虹科分享 | 如何通过ntopng流量规则来监控网络流量

让我们假设您有一个网络，其中本地主机生成恒定数量的流量。你如何发现他们是否行为错误？碰巧，一些本地主机行为开始异常，与它们之前相比，有一个异常的流量(发送或接收)：您如何发现这些情况并通过警报报告它们。

这就是我们创建本地流量规则页面的原因:用户现在可以为一些(或所有)本地主机定义自定义卷/吞吐量阈值。您还可以设置分数和应用协议的阈值。)。

例如，如果网络中有一台DNS服务器，可以对该主机进行关于DNS流量的检查：如果主机的DNS流量超过1 GB/天，请提醒我。

阈值是如何设置的

在本地流量规则（Load Traffic Rules）

 在这里，可以为您想要的每个本地主机或接口设置您喜欢的规则。

 该规则由以下部分组成：

• 目标(监控对象)
• 类型(主机或接口)
• 指标(受监控的内容)
• 检查频率(监控频率)
• 阈值(阈值不能超过上限/下限)
  (相反，在操作列中，可以编辑/删除规则)。

通过单击表搜索栏旁边的‘+’图标，可以添加新规则。

 在这里可以执行以下操作：

• 设置规则类型
• 添加目标(我们正在监视的内容)
• 选择受监视的指标：流量、分数和所有应用程序协议(例如，DNS、HTTP、SMTP、…)
• 设置检查频率：每五分钟、每小时或每天一次
• 指定阈值，可以用容量(例如1 GB)、吞吐量(例如1 Gbps)或百分比(例如+20%，表示当前值不能超过上次检查期间度量值的20%)进行测量

因此，现在是时候监控您的主机和接口，并确保它们不会有不当行为。

- 联系我们 -

 扫码加入”虹科网络安全交流群“或关注”虹科网络安全“微信公众号，获取更多技术干货/应用案例。