ntop: Какие загрузки HTTP (URL) вызвали трафик?
Мой сервер вызывает слишком много трафика, поэтому я установил ntop для его мониторинга.
На странице Summary -> Traffic в таблице Global TCP/UDP Distribution я вижу, что трафик периодически вызывается HTTP.
На странице " Все протоколы -> Трафик" в первом ряду указан трафик (94,4%). Но первый столбец (Host) показывает мой собственный сервер. Почему это?
При нажатии там я вижу, что трафик в таблице Host Traffic Stats. Это все в Тот. Колонка Rcvd трафика. Поэтому я думаю, что одно из моих приложений периодически загружает что-то большое или много.
Но как узнать, что было скачано? Какие загруженные URL-адреса или хотя бы хосты вызвали наибольшее количество трафика?
3 ответа
Исправить систематическую проблему:
Наличие журналов приложений, которые делают запросы, неизвестно и повсеместно является проблемой. Это будет кусать вас в задницу снова и снова, поэтому я бы выделил некоторое время для решения этой проблемы. Найдите способ индексировать или объединять их. Это большой проблемный проект, который вы должны поднять.
Проблема под рукой:
Для решения данной проблемы я бы порекомендовал wireshark / tcpdump. Получив трафик, вы можете использовать все виды методов, чтобы попытаться его найти. В Wireshark вы можете использовать "статистику / разговоры", сортировать по байтам, а затем углубляться в записи оттуда. Несвободный Cascade Pilot от Riverbed имеет представление "Пропускная способность сети по объектам" для снимков, которые были бы хороши в этом - вы можете запросить пробную версию.
Если вы не знакомы с wireshark, сейчас самое время учиться. Это инструмент, который большинство системных администраторов используют на регулярной основе.
Если вы знаете, что сервер использует пропускную способность, а это сервер Linux, вы можете попробовать Nethogs (nethogs) идентифицировать процесс, используя пропускную способность.
Ntop - это инструмент сетевого интерфейса - он показывает вам трафик, проходящий через различные порты и протоколы, но на этом все и заканчивается. Теперь вам нужно обратить внимание на приложение, обрабатывающее этот трафик, в данном случае на Apache.
Самый простой способ сделать это - установить инструмент для веб-использования, такой как webalizer (есть много других, некоторое время назад awstats был "лучшим", не зная, кто сейчас король). Это будет проходить через ваши журналы и генерировать страницы статистики, которые вы можете использовать, чтобы увидеть, куда шел трафик, откуда он шел и кто его делал. Например.
Вам следует проверить журнал доступа вашего веб-сервера, где перечислены все обслуживаемые запросы. Вы можете отфильтровать по IP-адресу вашего веб-сервера и localhost и проверить наиболее запрашиваемые файлы. Для этого есть несколько инструментов, но это зависит от того, какое программное обеспечение веб-сервера вы используете.