモンに対してまだ認証がされていない場合は認証を求めるダイアログボックスが表示されます。必要な情報を入力後、以下のように現在定義されたユーザをリストアップする画面が表示されます。:

Defined Users

新規ユーザアカウントを追加するためには、現在定義されているユーザアカウントのリストの下で”Add User” をクリックしてください。以下と同じようにアカウント名とパスワードを設定する画面が表示されます:

Add New User Account

フィールドに入力した後、アカウント作成を完成させるために”Add User” ボタンをクリックしてください。

ユーザアカウントを編集するためには、ユーザアカウントのメインページに戻り、編集するアカウントの横にある鉛筆のアイコンをクリックしてください。

.ユーザアカウントを削除するためにはアカウントページへ戻り、削除するアカウントの横にあるゴミ箱のアイコンをクリックしてください。このステップでは確認画面がでないことに注意してください。また、”admin”アカウントは削除できないことにも注意してください。

アクセスコントロールの管理

Ntop のアクセスコントロールはかなり基本的なもので、要求のあったURLに 対してフルアクセス、あるいはアクセス不許可であるユーザカウントであるかどうか基本パターンの一致を使用します。このモデルではアクセスコントロールは特定のWebページの要求に対して一致され、もし現在認証されているユーザがアクセスリストにあればアクセスが許可されます。もし未認証のユーザが現在認証されている場合アクセスは拒否されます。現在のセッションが認証されていない場合、ユーザはアクセスが許可される前に認証を行うよう求められます。

アクセスコントロールを管理するためにスクリーン上にある”Admin” メニューにマウスを動かし、”Configure” サブメニューに移動した後、”Protect URLs” をクリックしてください(アカウントリストの下にある ”Show URLs” をクリックするとユーザアカウントページからのページにアクセスが可能です)。もしntop デーモンに認証されていないのであれば認証を要求するダイアログボックスが表示されます。必要な情報を入力すると以下と同じように現在定義された画面が表示されます。:

Currently Defined URLs

新しいアクセスコントロールを作成するために、現在定義されているアクセスコントロールの下のリンク”Add URL” をクリックしてください。一致されるべきURLの特定とユーザにアクセスできるように、画面が以下のように表示されます:

New Access Control

URLストリングは常にホスト名とポート番号を含んでおり、ワイルドカード(上画面上の編集ボックスの後ろにある*のこと)で終わるので、比較をするためにディレクトリのストリングを特定することが可能です。 また、URLフィールドを空欄のままにすることでntopのwebサーバ全体にアクセス制限をかけることができます。これは要求に一致するアクセスコントロールの結果であるためです。

フィールドを入力後、ユーザアカウント作成を完成させるために”Add User”ボタンをクリックしてください。必要なだけこのプロセスを繰り返してください。

アクセスコントロールを変更するためにアクセスコントロールのメインページに戻って変更をしたい箇所の隣にある鉛筆のアイコンをクリックしてください。

アクセスコントロールを削除するためにはユーザアカウントページへ戻り、削除したいエントリの隣にあるゴミ箱のアイコンをクリックしてください。このステップでは確認画面はないので、注意してください。

ネットワーク監視の設定

初期設定では、ntopはネットワークトラフィックの収集目的のためローカルサーバのイーサネットインタフェースを使用するよう設定されています。しかしながら、現代のスイッチネットワークはそれぞれのスイッチポートへ送られるデータ量に制限があるので、このアプローチでは典型的にntopが始点となるトラフィックのキャプチャ、あるいはローカルサーバを行き先とするトラフィックのキャプチャのみ可能にします。これは管理者が特定のサーバに関連するネットワークアクティビティを監視したい場合のみ非常に適切ですが、全体のネットワークを監視したい際は不適切です。追加のトラフィックをキャプチャするためにはひとつ以上の技術を配置する必要があります。

管理者が手軽な低容量の機器を監視する必要がある場合、簡単な解決方法は、イーサネットハブのようなスイッチのない中程度のネットワークを使用することです。これらの機器は接続されたポートのすべてを通るすべてのフレームに対してブロードキャストを行います。それはつまりntopデーモンがネットワークのポーションをまたがって通信されるすべてのトラフィックをキャプチャすることが可能になります。しかしながら、利用可能な共有型の中程度ネットワークの利用可能な大域はスイッチネットワークと比べて少し制限があり、それはこのアプローチが大きくトラフィック量の多いネットワークに対しては実行できなくなります。

別のオプションは”ポートミラーリング”のあるスイッチやルータを使用することです。このアレンジメントでは、ネットワーク機器は選択されたネットワークトラフィックの複製をntop上の特定されたイーサネットインタフェースに送ります。しかしながら、このアプローチは拡張性の問題も持っています。複数のギガビットリンクをひとつのギガビットインタフェースにデータを失うことなく完全に複製することはできず、そのような大きなサイズのネットワークトラフィック処理に対するCPUの要求は非常に高くなり得ます。

大きなネットワークに対して、ntop は二つの”フロー監視”技術の使用をサポートしています。両方とも生データの代わりにサマリーデータを使用します。これらの技術の一つが”NetFlow”と呼ばれ、Cisco System が会計システムの使用のために開発したものですが、現在ではさまざまなルータのプラットフォームで利用可能です(小さな家庭用のルータでも可能です)。基本的に、NetFlowはコネクションが切断された際、それぞれのネットワーク接続についてのサマリーデータ、送信先と送信元アドレスの詳細情報手一驚、データ通信量などを生成します。このデータはntop自身がデータをサマリするために使用するデータに近いです。つまり直接のキャプチャと同じレベルは保障しませんが、大きなネットワークの詳細監視に適しています。

Ntopによってサポートされているもうひとつの技術は、sFlow と呼ばれ、大容量のイーサネットスイッチ用にInMon によって開発されましたが、現在は多くのネットワーク製品によって導入されています。NetFlow と違い、sFlow は個別の接続をサマリしませんが、代わりに全体像を得るため、特定のスイッチポート上で100パケットのうち1つをキャプチャする、というような”サンプル”を使用します。このアプローチは大容量なネットワーク上では非常に拡張性があり、管理者がネットワーク上のトラフィックに対して、必要な情報を得るだけの十分なデータを提供しますが、大量のトラフィックを無視するよう設計されているため、最低保障の技術でもあります。

これらの技術を1つ以上同時に使用することが望ましい場合もあります。たとえば、中規模のネットワークがローカルネットワークのスイッチ上のサンプルトラフィックを監視するためにsFlowを使用し、サーバ自身を含むローレベルなすべてのトラフィックを監視するために直接キャプチャを使用しながら、インターネットルータを通るトラフィックを監視するために、NetFlowを使用する、などです。この種類のアレンジが必要となったとき、ntopは管理者が異なるインタフェース間の切り替えとそれぞれのネットワーク監視情報の表示を別々に行えるようにします。

1つ以上のローカルインタフェース上でトラフィックをキャプチャしたい場合、ntop の管理者ページを使用してインタフェースを特定することが可能です。キャプチャするインタフェースを特定するために、画面上の”Admin”メニューにマウスを動かし、”Configure”サブメニューにマウスを動かし、”Startup Options” をクリックしてください。特定をするための基本的なキャプチャのオプションが可能な画面が、既知のローカルインタフェースが上の行に表示されている状態で表示されます。そこから、使用するインタフェースの有効/無効化が可能です。

ローカルキャプチャインタフェースに対する変更はntop デーモンが再起動されるまで、完全には認識されません。

NetFlow 監視を有効化するために画面上の ”Plugins” メニューにマウスを動かし、”NetFlow” にマウスを動かした後、”Activate” をクリックしてください。NetFlowプラグインの目的を述べる画面が ”Configure” カラムの下にある”NetFlow”のリンクとともに表示されます。新しいエントリを追加するために”Add NetFlow Device” ボタンをクリックすると、NetFlow のホスト、ポート番号や色々なオプションの特定ができる画面が新しく表示されます。

sFlow監視を有効化するためには、画面上の”Plugins” にマウスを動かし、”sFlow” へ移動し、”Activate” ボタンをクリックしてください。sFlow プラグインの目的を述べる画面が”Configure”カラムの下にある ”NetFlow” のリンクとともに表示されます。新しいエントリを追加ために”Add sFlow Device”ボタンをクリックすると、sFlow のホスト、ポート番号や色々なオプションの特定ができる画面が新しく表示されます。

複数のNetFlow とsFlowの ”interfaces” は別々に独自のポート番号を持つべきですが、それぞれに定義されることができることに留意してください。このように機能させる場合は、元のルータ・スイッチはntopサーバ上で適切なポート番号にフローデータを送信できるよう設定されている必要があります。

Ntop のスタートアップパラメータと、Ntop が利用できるリモートによるデータ収集技術の、より詳しい情報については、オンラインのntopドキュメントを参照してください。

Ntopの一般的なタスクの実行

概要で述べられたように、ntopは1つ以上のネットワークセグメントからトラフィックのキャプチャ、主要な属性と基点の分析、webインタフェースを通じで管理者が利用できるダイナミックデータベースに、要約されたデータを保存するためにさまざまなネットワーク技術を使用しています。広い意味では、ntopにあるデータはレポート生成の目的のため二つのカテゴリのうち一つに属します。1つは現在選択された監視インタフェースを通るトラフィックの概要についての情報、もう1つは特定のネットワーク上のトラフィックについての情報です。

表示されたデータは現在選択された監視インタフェースを反映していることを認識することが重要です。1つだけ、監視インタフェースが定義されている場合、あるいはローカルのキャプチャインタフェースが使われている場合はネットワーク全体の単一の”global”プールであり、機器特定のデータは監視インタフェース上で表示されるデータを表示するのみです。しかし、複数の監視インタフェースが定義されている場合、それぞれのインタフェースはそのネットワーク上のトラフィックを反映する独自の”global”サマリデータを持つことになり、ホスト特定のデータは選択されたネットワークを通るホストから表示されるトラフィックを反映します。

例えば、ntop がWeb サーバの Ethenet インタフェース、sFlow 経由のローカルEthernetスイッチ、NetFlow 経由のインターネットルータ上でトラフィックを監視するよう設定されていると、1つのホストでそれぞれのネットワーク上の複数のトラフィックプロファイルを簡単に持つことができるようになったり、ルータがリモートサイトのホストトラフィックのみを表示させる一方でサーバのキャプチャは2機器間のホストトラフィックのみを表示したり、スイッチが干すとトラフィックと監視対象の機器によって生成される他のローカルトラフィックの両方を表示したりすることができます。

異なった監視技術はそれぞれ別の方法で ntop にデータをレポートしますので、通常別のネットワークの別のサマリデータを表示します。

もっとも一般的なレポートの概要はこのセクションの残りで説明します。詳しい情報についてはntopの オンライン ntop ドキュメントを参照してください。

グローバルサマリデータ

グローバルサマリデータは定義された監視インタフェースに関連する情報を表示します。このデータを表示するために画面上の”Summary”にマウスを移動し、”Traffic”をクリックしてください。下図と同じような画面がページ上の”Global Traffic Statics”テーブルで表示されているグローバルサマリデータとともに表示されます:

Global Traffic Statistics

グローバルサマリテーブルの上部は、稼働中のすべての監視インタフェースを表示するサブテーブルです。このデータは機器名(Ethernetインタフェースに対するeth0、あるいは最初のNetFlow機器に対するNetFlow-device2など)を重要な特性とともに表示します。

次に、”Active End Nodes”行にはステーション数が現在稼動している監視対象のネットワークを現在通るセッションとともに表示されます。監視対象のネットワーク上のネットワークが接続・断絶すると、この数値は変化します。Active End Nodes行の隣にあるグラフのアイコンは、現在選択された監視インタフェースについてのいくつかの履歴の図表があるページへとリンクします。

複数のインタフェースが定義されていると、グローバルサマリテーブルはそれぞれのネットワーク上でキャプチャされたトラフィックの相対量を示す円グラフを表示します。

それぞれ稼動している監視インタフェースに対して、ntopのサマリページは監視インタフェースの拡張性により以下のデータのいくつか、あるいはすべてを表示します:

先に述べたように、複数の監視インタフェースが定義されていると、このページで報告されたデータは現在選択されたインタフェースのみを反映します。異なるインタフェースを表示する場合、画面上の”Admin”へマウスを移動し、”Switch NIC”をクリックし、表示したい監視インタフェースを選択してください。

ネットワーク負荷データ

ntopは、特定の監視インタフェース上で見られるトラフィックの全体を表示するあらかじめ用意されたグラフを提供します。つまり、ネットワーク上の全体の負荷を表示する方法を提供します。このデータを表示するために、画面上の”Summary”にマウスで移動し、”Network Load”をクリックしてください。下と同じような画面が過去10分、1時間、24時間、1ヶ月の4つの独立したグラフが表示されます:

Network Load Data

グラフの隣にある双眼鏡のアイコンをクリックすることで、変更が可能なタイムスケールで異なったグラフを表示することができます。

先に述べたように、複数の監視インタフェースが定義されていると、このページで報告されたデータは現在選択されたインタフェースのみを反映します。異なるインタフェースを表示する場合、画面上の”Admin”へマウスを移動し、”Switch NIC”をクリックし、表示したい監視インタフェースを選択してください。

デバイスサマリデータDevice Summary Data

Ntopレポートのほとんどは、現在選択された監視インタフェース上で検知されたホスト機器についての詳細を表示します。これらのレポートのいくつかは機器の地理的な一、それぞれの機器によって生成されるトラフィックの全体量やホストのネットワーク機器メーカーのようなハイレベルの情報を提示します。一方で他のレポートは特定の機器によって生成されるトラフィックの全体量や特定の機器によって生成されるアプリケーショントラフィック量のようなローレベルのレポートを提示します。

それぞれのホストに対してntopは、要求のあったいかなるデータに加えて、常に以下の情報を表示します:

また、Ntopは自動的に可能性のある問題を検知されたアクティビティに基づき、ハイライトします。例えば、収集された情報は管理者が特定のノードがリモートネットワークに対して多くのリクエストをしているかどうか、あるいは時間の使用率が通常通りではないかどうかなどを特定することをサポートするために使用されますが、ntopは多数の兆候の中で、危険があるかも知れないホストを表示する接続要求過というような疑わしいアクティビティに対して自動的にフラグを立てます。

複数の監視インタフェースが定義されていると、このページで報告されたデータは現在選択されたインタフェースのみを反映します。異なるインタフェースを表示する場合、画面上の”Admin”へマウスを移動し、”Switch NIC”をクリックし、表示したい監視インタフェースを選択してください。 

検知されたホストについてのハイレベルなサマリ情報を表示するには、画面上の”Summary”にマウスを動かし、”Hosts”をクリックしてください。新しい画面が現在選択された監視インタフェース上で検知されたホストのリストともに表示されます。 それぞれの検知された機器に対してホストサマリは、監視インタフェースの拡張性により以下のデータのいくつか、あるいはすべてを表示します:

リンクのついたテーブルの1つをクリックすることで、カラムに対して値の高低によるデータのソートができます。もう一度クリックすると、逆の順番でソートされます。

複数の監視インタフェースが定義されていると、このページで報告されたデータは現在選択されたインタフェースのみを反映します。異なるインタフェースを表示する場合、画面上の”Admin”へマウスを移動し、”Switch NIC”をクリックし、表示したい監視インタフェースを選択してください。 

ホスト詳細データ

特定の機器のローレベルな詳細データを表示するために、機器の基本認識情報が表示されているところをクリックしてください。以下と同じような画面が、現在選択されている監視いたフェース上で検出されてホスト機器のいくつかの状態を表示する複数のテーブルとともに表示されます:

Host Detail Data

それぞれの検出された機器に対して、ホストサマリは監視インタフェースの拡張性に応じて以下のいくつか、あるいはすべてのデータを表示します:

複数の監視インタフェースが定義されていると、このページで報告されたデータは現在選択されたインタフェースのみを反映します。異なるインタフェースを表示する場合、画面上の”Admin”へマウスを移動し、”Switch NIC”をクリックし、表示したい監視インタフェースを選択してください。

ホスト機器別ネットワーク負荷

既知のホスト機器に対してネットワークの稼動レベルを表示するために、画面上の”All Protocols”へマウスを移動し、”Throughput”をクリックしてください。現在選択された監視いたフェース上で検出されたホスト機器のリストを持つテーブルとともに新しい画面が表示されます。それぞれの検出された機器に対してネットワーク負荷サマリのページは監視インタフェースの拡張性に応じて下記のデータのいくつか、あるいはすべてを表示します。:

リンクのついたテーブルの1つをクリックすることで、カラムに対して値の高低によるデータのソートができます。もう一度クリックすると、逆の順番でソートされます。

複数の監視インタフェースが定義されていると、このページで報告されたデータは現在選択されたインタフェースのみを反映します。異なるインタフェースを表示する場合、画面上の”Admin”へマウスを移動し、”Switch NIC”をクリックし、表示したい監視インタフェースを選択してください。

ホスト別によるアプリケーショントラフィック

既知のホスト機器に対するアプリケーショントラフィックを表示するために画面上の”IP”、”Summary”へマウスを移動し、”Traffic”をクリックしてください。現在選択された監視インタフェース上で検出されたホストのリストをもつテーブルとともに新しい画面が表示されます。検出された機器に対して、アプリケーショントラフィックサマリページは監視インタフェースの拡張性に応じて、いくつかあるいは全ての以下のデータを表示します。:

リンクのついたテーブルの1つをクリックすることでカラムに対して値の高低によるデータのソートができます。もう一度クリックすると、逆の順番でソートされます。

複数の監視インタフェースが定義されていると、このページで報告されたデータは現在選択されたインタフェースのみを反映します。異なるインタフェースを表示する場合、画面上の”Admin”へマウスを移動し、”Switch NIC”をクリックし、表示したい監視インタフェースを選択してください。

ntopデータとGroundWork Monitorの統合

現在、GroundWork NMSのntopパッケージはntopとGroundWorkデータベースの間でデータを自動的に交換するツールを含んでいません。しかし、ntopは色々なメカニズムを通していくつかのデータを手動でエクスポートすることをサポートし、このプロセスのいくつかの部分を自動化するツールを開発するのに適しています。同じようにntopがグラフ化のために使用するダイナミックのrrdファイルはGroundWork Monitorのレポーティングツールのいくつかに統合されます。

Ntopのデータベースとエクスポートのフォーマットについての詳細な情報については、オンライン ntop ドキュメントを参照してください。