1. Introduction
Checkmk offre de nombreuses fonctions de base pour la supervision de votre infrastructure réseau et fournit les métriques associées, telles que la bande passante, le débit de paquets ou le taux d'erreur. Il permet également de surveiller l'état et la vitesse des interfaces réseau ainsi que les valeurs seuils.
Jusqu'ici, tout va bien. Mais qu'en est-il des questions suivantes : qui communique avec vos ordinateurs hôtes ? Quels ports de vos ordinateurs hôtes sont utilisés ? Qui communique le plus souvent, c'est-à-dire qui sont les « top talkers » ? Quelles applications sont utilisées sur le réseau ? Mon réseau fonctionne-t-il correctement et où se situent les goulots d'étranglement, le cas échéant ? Existe-t-il des menaces, par exemple des attaques par déni de service distribué (DDoS) ?
Pour obtenir des réponses à ces questions et à d’autres similaires, une analyse approfondie de votre réseau est nécessaire — ce que Checkmk ne peut pas faire à lui seul. Il faut ici une analyse des flux réseau, c’est-à-dire des nombreuses relations de communication qui ont lieu simultanément au sein du réseau. Un flux réseau est défini par une source et une destination (chacune déterminée par l’adresse IP et le port) ainsi que par le protocole utilisé.
Au lieu d’ajouter à Checkmk des fonctions de supervision approfondie du réseau et de réinventer ainsi la roue, il existe une solution plus élégante : l’intégration de ntopng dans Checkmk.
L’intégration de ntopng est une extension disponible à l’achat pour les éditions commerciales de Checkmk.
ntopng est un logiciel puissant et économe en ressources permettant de surveiller et d’analyser le trafic réseau en temps réel ainsi que les données historiques — afin de pouvoir répondre aux questions posées ci-dessus. ntopng est le cœur de la solution libre de supervision du trafic réseau de la société ntop. Dans une solution ntop, les données sont généralement collectées à partir des appareils via des modules logiciels spéciaux (nProbe) puis transmises à ntopng pour analyse.
ntopng présente plusieurs points communs avec Checkmk : il est issu du monde libre et y est profondément ancré. ntopng est disponible en version « Community » gratuite, ainsi qu’en plusieurs versions commerciales étendues « Professional » et « Enterprise ». L’interface utilisateur est basée sur le Web et présente les informations sous forme de vues de la table et de tableaux de bord. Il est possible de créer plusieurs utilisateurs et d’attribuer un rôle à chacun d’entre eux. Les notifications basées sur des valeurs seuils sont prises en charge. Enfin, les données peuvent être récupérées depuis ntopng via l’API REST de Checkmk.
L'interaction entre les produits concernés est illustrée dans le schéma suivant :
L’intégration de ntopng élargit ainsi le champ d’application de Checkmk de deux aspects importants : la supervision du flux de données réseau et l’analyse approfondie du trafic réseau.
Dans ce contexte, l’intégration signifie concrètement ce qui suit :
Checkmk et ntopng sont installés et configurés en tant que systèmes indépendants sur des serveurs différents. Il est recommandé de ne pas exécuter Checkmk et ntopng sur le même serveur.
Une connexion est établie entre le serveur Checkmk et le serveur ntopng. Ici, Checkmk communique avec ntopng via son API REST. Les paramètres de connexion servent à spécifier quelles données sont récupérées depuis ntopng. L'affectation s'effectue via les comptes utilisateurs disponibles sur les deux systèmes.
Les informations provenant de ntopng s’affichent dans l’interface utilisateur de Checkmk. D’une part, cela se fait dans de nouveaux tableaux de bord où les informations ntopng sont préparées pour les utilisateurs de Checkmk. D’autre part, les données ntopng peuvent être intégrées dans les vues et tableaux de bord Checkmk existants.
 |
This is a machine translation based on the English version of the article. It might or might not have already been subject to text preparation. If you find errors, please file a GitHub issue that states the paragraph that has to be improved. |
2. Connexion à ntopng
Pour utiliser l'intégration de ntopng dans Checkmk, vous devez disposer d'une des éditions commerciales de Checkmk avec l'extension d'intégration ntopng, ainsi que d'une installation ntopng en version Professional ou Enterprise >= 5.6,
dotée d'une API REST v2 permettant la communication entre Checkmk et ntopng.
Commencez par recueillir les informations suivantes concernant le système cible ntopng que vous souhaitez connecter à Checkmk. Vous devez saisir ces informations dans Checkmk en tant que paramètres de connexion ntopng :
| Paramètre | Description |
|---|---|
Nom de domaine |
Le nom ou l'adresse IP (Host Address) du serveur ntopng. |
Numéro de port |
Numéro du port TCP (Port number) sur lequel ntopng est accessible.
Le port est spécifié au démarrage de ntopng.
La valeur par défaut est |
Protocole |
|
Compte utilisateur pour l'authentification |
Nom et mot de passe d'un compte utilisateur du groupe d'utilisateurs ntopng « Administrator » (ntopng Admin User).
Checkmk s'authentifie auprès du serveur ntopng à l'aide de ces identifiants via l'API REST.
À noter que le compte utilisateur par défaut de ntopng s'appelle |
Dans Checkmk, commencez par saisir les paramètres de connexion ntopng dans le menu Setup > General > Global settings > Ntopng (chargeable add-on) > Ntopng Connection Parameters (chargeable add-on) :
Vous devriez désormais disposer de la plupart des valeurs de paramètres requises et pouvez donc les récupérer dans le tableau ci-dessus. Nous devons seulement examiner de plus près l’un des paramètres de connexion : ntopng username to aquire data for. Celui-ci détermine qui peut voir quelles données ntopng dans Checkmk. Les comptes utilisateurs avec lesquels Checkmk s'authentifie auprès de ntopng et ceux avec lesquels Checkmk récupère les données de ntopng sont définis différemment. Nous expliquons les choix possibles et les différences qui en résultent lors de la récupération des données dans les deux sections suivantes.
 |
La validité des entrées relatives à la connexion à ntopng n'est pas vérifiée lors de l'enregistrement. Vous ne recevrez pas de messages d'erreur pour les valeurs non valides tant que les informations ntopng ne seront pas affichées. Le premier paramètre de connexion ntopng, Enable this ntopng instance, vous permet de désactiver la connexion à ntopng, par exemple si le serveur ntopng est temporairement indisponible. |
2.1. Affectations fixes des utilisateurs Checkmk et ntopng portant le même nom
La solution la plus simple consiste à donner à un utilisateur Checkmk l'accès aux informations qu'il voit dans ntopng sous le même nom d'utilisateur.
Pour ce faire, sélectionnez la valeur Use the Checkmk username as ntopng user name pour le paramètre ntopng username to aquire data for. Checkmk utilisera alors le nom d'utilisateur Checkmk actuel et récupérera les données de ntopng sous ce nom.
Pour que la récupération des données fonctionne via cette attribution, au moins un compte utilisateur portant le même nom doit exister à la fois dans Checkmk et dans ntopng. Quelle que soit la manière dont vous envisagez la situation, il sera probablement nécessaire de modifier les noms d'utilisateur dans Checkmk, dans ntopng, voire dans les deux systèmes. La procédure de création ou de modification d'un nom d'utilisateur dans Checkmk est expliquée dans l'article consacré à l'administration des utilisateurs.
Une fois les modifications actives, tous les utilisateurs de Checkmk verront les changements apportés à l'interface utilisateur pour ntopng tels que décrits dans le chapitre consacré à l'affichage des informations ntopng, par exemple l'extension du menu « Monitor ». Toutefois, les données ntopng ne seront visibles que pour les utilisateurs de Checkmk disposant d'un compte utilisateur sur le système ntopng correspondant. Les autres utilisateurs de Checkmk pourront ouvrir les pages spécifiques à ntopng, mais n'obtiendront que des pages vides ou un message d'erreur indiquant que les identifiants de login sont non valides.
Il s'agit de l'option la plus simple, mais aussi de la moins flexible.
2.2. Attribution flexible des utilisateurs Checkmk aux utilisateurs ntopng
Checkmk et ntopng ont des concepts similaires en matière d’administration des utilisateurs : les deux systèmes peuvent avoir plusieurs utilisateurs, et chaque utilisateur se voit attribuer un rôle. Dans Checkmk, ces rôles sont appelés, entre autres, « Administrateur », « Utilisateur de supervision normal » et « Utilisateur invité », tandis que ntopng dispose des rôles « Administrateur » et « Utilisateur non privilégié ». Ces rôles attribués servent, entre autres fonctions, à déterminer les informations auxquelles un utilisateur peut accéder.
Au lieu de l’affectation rigide 1:1 décrite ci-dessus, vous avez la possibilité de décider pour chaque utilisateur Checkmk si vous souhaitez lui donner accès aux données ntopng et, le cas échéant, de quel utilisateur ntopng il doit les recevoir.
Étant donné que les utilisateurs se voient attribuer des rôles différents dans les deux systèmes, vous pouvez contrôler très précisément quel contenu ntopng peut être consulté dans Checkmk, par exemple comme suit :
Vous n'attribuez pas d'utilisateur ntopng à un « utilisateur invité » Checkmk qui ne s'intéresse pas au trafic réseau ; ainsi, les extensions de l'interface Checkmk spécifiques à ntopng sont masquées pour cet utilisateur.
Attribuez un « utilisateur non privilégié » ntopng à un « utilisateur de supervision normal » Checkmk et à un stagiaire en réseau.
Attribuez un « Administrateur » ntopng à un « Administrateur » Checkmk et à un expert réseau.
La procédure pour des attributions flexibles est la suivante :
Dans l’Ntopng Connection Parameters (chargeable add-on), sélectionnez pour « ntopng username to aquire data for » la valeur « Use the ntopng username as configured in the User settings ».
Une fois que vous avez enregistré les paramètres de connexion ntopng, un nouveau champ apparaîtra dans les paramètres de chaque utilisateur (Setup > Users > Users) sous « Identity », par exemple, comme illustré ci-dessous pour l'utilisateur cmkadmin :
Dans le champ ntopng Username, saisissez le nom d'utilisateur ntopng dont les informations doivent être affichées à l'utilisateur Checkmk actuel. Si ce champ est laissé vide (ce qui est le cas par défaut), les extensions spécifiques à ntopng de l'interface Checkmk sont masquées pour l'utilisateur Checkmk. Enfin, activez les modifications.
3. Affichage des informations ntopng
Une fois que les conditions décrites dans le chapitre Connexion à ntopng sont remplies, vous avez désormais accès aux données ntopng dans Checkmk. Pour ce faire, connectez-vous à Checkmk avec un compte utilisateur associé à un compte utilisateur ntopng.
Vous trouverez ci-dessous un aperçu des emplacements et des méthodes permettant d'accéder aux informations ntopng dans l'interface utilisateur de Checkmk.
3.1. Statistiques réseau dans le menu « Monitor »
Le changement le plus notable se trouve dans le menu «Monitor», qui contient le nouveau thème «Network statistics» avec des entrées pour plusieurs tableaux de bord contenant des données ntopng, que nous présenterons dans les sections suivantes.
Mais commençons par les informations que vous pouvez obtenir sur les ordinateurs hôtes ntopng dans Checkmk.
3.2. Vues avec les ordinateurs hôtes ntopng
Checkmk et ntopng gèrent non seulement leurs utilisateurs de manière indépendante, mais également leurs ordinateurs hôtes. Toutefois, si un ordinateur hôte de Checkmk est également configuré dans ntopng, vous pouvez afficher des informations spécifiques à ntopng pour cet ordinateur hôte.
Dans chaque vue de la table d’hôte, vous pouvez utiliser le filtre « Ntopng Host » pour afficher les ordinateurs hôtes présents à la fois dans Checkmk et dans ntopng, comme ceci :
Dans la vue de la table d’hôte (par exemple All hosts), cliquez sur « 
» Filter dans la barre d’action pour ouvrir la barre de filtrage.
Dans la barre de filtrage, cliquez d’abord sur « Add filter » pour afficher les filtres disponibles, puis sur « 
» pour afficher tous les filtres.
Sélectionnez le filtre « Ntopng Host » dans la liste, définissez-le sur « yes » et activez-le en cliquant sur « Apply filters ».
La vue de la table n'affichera alors que les ordinateurs hôtes présents à la fois dans Checkmk et dans ntopng :
Dans l'exemple ci-dessus, il y a deux ordinateurs hôtes en commun. Un ordinateur hôte ntopng affiche l'entrée « Ntop integration of this host » dans le menu d'action.
3.3. Statistiques réseau pour un ordinateur hôte
Pour un ordinateur hôte ntopng, cliquez sur l'entrée du menu d'action « Ntop integration of this host » et vous obtiendrez la page d'Network statistics and flowss spécifiques à l'ordinateur hôte :
La première ligne présente un résumé de tous les ordinateurs hôtes configurés dans ntopng, avec le nombre d'alertes actuelles (Alerts et Flow Alerts).
Les données réseau de l'ordinateur hôte sélectionné sont ensuite présentées sous différents angles sur cette page, dans les onglets suivants :
Host : informations de base sur l'ordinateur hôte et résumé des informations les plus importantes issues des autres onglets.
Traffic : informations sur le protocole de couche 4 (TCP et UDP) sous forme de graphique circulaire pour un aperçu et sous forme de tableau pour plus de détails.
Packets : Répartition des indicateurs dans les connexions TCP. Les indicateurs indiquent l'état spécifique de la connexion ou fournissent des informations supplémentaires. Les indicateurs les plus fréquemment utilisés sont SYN (synchronisation), ACK (confirmation), FIN (fin) et RST (réinitialisation).
Ports : Statistiques de trafic regroupées par ports client et serveur
Peers : aperçu des pairs (c'est-à-dire des partenaires) les plus fréquemment contactés et des applications les plus utilisées — sous forme de graphiques et de tableau. Les éléments graphiques peuvent être filtrés en cliquant dessus.
Apps : Volume de trafic réparti par application et résumé par catégorie. Les applications de couche 7 sont identifiées par une inspection approfondie des paquets. Dans le tableau des applications, les noms d’applications sont cliquables et renvoient vers une page ntopng contenant des informations détaillées.
Flows : Tableau des flux de données dont l’ordinateur hôte sélectionné est le point de départ ou d’arrivée. Pour plus d’informations, consultez la section Tableau de bord des flux.
Engaged alerts , Past alerts , Flow alerts : Tableaux des alertes actives, des alertes passées et des alertes de flux. Pour plus d'informations, consultez la section Tableau de bord des alertes.
Dans chaque onglet, vous pouvez utiliser le lien View data in ntopng pour accéder à la page ntopng associée, qui vous redirigera vers les détails de l'ordinateur hôte ntopng.
Astuce : vous pouvez également accéder à la page « Network statistics and flows » à partir des vues « Services of Host » et « Status of Host » en sélectionnant l'onglet qui ouvre cette page. Ces deux vues, lorsqu'elles sont appelées pour un ordinateur hôte ntopng, proposent le menu « ntopng » dans les menus, qui contiennent des entrées pour chaque onglet individuel.
3.4. État d'un ordinateur hôte
Sur la page Network statistics and flows, cliquez sur Status of host dans la barre d'action pour ouvrir la vue Status of Host.
Dans cette vue de la table, une grande variété d’informations spécifiques à l’ordinateur hôte s’affiche dans un tableau, qui peut être complété par des entrées spécifiques à ntopng. Cela affichera des informations que vous connaissez déjà grâce à certains onglets de la page « Network statistics and flows » ; toutefois, en raison notamment du manque d’espace, seule une sélection de ces informations sera affichée.
Pour utiliser les entrées spécifiques à ntopng, vous devez personnaliser la vue de la table. Dans le menu, sélectionnez « Display > Clone built-in view ». Sur la page « Clone view », les colonnes du contenu du tableau peuvent être définies dans la case « Columns ».
Vous pouvez ajouter les entrées spécifiques à ntopng suivantes via l'option « Add column » :
Hosts: Ntop hosts details : affiche les informations les plus importantes sous l'onglet « Host ».
Hosts: Ntop protocol breakdown : affiche le tableau des journaux dans l'onglet « Traffic ».
Hosts: Ntop ports : Affiche les graphiques circulaires client et serveur pour l'onglet « Ports ».
Hosts: Ntop top peers : affiche le graphique circulaire des applications de l'onglet « Peers ».
3.5. Tableau de bord des alertes
Le tableau de bord « Alerts » vous offre un aperçu de toutes les alertes dans ntopng.
Sélectionnez « Monitor > Network statistics > Alerts » :
Vous pouvez passer d'un tableau d'alertes à l'autre à l'aide des onglets suivants :
Engaged Host : Tableau des alertes d'ordinateurs hôtes actives. ntopng génère des alertes pour signaler le dépassement des valeurs seuils.
Past Host : Tableau des anciennes alertes qui ne sont plus actives.
Past Flows : Tableau des alertes de flux, une catégorie spéciale dans laquelle ntopng signale les flux anormaux ou suspects. Les alertes de flux sont toujours liées à des événements. Elles sont regroupées dans leur propre catégorie et n'apparaissent pas dans les tableaux des alertes actives ou passées.
Chaque page affiche un maximum de 20 entrées. Vous pouvez passer aux autres pages à l'aide des boutons de navigation situés à droite au-dessus du tableau.
Dans tous les onglets, deux graphiques à barres situés au-dessus du tableau présentent une ventilation par date et heure, que vous pouvez utiliser pour filtrer le tableau : En faisant glisser la souris, sélectionnez un intervalle de temps dans le graphique. Le filtre ainsi défini est immédiatement appliqué au tableau des alertes. Pour désactiver le filtre, cliquez en dehors de la zone sélectionnée dans le graphique.
|
Ce tableau de bord présente une structure similaire à celle des trois onglets spécifiques aux alertes de la page Network statistics and flows (voir la section Statistiques réseau pour un ordinateur hôte). |
3.6. Tableau de bord Flux
Le tableau de bord « Flows » vous offre un aperçu des flux dans ntopng. Un flux est une connexion via le protocole de couche 4 entre le point de départ et le point d'arrivée, chacun étant déterminé par une adresse IP et un port. Un flux ne peut être affiché qu'une fois la transmission des données terminée. C'est pourquoi l'affichage des flux constitue toujours un aperçu du passé, même s'il ne remonte qu'à quelques secondes.
Sélectionnez « Monitor > Network statistics > Flows » :
Le tableau est pour l'essentiel identique au tableau Flows de l'interface ntopng.
|
Ce tableau de bord présente une structure similaire à l’onglet « Flows » de la page « Network statistics and flows » (voir la section « Statistiques réseau pour un ordinateur hôte »). |
3.7. Tableau de bord Top Talkers
Le tableau de bord « Top Talkers » vous indique en temps réel quels ordinateurs hôtes de ntopng génèrent le plus de trafic réseau.
Sélectionnez « Monitor > Network statistics > Top Talkers » :
Dans la partie gauche du tableau de bord, la liste des « Top Talkers » actuels est affichée, triée par volume de trafic de données qu'ils échangent. La section supérieure affiche les ordinateurs hôtes du réseau local, la section inférieure les destinations des réseaux distants. Chaque ordinateur hôte est cliquable, ce qui ouvre la page ntopng correspondante avec les détails de l'ordinateur hôte.
Les graphiques vous offrent également un aperçu du trafic de données dans les applications (à gauche) et les interfaces sous supervision (à droite), au cours de la dernière heure (en haut) et pour les 24 heures précédentes (en bas). Les entrées de la légende affichée dans chaque graphique sont cliquables et peuvent être utilisées pour filtrer les données.
|
Ce tableau de bord présente une structure similaire à celle du tableau de bord du trafic dans l'interface ntopng. |
3.8. Dashlets
Les tableaux de bord « Alerts », « Flows » et « Top Talkers » présentés dans les sections précédentes ne comportent chacun qu’un seul dashlet.
Lorsque vous éditez un tableau de bord, vous pouvez utiliser ces dashlets ntopng pour personnaliser les tableaux de bord existants ou pour en créer de nouveaux. Vous pouvez commencer l’édition du tableau de bord dans le menu « Customize » avec « Visualization > Dashboards ». Lorsque vous éditez un tableau de bord, vous trouverez les dashlets ntopng, ainsi que les autres dashlets, dans le menu « Add » de la section « Ntop ».