在之前,ntopng引擎对所有警报的配置是单一的:进入偏好页面并指定警报的发送地点。但这是不理想的,原因有很多:包括不可能在不同的渠道向不同的收件人发送警报,或有选择地决定何时发送警报。
出于这个原因,我们引入了以下概念:
·端点
服务器账户配置,用于发送警报。它用于配置一次服务器参数(例如,对于电子邮件,你需要配置服务器IP、用户名和密码),你可以多次重复使用。
·收件人
发送警报的终端用户。例如,一旦你配置了一个电子邮件服务器账户端点,你可以定义几个可以通过同一端点到达的接收者,只需继承端点的配置并定义接收者的电子邮件地址。
如何配置收件人和端点
这可以通过选择系统界面,使用通知子菜单来完成。
必须首先定义端点,如下所述:
请注意,有几个端点系列,包括:
ElasticSearch
Slack
WebHook
Discord
Syslog
在这一点上,你可以定义一个收件人,这个收件人就是将收到警报信息的人。
请注意,你可以指定哪些警报的严重程度和类别可以被传递给这个人。这样,你可以将安全事件传递给一个接收者,而将网络事件传递给另一个接收者。
当然,你可以定义多个收件人和端点。
将收件人与警报绑定
现在我们已经定义了警报的传递地点,我们需要指定如何/何时将警报传递给指定的接收者。这是通过Pools实现的,你可以在系统菜单下访问。
Pools是一种将资源聚集起来的方式,我们想对其进行特定的设置。正如你在下图中所看到的,有各种Pool 族。
Hosts
Interfaces
Local networks
SNMP Devices
Active Monitoring
Host Pools (pools of host pools)
Flows
Devices
System (Interface)
假设你想在主动监测有警报要报告时发送一个警报。你所需要做的就是:
-
选择 "主动监测 "标签
-
点击 "编辑 "按钮,在下拉菜单中指定我们刚刚定义的收件人,并保存它。
如果你想仔细检查这个设置是否正确,你可以到你定义的一个活动监测资源中去编辑它。
正如你在上面的高亮文本上看到的,我们定义的新收件人已经被定义,现在正在使用中。
如果现在你想为每个被监控的主机定义不同的收件人呢?那么你需要回到Pool页面,选择活动监控(这将适用于其他标签),并定义新的池子,如下图所示,并将不同的收件人联系起来。
然后你现在可以回到活动监控页面,为每台主机选择你喜欢的主机池,如下图所示
让事情更复杂的是,你需要掌握主机池的定义方式。与主动监控相反,主机池可能相当复杂,因为你可能想根据IP地址、网络(CIDR)和Mac地址来定义Pool成员(对于IP浮动的DHCP网络来说是很好的)。
结束语
我们希望收件人和端点的概念现在已经很清楚了。你现在可以做的是,以一种简单而有效的方式,灵活地将事件传递给选定的接收者。