NicoLargo le 27/01/10 |
Catégories:
Open-source, Réseau | Tags:ipfix,netflow,ntop,réseau,snmp,supervision
Actions:
12 
| 
NTop est un outil libre (licence GPL) de supervision réseau permettant d'afficher en temps réel les informations collectées dans une interface Web. Pour effectuer cette collecte, NTop se base sur la librairie libpcap (du projet TCPDump) pour capturer les flux transitant sur les interfaces réseau de la machine ou est installé le logiciel. Les dernières versions de NTop permettent également de collecter des informations venant de machines distantes grâce aux protocoles SNMP et Netflow/IPfix. C'est sur ce dernier point que nous allons nous focaliser dans ce billet.
Un peu d'histoire
Ntop a été conçu par Stephano Suin et Luca Deri pour analyser les problèmes de performances qu’ils rencontraient sur le réseau du campus de l’université de Pise. Ce dernier est toujours dans l'équipe de développement. Après avoir rencontré quelques petits problèmes de sécurité, le projet Ntop semble reparti sur une belle dynamique avec notamment la mise en place d'un système de plugin permettant d'ajouter de nouvelles fonctionnalités au logiciel.
Installation de Ntop
On commence par installer ntop sur sa distribution GNU/Linux (exemple donnée pour distribution Ubuntu 9.04).
sudo aptitude install ntop
Le processus ntop utilisate le compte ntop (ou nobody selon les distribution), il faut donc penser à changer les droits du répertoire suivant avant de lancer ntop.
sudo chmod -R 777 /var/lib/ntop
On configure ensuite Ntop en éditant le fichier /var/lib/ntop/init.cfg:
sudo vi /var/lib/ntop/init.cfg USER="ntop" INTERFACES="eth0"
On configure le mot de passe du compte admin (pour l'accès à l'interface Web):
sudo /etc/init.d/ntop stop sudo ntop -A "motdepassepouradmin"
Lancement de Ntop
On lance ensuite Ntop:
sudo /etc/init.d/ntop start
Par défaut l'interface Web de Ntop est lancé sur le port 3000. Il faut donc lancer un navigateur Web sur l'URL suivante: http://adresse-serveur:3000 ou adresse-serveur est l'adresse IP de la machine ou est installé Ntop.
Vous pouvez alors voir les statistiques réseau de votre interface Ethernet mais on peut aller bien plus loin avec Ntop...
Configuration de Ntop en collecteur Netflow/IPFix
Par défaut, Ntop surveille pour vous l'interface réseau de la machine sur lequel il est installé. Pour éviter d'avoir à installer plusieurs Ntop sur chacune des machines à superviser, vous pouvez utiliser le protocole Netflow qui va envoyer les mesures vers un collecteur central ou sera installé Ntop. Pour celà nous allons utiliser le plugin Netflow de Ntop.
On doit d'abord activer le plugin Netflow en se rendant dans le menu Plugins / Netflow / Active.
On ajoute ensuite une sonde Netflow à collecter en allant dans le menu Plugins / Netflow / Configure. Par exemple pour ajouter la sonde hébergée sur la machine al-firewall1(plage d'adresse IP 192.168.254.0/255.255.255.248, interface supervisée: em0) envoyant les mesures Netflow sur le port UDP/9990, il faut saisir les champs suivants:
On peut ensuite vérifier que les mesures sont bien remontées à Ntop en se rendant dans le menu Plugins / Netflow / Statistics:
Enfin pour voir les statistiques de cette interface Netflow (par défaut Ntop affiche les stats de l'interface par défaut de la machine), il faut se rendre dans le menu Admin / Switch NIC et sélectionner l'interface Netflow:
On peut alors facilement consulter les statistiques de cette machine à distance, comme la distribution protocolaire:
ou le débit réseau:
Si comme moi vous aviez laissé Ntop de coté, je pense qu'il est grand temps de lui donner une seconde chance !
Abonnez-vous gratuitement à ce blog (RSS, ATOM, Mail ou Twitter).
Réagissez à ce billet en laissant
un commentaire ou écrivant sur le forum
12 commentaires au billet “Ntop et la supervision réseau via Netflow/IPFix”
raaa je viens de finir de bien configurer VNstat pour avoir de beaux graphiques et tcpdump pour analyser mon bridge et tu proposes une solution plus complète! bon bah...je vais tester
sudo chmod -R 777 /var/lib/ntop
Hum, pas terrible ça...
Ajouter l'utilisateur au groupe ntop c'est quand même plus propre
Merci pour ce très bon article.
"grâce aux protocoles SNMP et Netflow/IPfix et SNMP."
Il n'y a pas un SNMP de trop ?
Joli tuto et en plus en phase avec ce que je fais actuellement chez un client.
Y a très certainement un dossier nagios-fr que l'on va faire sur Ntop je mettrais ton lien dessus Nico, chapeau franchement ça tombe super pile poils
@Romuald: les grands esprits se rencontrent ! Il faut absolument que l'on prenne le temps de synchroniser nos forums pour que je passe la section Nagios vers le forum de Nagios-fr (je ne m'en occupe plus du tout faute de temps...).
@Halfr: exact et corrigé ! thx
No souci pour la partie forum, ça serait un grand bon pour la communauté Francophone et de mettre nos travaux en commun, je pense que de rallier une majorité d'acteurs communautaires sera plus qu'une bonne chose pour peser lourd dans le monde de l'éxosystème de supervison Open source
[...] This post was mentioned on Twitter by Nicolas Hennion, Planet-Libre. Planet-Libre said: Nicolargo : Ntop et la supervision réseau via Netflow/IPFix: NTop est un outil libre (licence GPL) de supervision ... http://bit.ly/b1M2Z4 [...]
Bonjour,
Ntop revient un peu sur le devant de la scène en matière de supervision mais ne vaut le coup si le réseau n'est pas trop ramifié. En utilisant Netflow via Ntop sur une machine distante de l'ensemble du réseau, il y a génération d'un volume de données assez important qui transite et risque d'encombrer les utilisateurs inutilement.
Mais c'est vrai que c'est assez complet...
Salut! je suis en stage pour mon BTS et l'entreprise me demande de superviser le trafic de leur réseau. J'ai donc installé Cacti et intégré Ntop. Mais ensuite pour la partie plugin sFlow j'ai un soucis et ça fais plusieurs jours que je cherche et toujours pas de solutions
En fait, j'ai activé sflow sur le port 48 d'un switch HP procurve et j'ai ensuite, sur Ntop, créé un "sFlow Device" avec les données :
sFlow Device = "name du switch-eth48"
Local Collector UDP Port = "6343"
Virtual sFlow Interface Network Address = "IP du switch/24".
Ensuite je switch d'interface mais rien ne s'affiche ...
Merci d'avance pour votre aide ...
@yoan: je n'ai jamais testé la supervision sFlow mais si cela fonctionne sur le même principe que Netflow, il faut, dans la configuration de ton switch préciser l'adresse IP de ton collecteur sFlow (c'est à dire l'adresse Ip de ta machine qui héberge to Ntop). Si c'est le cas, il faut vérifier que tu recois bien les paquets UDP (port 6343), pour cela un petit tcpdump fera l'affaire:
# tcpdump udp and port 6343
Si, après quelques minutes, tu ne recois pas de paquets, c'est qu'il y a un système de filtrage (firewall) entre ton switch et ta machien nTop...
Voili, bonne chasse !
Merci! A mon avis j'ai des configurations du switch à faire pq je ne reçois pas de paquets et je n'ai aucun firewall!
Merci à toi pour ces infos...
Salut yoan, si tu veux être bien sur de recevoir des paquets, lance Wireshark et filtre les données par adresse ip. (Tu mets l'adresse IP de ton switch). Et si tu vois quelque chose, c'est que le switch envoie les paquets.
Publier un commentaire
Utiliser
pour lier des documents à vos commentaires.
Pour des discutions techniques, merci d'utiliser le forum.