1. Introduzione
Checkmk fornisce molte funzioni di base per il monitoraggio della tua infrastruttura di rete e fornisce le metriche associate, come la larghezza di banda, il tasso di pacchetti o il tasso di errore. Permette inoltre di monitorare lo stato e la velocità delle interfacce di rete e dei threshold.
Fin qui tutto bene, ma che dire delle seguenti domande: chi sta comunicando con i tuoi host? Quali porte dei tuoi host vengono utilizzate? Chi parla più spesso, cioè chi sono i cosiddetti "top talker"? Quali applicazioni vengono utilizzate nella rete? La mia rete sta funzionando bene e dove sono gli eventuali colli di bottiglia? Ci sono minacce, ad esempio da attacchi DDoS (Distributed Denial of Service)?
Per rispondere a queste e altre domande, è necessaria un'analisi approfondita della rete, che Checkmk da solo non è in grado di fare. In questo caso, è necessaria un'analisi dei flussi di rete, cioè delle numerose relazioni di comunicazione che avvengono simultaneamente nella rete. Un flusso di rete è definito dalla sorgente e dalla destinazione (ciascuna determinata dall'indirizzo IP e dalla porta) e dal protocollo utilizzato.
Invece di aggiungere a Checkmk le funzioni per il monitoraggio approfondito della rete, reinventando così la ruota, esiste una soluzione più elegante: l'integrazione di ntopng in Checkmk. L'integrazione di ntopng è un componente aggiuntivo disponibile per le edizioni commerciali di Checkmk.
ntopng è un software potente ed efficiente dal punto di vista delle risorse per il monitoraggio e l'analisi del traffico di rete in tempo reale e dei dati del passato, in modo da fornire le risposte alle domande poste in precedenza. ntopng è il nucleo di monitoraggio del traffico di rete open source dell'azienda ntop. In una soluzione ntop, i dati vengono solitamente raccolti dai dispositivi di rete tramite moduli software speciali(nProbe) e inoltrati a ntopng per l'analisi.
ntopng è correlato a Checkmk in più di un modo: proviene dal mondo open source ed è radicato in esso. ntopng è disponibile in una versione gratuita "Community" e in diverse versioni commerciali estese "Professional" ed "Enterprise". L'interfaccia utente è basata sul web e fornisce le informazioni in visualizzazioni e dashboard. È possibile creare più utenti e a ciascun utente può essere assegnato un ruolo. Sono supportate le notifiche basate su soglie. Infine, i dati possono essere prelevati da ntopng tramite l'API REST di Checkmk.
L'interazione dei prodotti coinvolti è illustrata nella seguente figura:
L'integrazione di ntopng estende quindi l'ambito funzionale di Checkmk di due punti importanti: il monitoraggio del flusso di dati di rete e l'analisi approfondita del traffico di rete.
In questo contesto, l'integrazione significa concretamente quanto segue:
Checkmk e ntopng sono installati e configurati come sistemi indipendenti su server diversi. Si raccomanda di non eseguire Checkmk e ntopng sullo stesso server.
Viene stabilita una connessione tra il server Checkmk e il server ntopng. Qui Checkmk comunica con ntopng tramite la sua API REST. I parametri della connessione vengono utilizzati per decidere quali dati vengono recuperati da ntopng. L'assegnazione avviene tramite gli account utente disponibili di entrambi i sistemi.
Le informazioni provenienti da ntopng vengono visualizzate nell'interfaccia utente di Checkmk, da un lato attraverso nuove dashboard in cui le informazioni di ntopng vengono preparate per gli utenti di Checkmk, dall'altro i dati di ntopng possono essere integrati nelle visualizzazioni e nelle dashboard di Checkmk esistenti.
 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
2. Connessione a ntopng
Per utilizzare l'integrazione di ntopng in Checkmk, devi disporre di una delle edizioni commerciali di Checkmk con il componente aggiuntivo per l'integrazione di ntopng e di un ntopng in versione Professional o Enterprise >= 5.6, con un'API REST v2 attraverso la quale Checkmk e ntopng comunicano.
Per prima cosa raccogli le seguenti informazioni sul sistema di destinazione ntopng che vuoi collegare a Checkmk. Devi inserire queste informazioni in Checkmk come parametri di connessione ntopng:
| Parametro | Descrizione |
|---|---|
Nome host |
Il nome o l'indirizzo IP (Host Address) del server ntopng. |
Numero di porta |
Il numero della porta TCP (Port number), attraverso la quale è possibile raggiungere ntopng. La porta viene specificata all'avvio di ntopng. Il valore predefinito è |
Protocollo |
|
Account utente per l'autenticazione |
Nome e password di un account utente del gruppo di utenti ntopng "Administrator" (ntopng Admin User). Checkmk si autentica con il server Checkmk utilizzando queste credenziali tramite l'API REST. A proposito, l'account utente predefinito di ntopng si chiama |
In Checkmk, inizia a inserire i parametri di connessione di ntopng nel menu Setup > General > Global settings > Ntopng (chargeable add-on) > Ntopng Connection Parameters (chargeable add-on):
Avrai già ottenuto la maggior parte dei valori dei parametri richiesti e potrai quindi prenderli dalla tabella qui sopra. Dobbiamo solo dare un'occhiata più da vicino a uno dei parametri di connessione: ntopng username to aquire data for. Questo determina chi può vedere quali dati di ntopng in Checkmk. Gli account utente con cui Checkmk si autentica con ntopng e con cui Checkmk recupera i dati da ntopng sono definiti in modo diverso. Spieghiamo le scelte e le differenze che ne derivano nel recupero dei dati nelle due sezioni seguenti.
 |
Le voci relative alla connessione a ntopng non vengono controllate per verificarne la validità al momento del salvataggio. Non riceverai messaggi di errore per valori non validi fino a quando non verranno visualizzate le informazioni su ntopng. Con il primo parametro della connessione a ntopng Enable this ntopng instance puoi disattivare la connessione a ntopng, ad esempio se il server ntopng è temporaneamente non disponibile. |
2.1. Assegnazioni fisse di utenti Checkmk e ntopng con lo stesso nome
La soluzione più semplice è quella di dare a un utente Checkmk l'accesso alle informazioni che vede in ntopng con lo stesso nome utente.
Per fare ciò, seleziona il valore Use the Checkmk username as ntopng user name per il parametro ntopng username to aquire data for. Checkmk utilizzerà quindi il nome utente Checkmk corrente e recupererà i dati da ntopng con quel nome.
Affinché il recupero dei dati avvenga tramite questa assegnazione, deve esistere almeno un account utente con lo stesso nome sia in Checkmk che in ntopng. A prescindere da come la pensi, probabilmente sarà necessario cambiare i nomi degli utenti in Checkmk, ntopng o addirittura in entrambi i sistemi. Come creare o cambiare un nome utente in Checkmk è spiegato nell'articolo sull'amministrazione degli utenti.
Dopo aver attivato le modifiche, tutti gli utenti di Checkmk vedranno i cambiamenti dell'interfaccia utente di ntopng come descritto nel capitolo sulla visualizzazione delle informazioni di ntopng, ad esempio l'estensione del menu Monitor. Tuttavia, i dati di ntopng saranno visibili solo agli utenti di Checkmk che hanno un account utente sulla controparte di ntopng. Gli altri utenti di Checkmk potranno aprire le pagine specifiche di ntopng, ma riceveranno solo pagine vuote o un messaggio di errore che indica che i dati di login non sono validi.
Questa è l'opzione più semplice, ma anche poco flessibile.
2.2. Assegnazione flessibile degli utenti Checkmk agli utenti ntopng
Checkmk e ntopng hanno concetti simili nell'amministrazione degli utenti: entrambi i sistemi possono avere più utenti e a ogni utente viene assegnato un ruolo. In Checkmk questi ruoli sono chiamati, tra gli altri, "Amministratore", "Utente normale di monitoraggio" e "Utente ospite", mentre ntopng ha i ruoli di "Amministratore" e "Utente non privilegiato". Questi ruoli assegnati vengono utilizzati, tra le altre funzioni, per decidere a quali informazioni un utente può accedere.
Invece della rigida assegnazione 1:1 descritta sopra, hai la possibilità di decidere per ogni utente di Checkmk se vuoi fornirgli i dati di ntopng e, in caso affermativo, da quale utente di ntopng deve riceverli.
Poiché agli utenti vengono assegnati ruoli diversi in entrambi i sistemi, puoi controllare in modo molto preciso quali contenuti ntopng possono essere visualizzati in Checkmk, ad esempio in questo modo: non assegnare un utente ntopng a un "utente ospite" di Checkmk che non è interessato al traffico di rete, quindi le estensioni dell'interfaccia di Checkmk specifiche per ntopng sono nascoste per questo utente. Ad esempio, assegna un utente ntopng "Utente non privilegiato" a un utente Checkmk "Monitoraggio normale" e a un apprendista della rete, oppure assegna un utente ntopng "Amministratore" a un utente Checkmk "Amministratore" ed esperto della rete.
La procedura per le assegnazioni flessibili è la seguente:
In Ntopng Connection Parameters (chargeable add-on) seleziona per ntopng user name to aquire data for il valore Use the ntopng username as configured in the User settings.
Dopo aver salvato le impostazioni della connessione ntopng, nelle impostazioni di ogni utente (Setup > Users > Users) apparirà un nuovo campo sotto Identity, ad esempio, come mostrato di seguito per l'utente cmkadmin:
Nel campo ntopng Username, inserisci il nome dell'utente ntopng le cui informazioni devono essere visualizzate all'utente Checkmk corrente. Se questo campo viene lasciato vuoto (come impostazione predefinita), le estensioni specifiche di ntopng dell'interfaccia Checkmk vengono nascoste all'utente Checkmk. Infine, attiva le modifiche.
3. Visualizzare le informazioni di ntopng
Una volta soddisfatti i requisiti descritti nel capitolo Connessione a ntopng, ora potrai accedere ai dati di ntopng in Checkmk. Per fare ciò, effettua il log in a Checkmk con un account utente assegnato a un account utente di ntopng.
Di seguito trovi una panoramica su dove e come puoi accedere alle informazioni ntopng nell'interfaccia utente di Checkmk.
3.1. Statistiche di rete nel menu Monitor
Il cambiamento più evidente si trova nel menu Monitor, che contiene il nuovo tema Network statistics con voci per diversi dashboard con dati ntopng, che introdurremo nelle sezioni successive.
Ma prima passiamo alle informazioni che puoi recuperare sugli host ntopng in Checkmk.
3.2. Visualizzazioni con host ntopng
Checkmk e ntopng non gestiscono solo i loro utenti in modo indipendente, ma anche i loro host. Tuttavia, se un host di Checkmk è configurato anche in ntopng, puoi visualizzare le informazioni specifiche di questo host.
In ogni visualizzazione dell'host, puoi utilizzare il filtro Ntopng Host per creare una visualizzazione degli host presenti sia in Checkmk che in ntopng - in questo modo: nella visualizzazione dell'host (ad esempio All hosts), clicca su Filter nella barra delle azioni per aprire la barra dei filtri. Nella barra dei filtri, clicca prima su Add filter per visualizzare i filtri disponibili e poi su per visualizzare tutti i filtri. Seleziona il filtro Ntopng Host dall'elenco, impostalo su yes e attivalo con Apply filters.
La visualizzazione mostrerà solo gli host presenti sia in Checkmk che in ntopng:
Nell'esempio precedente, ci sono due host in comune. Un host ntopng mostra la voce Ntop integration of this host nel menu azione.
3.3. Statistiche di rete per un host
Per un host ntopng, clicca sulla voce di menu azione Ntop integration of this host e otterrai la pagina Network statistics and flows specifica dell'host:
La prima riga mostra un riepilogo di tutti gli host impostati in ntopng, con il numero di avvisi attuali (Alerts e Flow Alerts).
I dati di rete per l'host selezionato vengono poi presentati da diverse prospettive in questa pagina nelle seguenti schede:
Host: Informazioni di base sull'host e un riassunto delle informazioni più importanti delle altre schede.
Traffic: Informazioni sul protocollo di livello 4 (TCP e UDP) con una panoramica sotto forma di grafico a torta e una tabella dettagliata.
Packets: Distribuzione dei flag nelle connessioni TCP. I flag indicano lo stato specifico della connessione o forniscono informazioni aggiuntive. I flag più utilizzati sono SYN (sincronizzazione), ACK (conferma), FIN (fine) e RST (reset).
Ports: Statistiche del traffico raggruppate per porte client e server
Peers: Una panoramica dei peer (cioè dei partner) contattati più frequentemente e delle applicazioni più utilizzate, sotto forma di grafici e di tabella. Gli elementi grafici possono essere filtrati cliccando su di essi.
Apps: Il volume di traffico suddiviso per applicazioni e riassunto per categorie. Le applicazioni di livello 7 sono determinate da una deep packet inspection. Nella tabella delle applicazioni, i nomi delle applicazioni sono collegati e portano a una pagina ntopng con informazioni dettagliate.
Flows: Tabella dei flussi di dati che hanno come punto di partenza o di arrivo l'host selezionato. Per maggiori informazioni, consulta la sezione dashboard dei flussi.
Engaged alerts, Past alerts, Flow alerts: Tabelle degli avvisi attivi, degli avvisi passati e degli avvisi di flusso. Per maggiori informazioni, consulta la sezione Dashboard degli avvisi.
In ogni scheda, puoi utilizzare il link View data in ntopng per accedere alla pagina ntopng associata, che ti porterà ai dettagli dell'host ntopng.
Suggerimento: puoi accedere alla pagina Network statistics and flows anche dalle visualizzazioni Services of Host e Status of Host selezionando la scheda che apre la pagina. Entrambe le visualizzazioni, quando vengono richiamate per un host ntopng, presentano il menu ntopng nella barra del menu, che contiene le voci per ogni singola scheda.
3.4. Stato dell'host
Nella pagina Network statistics and flows, fai clic su Status of host nella barra delle azioni per aprire la visualizzazione Status of Host.
In questa visualizzazione viene visualizzata un'ampia gamma di informazioni specifiche per l'host in una tabella che può essere ampliata con voci specifiche di ntopng. In questo modo vengono mostrate informazioni che già conosci da alcune schede della pagina Network statistics and flows - in parte per mancanza di spazio, tuttavia, verrà visualizzata solo una selezione di queste informazioni.
Per utilizzare le voci specifiche dell'ntopng, devi personalizzare questa visualizzazione. Nel menu, seleziona Display > Clone built-in view. Nella pagina Clone view, le colonne del contenuto della tabella possono essere definite nel box Columns.
Puoi aggiungere le seguenti voci specifiche di ntopng tramite il sito Add column:
Hosts: Ntop hosts details: Mostra le informazioni più importanti nella scheda Host.
Hosts: Ntop protocol breakdown: Mostra la tabella dei log nella scheda Traffic.
Hosts: Ntop ports: Mostra i grafici a torta dei client e dei server nella scheda Ports.
Hosts: Ntop top peers: Mostra il grafico a torta delle applicazioni nella scheda Peers.
3.5. Dashboard degli avvisi
Il dashboard di Alerts offre una panoramica di tutti gli avvisi in ntopng.
Seleziona Monitor > Network statistics > Alerts:
Puoi switchare tra le tabelle degli avvisi con le seguenti schede:
Engaged Host: Tabella degli avvisi attivi sugli host. ntopng genera degli avvisi per segnalare il superamento delle soglie.
Past Host: Tabella dei vecchi avvisi non più attivi.
Past Flows: Tabella degli avvisi di flusso, una categoria speciale in cui ntopng segnala flussi anomali o sospetti. Gli avvisi di flusso sono sempre collegati a eventi, vengono raccolti in una categoria a sé stante e non compaiono nelle tabelle degli avvisi attivi o passati.
Ogni pagina mostra un massimo di 20 voci. Puoi passare alle altre pagine utilizzando i pulsanti di navigazione a destra sopra la tabella.
In tutte le schede, sopra la tabella sono presenti due grafici a barre con una suddivisione per data e ora, che puoi utilizzare per filtrare la tabella: trascinando con il mouse, seleziona un intervallo di tempo in un diagramma. Il filtro così definito viene immediatamente applicato alla tabella degli avvisi. Per disattivare il filtro, clicca al di fuori del segno nel diagramma.
|
La struttura di questo dashboard è simile a quella delle tre schede specifiche di avviso della pagina Network statistics and flows (vedi la sezione Statistiche di rete per un host). |
3.6. Dashboard dei flussi
Il dashboard Flows offre una panoramica dei flussi in ntopng. Un flusso è una connessione tramite il protocollo di livello 4 tra il punto di partenza e il punto di arrivo, ciascuno determinato da un indirizzo IP e da una porta. Un flusso può essere visualizzato solo dopo che la trasmissione dei dati è stata completata. Per questo motivo la visualizzazione dei flussi è sempre uno sguardo al passato, anche se si tratta di pochi secondi fa.
Seleziona Monitor > Network statistics > Flows:
La tabella è essenzialmente identica alla tabella Flussi dell'interfaccia ntopng.
|
La struttura di questo dashboard è simile alla scheda Flows della pagina Network statistics and flows (vedi la sezione Statistiche di rete per un host). |
3.7. Top talker dashboard
Il dashboard Top Talkers mostra in tempo reale quali host di ntopng stanno generando il maggior traffico di rete.
Seleziona Monitor > Network statistics > Top Talkers:
Nella parte sinistra del dashboard sono elencati i "Top Talkers" attuali, ordinati in base al volume del traffico dati che stanno scambiando. La sezione superiore mostra gli host nella rete locale, quella inferiore le destinazioni nelle reti remote. Ogni host è cliccabile e si apre la pagina ntopng corrispondente con i dettagli dell'host.
I diagrammi offrono anche una panoramica del traffico dati nelle applicazioni (a sinistra) e nelle interfacce monitorate (a destra), nell'ultima ora (in alto) e nelle 24 ore precedenti (in basso). Le voci della legenda visualizzata in ogni diagramma sono cliccabili e possono essere utilizzate per filtrare i dati.
|
La struttura di questo dashboard è simile a quella del Traffic Dashboard dell'interfaccia ntopng. |
3.8. Dashlet
I dashboard Alerts, Flows e Top Talkers presentati nelle ultime sezioni sono tutti composti da un solo dashlet ciascuno.
Quando modifichi un dashboard, puoi utilizzare queste dashlet ntopng per personalizzare i dashboard esistenti o per crearne di nuovi. Puoi iniziare a configurare il dashboard nel menu Personalizza con Visualization > Dashboards. Quando modifichi un dashboard, troverai le dashlet ntopng, così come le altre dashlet, nel menu Add nella sezione Ntop.