Netzwerke mit Ntop überwachen

Wie viele Daten durch welche Leitung laufen ist mit MRTG[1] und anderen Tools gut zu erkennen (siehe Linux-Magazin 9/02). Das ist aber nur der Anfang, den Admin interessieren tiefere Zusammenhänge:

• Welcher Arbeitsplatz verursacht wie viel Netzverkehr?
• Wie viel Prozent davon sind durch E-Mails verursacht?
• Auf welchen Arbeitsplätzen läuft Software wie Morpheus oder Audiogalaxy?

Ntop[2] findet Antworten auf solche Fragen. Das mächtige Werkzeug überwacht das Netzwerk und wertet die Daten grafisch aus, und zwar aufgeschlüsselt nach vielen Krite- rien. Ursprünglich von Luca Deri geschrieben entwickeln inzwischen mehrere Programmierer Ntop.

Der Sourcecode ist als Tar-Paket oder via anonymem CVS erhältlich. Fertig kompilierte Pakete gibt es bei allen größeren Linux-Distributionen sowie auf der Sourceforge-Seite[3]. Auch Linux-Abtrünnige profitieren von Ntop: Es gibt fertige Binaries für Mac OS und Windows.

Installation

Die Installation ist mit den vorkompilierten Paketen leicht zu bewerkstelligen. Wer lieber selbst übersetzt, muss mit den mitgelieferten Bibliotheken beginnen. Das Shellskript »buildAll.sh« im Verzeichnis »gdchart0.94c« erledigt die Arbeit automatisch. Anschließend genügt der gewohnte Dreisatz:

./configure
make
make install

Die genauen Installationsverzeichnisse variieren je nach Linux-Distribution ein wenig. Das Debian-Paket[4] ist am bequemsten: »debconf« fragt die Parameter interaktiv ab. Die folgenden Beispiele beziehen sich allerdings auf Red Hat 7.x - dort ist Handarbeit angesagt.

Vor dem ersten Start setzt der Admin das Passwort mit folgendem Kommando:

ntop -P /usr/share/ntop --set-admin-password=Geheim

Bei älteren Versionen ist diese Option noch nicht vorhanden. Dort lautet das Admin-Passwort per Default »admin«, genauso wie der Account.

Die mitgelieferten RC-Skripte können Ntop nach einem Reboot automatisch starten. Ohne Wechsel des Runlevels lässt sich das auch manuell erledigen: »service ntop start«. Jetzt kann sich der Admin mit einem Browser zu Port 3000 verbinden und beobachten, was alles in seinem Netzwerk passiert.

Web-Oberfläche

Ntop bietet eine Fülle von Statistiken und Auswertungen des Datenverkehrs. Es analysiert nicht nur den Anteil, den der eigene Host verursacht, sondern den gesamten Verkehr, der an seinem Netzsegment sichtbar ist. Über Netflow- und sFlow-Streams (dazu später mehr) wertet Ntop sogar Datenströme in entfernten Segmenten aus.

Das Menü der Web-Oberfläche ist zweigeteilt (siehe Abbildung 1): Am oberen Rand befindet sich das Hauptmenü, im linken Frame das aktive Untermenü. Im »About«-Menü sind Informationen zu Ntop zu finden, inklusive der Manpage. Hier verbirgt sich auch eine Konfigurationsseite: Die Konfiguration lässt sich damit zwar nicht ändern, aber die Seite zeigt alle aktuellen Parameter.

In den Menüs »Data Rcvd« und »Data Sent« sind Statistiken und Auswertungen darüber zu finden, welchen Verkehr die einzelnen Hosts verursacht haben. Dabei sind die Richtungen (Senden und Empfangen) getrennt aufgeführt. Im Untermenü »All Protocols« sind die Daten nach IP-Protokollen aufgeteilt, etwa TCP, UDP, ICMP, IPX, Decnet, ARP, Appletalk, OSPF, Netbios oder IGMP. Das Untermenü »TCP/UDP« enthält zum Beispiel FTP, HTTP, DNS, Telnet, Mail, DHCP, BOOTP oder SNMP (siehe Abbildung 2). Die Tabellen lassen sich nach verschiedenen Kriterien auf- und absteigend sortieren - ein Klick auf eine Spaltenüberschrift genügt.

Das Untermenü »Throughput« gibt den Durchsatz der einzelnen Hosts an, jeweils den aktuellen Wert, den Durchschnitt und das Maximum der Datenmenge und der Paketzahl. »Host Activity« gibt einen schnellen Überblick, wann welcher Host am meisten Verkehr verursacht hat.

Abbildung 1: Den zeitlichen Verlauf der Netzlast grafisch darstellen ist eine Grundfunktion von Ntop.