Установка и настройка ntop для получения статистики с MikroTik

В данной статье я поведую Вам о применении анализатора трафика ntop для анализа\сбора трафика с маршрутизаторов MikroTik (netflow пакеты). Безусловно, можно  установить более красивый ManageEngine NetFlow Analyzer, но он стоит не таких уж малых денег, поэтому, обойдемся пока что ntop’ом. Итак, в моем случае я буду настраивать все на VPS (на Debian 7.6), к которой мы подключимся и перейдем к настройке.

Надеюсь в Вашем sources.list прописаны верные репозитарии и сразу после ввода команды ntop установиться:

apt-get install ntop

Далее в процессе установки ntop запросит интерфейс, который ему необходимо слушать, если Вы затрудняетесь с ответом — дублируем ssh сессию и вводим ifconfig, в моем случае я буду слушать интерфейс eth0 :

1

 

После ввода вручную eth0 в установке ntop’а, нам будет предложено ввести пароль администратора — что-нибудь придумываем и вводим, затем повторяем то что придумали. После этого можем смело в строке браузера ввести http://наш_ip_адрес_или_домен:3000 (по умолчанию ntop сидит на 3000 порту), давайте сразу же его сменим дабы не было дум, о, несанкционированном доступе, для этого Admin -> Configure -> Startup Options:

2

Далее вводим наш логин (admin) и придуманный выше пароль.

После этого меняем порт HTTP Servera на какой-нибудь «левый» , в моем случае 13013, а так же сразу ставим крыжик, чтобы ntop у нас запускался как демон:

3

Все наши настройки применяться лишь после перезагрузки ntop’a, если «горит» , то можем сразу ввести в консоле

cd /etc/init,d

./ntop restart

после перезапуска ntop у нас будет уже на другом порту (указанном выше). В плагинах, активируем NetFlow :

4

После чего перейдем к конфигурации:

5

Далее, сначала указываем имя нашего Device, в моем случае пусть это будет Mikrotik-Ekaterinburg, номер порта-коллектора на который будут приходить netflow пакеты (в моем случае, как всегда, не стандартный порт — 3011), и ниже ip/маска локального интерфейса, чтобы ntop мог понимать где локальный трафик где внешний. Формат работы такой — сначала пишем, потом нажимаем на кнопку (как показано на стрелке)

6

После этого, идем в наш MikroTik, подключаясь через winbox, и выбираем IP — Traffic Flow:

7

В вкладке «General» ставим галку «Enabled» для включение отправки пакетов, затем ниже выбираем интересующий для мониторинга нам интерфейс, тут, впрниципе можно ограничиться только внешним интерфейсом или только локальным, дабы более понятная была статистика ntop’а, но, я не ищу легких путей и выбираю «all» :

8

Далее, жмем кнопку Targets и там указываем ip и порт нашего коллектора netflow пакетов у ntop’а, версию пакетов я выбираю 5:

9

Нажимаем кнопку OK. После этого данные должны идти к ntop’у, это можно увидеть через некоторое время на той же странице настройки netflow пакетов в ntop’е снизу:

10

Теперь переключим сетевой интерфейс с текущего на новый нами созданный:

11

Все, теперь у нас есть полная статистика, к примеру посмотрим загрузку сети за последний час:

12

 

 

Так же, можно посмотреть статистику по трафику — All Protocols -> Traffic:

14

 

Тут же можно нажать на интересующий нас ip адрес и посмотреть более детальную сттистику по интересующему нас ip адресу, более по анализу трафика писать не буду, тут разберетесь сами — все что интересно Вам посмотрите :)

 

Далее, закроем все страницы ntop’а от «лишних глаз» , для этого перейдем в пункт Admin -> Configure -> Protect URL’s и после этого нажмем на Add URL:

12

 

 

Тут ничего не вводим и просто нажимаем кнопку Add URL, чтобы все наши страницы можно было открыть только от админа

13

 

Так же, по аналогии добавите и другой MikroTik либо другое оборудование позволяющее скидывать netflow трафик (например Cisco — посути это и есть их фича)

comments powered by HyperComments