通过引入ntopng端点和接收方,现在可以通过接收方以灵活的方式处理警报。ntopng嵌入了一个SQLite数据库,用于交钥匙警报存储和报告。然而,在具有许多警报的大型组织中,由于可以处理的记录数量有限(16k),此解决方案的可伸缩性受到限制。在最新的ntopn4.1中。现在可以在外部ElasticSearch数据库中导出警报(在社区版中不可用)。本文将向您展示如何在ntopng 4.1中使用这种集成。X和即将到来的4.2。
如视频中所示,要创建的第一个元素是ElasticSearch的端点,它指向在我们的数据中心或运行ntopng的同一台主机上运行的实例。
此时,您需要为此端点定义一个收件人
为了指示ntopng将通知发送到此收件人,您需要配置使用此收件人的池。
这是通过单击上图中箭头突出显示的图标来完成的,该图标将使您进入游泳池页面。
对于您想要传递警报的每个实体(Hosts、Flows、SNMP…),您需要单击edit并在下拉菜单中指定将向其传递通知的收件人列表。请注意,您始终启用了一个内置的SQLite接收者,并由ntopng用于在web GUI中显示警报。
如果您想检查通知传递是否有效,您可以检查(见下图)使用数量是否增加。
此时,警报存储在Elastic中,可以使用Kibana对其进行可视化和探索。为了做到这一点,你首先需要创建一个索引模式(菜单“Stack Management”->“index Patterns”),选择@timestamp作为索引,如下图所示。
这样,您就可以可视化警报并创建漂亮的仪表板
享受吧!