Monitorando com o ntop

Um dos problemas em utilizar um proxy transparente é que o log do Squid e, consequentemente, o relatório do Sarg, mostra apenas o tráfego HTTP, deixando de fora todos os demais protocolos.

Uma forma simples de monitorar o tráfego global da sua rede interna é instalar o ntop no gateway da rede. Ele monitora todo o tráfego, mostrando o volume de banda consumido por cada máquina da rede e, dentro de cada relatório, informações detalhadas sobre os protocolos utilizados. Através dele, é fácil identificar máquinas da rede que estão consumindo uma grande quantidade de banda devido à utilização de programas P2P como o Kazaa ou o Bittorrent, por exemplo.

Para instalar o ntop em distribuições derivadas do Debian, basta instalar o pacote via apt-get:

# apt-get install ntop

Caso o ntop não esteja disponível através do gerenciador de pacotes da distribuição em uso, você pode baixá-lo no http://www.ntop.org/, onde estão disponíveis pacotes para várias distribuições.

Com o pacote instalado, execute o comando “ntop” como root para definir a senha de administração:

# ntop

ntop startup – waiting for user response!
Please enter the password for the admin user: ********
Please enter the password again: ********
Ter 06 Mai 2008 07:36:34 BRT Admin user password has been set

Com a senha definida, pressione “Ctrl+C” para abortar o comando e inicialize o serviço para que o ntop passe a operar em background:

# /etc/init.d/ntop start

A partir daí, você pode acessar os relatórios, atualizados em tempo real a partir do “http://ip_do_servidor:3000”, como em “http://192.168.1.1:3000“. Caso o suporte a SSL tenha sido ativado durante a compilação do pacote (ele é um componente opcional, que vem desativado por padrão em muitas distribuições), você poderá acessar a interface também através do “https://ip_do_servidor:3001″:

O relatório do ntop pode parecer simples à primeira vista, mas ele esconde um volume surpreendente de detalhes sobre as conexões. Acessando a seção “All Protocols > Traffic” (no menu superior), por exemplo, você tem acesso a um relatório dos hosts de internet que foram acessados através da conexão, organizados de acordo com o volume de dados transferidos:

Os hosts recebem um ícone de classificação de acordo com o tipo de tráfego predominante. Uma bandeira verde indica um site que hospeda arquivos legítimos, enquanto um “K” indica um servidor do Kazaa ou um tracker Bittorrent. Clicando sobre os hosts, você tem acesso a um relatório detalhado com o tipo de tráfego, horários de maior acesso e, o mais importante, uma lista dos endereços IP da rede que acessaram o servidor, o que permite localizar estações rodando programas P2P ou outros aplicativos que consomem muito tráfego da rede:

Diferente do relatório do Sarg, que loga apenas o tráfego que passa pelo Squid, o ntop realmente monitora todo o tráfego de dados que passa pelo servidor, independentemente do protocolo usado. Desde que todo o tráfego de internet realmente passe pelo servidor (ou seja, que ele seja o único gateway disponível), você pode ter certeza de que tudo será logado. Da próxima vez que alguém reclamar que a rede está lenta, bastará olhar o relatório para descobrir o motivo.

Uma dica é que no Debian Etch existe um pequeno bug no script de instalação do pacote que faz com que não seja criado o diretório “/var/lib/ntop/rrd” (onde o ntop armazena sua base de dados) e as permissões do diretório “/var/lib/ntop/” sejam definidas incorretamente, impedindo a operação normal do serviço. Você pode solucionar o problema usando os comandos abaixo:

# mkdir /var/lib/ntop/rrd
# chown -R ntop.ntop /var/lib/ntop/