lpic303 ネットワーク監視 Tcpdump
lpic303 ネットワーク監視 WIreshark
プロローグ
ネットワーク監視というと前回のNagiosでもZabbixでも可能だけれど、本書で紹介されているのが下の3個なのでどちらかというとネットワーク監視というか、パケットキャプチャな意味合いの監視という事かな。
- ntop
- Wireshark
- Tcpdump
ntop
Installing: ntop x86_64 5.0-5.el6 epel 12 M Installing for dependencies: GeoIP x86_64 1.5.1-5.el6 epel 21 M dejavu-lgc-sans-mono-fonts noarch 2.30-2.el6 sl 392 k dejavu-sans-mono-fonts noarch 2.30-2.el6 sl 449 k graphviz x86_64 2.26.0-10.el6 sl 1.0 M libXaw x86_64 1.0.11-2.el6 sl 177 k libXmu x86_64 1.1.1-2.el6 sl 65 k rrdtool x86_64 1.3.8-6.el6 sl 292 k urw-fonts noarch 2.4-10.el6 sl 3.0 M
ntopのインストールはsl/rpmforge/remiではヒットせず、epelからになるようだ。
昔のバージョンはコマンドラインから起動して-dでデーモンモードで起動というパターンだったらしいけど、今は起動スクリプトが用意されているみたい。なのだが、最初はコマンドで起動してほしいようです。
# /etc/init.d/ntop start ntop を起動中: service not configured, run ntop manually
やる事はadminのパス設定くらいです。あとは終了スクリプトでエラーになるので書き換えが必要です。後はntop.confのIPアドレスを設定したら動作しました。
/etc/rc.d/init.d/ntop 28 #pidfile=/var/run/$prog.pid 29 pidfile=/var/lib/ntop/$prog.pid
気になったところは以下の内容が表示されるので、epelでインストールしていても古いらしいw
淘汰される運命にあるのでしょうかね。
2014年10月25日 16時45分40秒 CHKVER: This version of ntop is a minimally supported but OLDER version - please upgrade
インストール方法なんて試験には出ないだろうけれど、ウェブでntopの監視を見ると思っていたよりも色々な事が見れるようなので、せっかくなので新しいバージョンを見てみようと思います。
Wireshark以降はまた次回に回しましょうか。
公式を見るとリポジトリがあるようです。enabledは1になっているので0に書き換えと、CentOS6.5の場合、アクセス先のサイトに6か7しかないために、そんなのないよーと言うエラーになってしまいます。
http://www.nmon.net/centos/6.5/x86_64/repodata/repomd.xml: [Errno 14] PYCURL ERROR 22 - "The requested URL returned error: 404 Not Found"
なので$releaseverを6と書き換えました。
# cat /etc/yum.repos.d/ntop.repo [ntop] name=ntop packages baseurl=http://www.nmon.net/centos/6/$basearch/ enabled=0 gpgcheck=1 gpgkey=http://www.nmon.net/centos/RPM-GPG-KEY-deri [ntop-noarch] name=ntop packages baseurl=http://www.nmon.net/centos/6/noarch/ enabled=0 gpgcheck=1 gpgkey=http://www.nmon.net/centos/RPM-GPG-KEY-deri
進めていくと依存関係でエラーが。
Error: Package: ntopng-1.2.2-8483.x86_64 (ntop) Requires: libzmq.so.3()(64bit) Error: Package: ntopng-1.2.2-8483.x86_64 (ntop) Requires: redis >= 2.4.0
epelから以下の2個をインストールしました。
perl-ZMQ-LibZMQ3.x86_64 : Perl wrapper for the libzmq 3.x library redis.x86_64 : A persistent key-value database
では最新(と思う)のntop 今はntopng らしいがインストールしてみます。
Installing: ntopng x86_64 1.2.2-8483 ntop 2.3 M Installing for dependencies: ntopng-data noarch 1.2.2-8483 ntop 27 M
設定ファイルは/etc/ntopngにあるので、sampleのコピーとntopng.startに記述をします。
# ls /etc/ntopng ntopng.conf ntopng.conf.sample ntopng.start
# cat /etc/ntopng/ntopng.start --local-networks "192.168.0.0/24" --interface 0
起動してみますー。
service redis start service ntopng start
上手くいってたら3000ポートがりっすんしているはず。FWの3000番も忘れずに開けておきます。
# netstat -tln | grep 3000 tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN
ウェブにアクセスするといきなりログイン認証画面が表示されます。最初はadmin/adminでログインできるので速攻で変えましょう。右上の歯車のアイコンからManage Usersへ進めばパスワード変更するところがありました。
他にも色々と機能を持ち合わせており、どれだけの量がどこに流れているかだったり、IPの情報なども一覧で見ることができました。これでFWの連動する機能があって、IPアドレスとかセグメント単位の拒否とかできたら運用が楽そうだなぁとか思ったが。そうでなくても色々とGUIで見れて面白そうなのでこのサーバーにもインストールしてみようかなと思います。
単にntopが古すぎて情報がなかっただけで、淘汰された訳でもなかった。大半をntopの事に使ったのでなんじゃこりゃという内容になっているけれど、まぁいいかな。
では次回はWiresharkでシャー。
参考サイト
Red Brangh ntopng on CentOS 6
公式 ntop.org
