虹科分享 | 如何通過ntopng流量規則來監控網絡流量

讓我們假設您有一個網絡，其中本地主機生成恒定數量的流量。你如何發現他們是否行為錯誤？碰巧，一些本地主機行為開始異常，與它們之前相比，有一個異常的流量(發送或接收)：您如何發現這些情況并通過警報報告它們。

這就是我們創建本地流量規則頁面的原因:用戶現在可以為一些(或所有)本地主機定義自定義卷/吞吐量閾值。您還可以設置分數和應用協議的閾值。)。

例如，如果網絡中有一臺DNS服務器，可以對該主機進行關于DNS流量的檢查：如果主機的DNS流量超過1 GB/天，請提醒我。

閾值是如何設置的

在本地流量規則（Load Traffic Rules）

在這里，可以為您想要的每個本地主機或接口設置您喜歡的規則。

該規則由以下部分組成：

?  目標(監控對象)

?  類型(主機或接口)

?  指標(受監控的內容)

?  檢查頻率(監控頻率)

?  閾值(閾值不能超過上限/下限)
(相反，在操作列中，可以編輯/刪除規則)。

通過單擊表搜索欄旁邊的‘+’圖標，可以添加新規則。

在這里可以執行以下操作：

?  設置規則類型

?  添加目標(我們正在監視的內容)

?  選擇受監視的指標：流量、分數和所有應用程序協議(例如，DNS、HTTP、SMTP、…)

?  設置檢查頻率：每五分鐘、每小時或每天一次

?  指定閾值，可以用容量(例如1 GB)、吞吐量(例如1 Gbps)或百分比(例如+20%，表示當前值不能超過上次檢查期間度量值的20%)進行測量

因此，現在是時候監控您的主機和接口，并確保它們不會有不當行為。

聯系我們

 掃碼加入虹科網絡安全交流群或微信公眾號，及時獲取更多技術干貨/應用案例。