NAME

ntop - ネットワーク利用者の top を表示する

書式

ntop [-r 表示間隔] 
     [-f トラフィックをダンプするファイル名] 
     [-n] [-p] IP モニターするプロトコル] 
     [-i インターフェース名] [-w  ポート]
     [-d]  [-m ローカルのサブネット]
     [-l ログ取得期間]
     [-F フローフィルタ評価式] [filter 評価式]

説明

ntop は現在のネットワークの使用状況を示すツールである。これは、 現在ネットワークを使っているホストの一覧を表示し、各ホストごとに生成 された(IP および非 IP)トラフィックに関する情報を報告する。
ntop は端末ウィンドウ(会話モード)でも Web モードでも起動できる。 後者においては、実行には Web ブラウザが必要になる。 トラフィックはホストおよびプロトコルごとにソートされる。 ntop が web モード(-w フラグ)で起動されていれば、いつでも 複数のユーザがトラフィック情報にアクセスできる。詳細は後述している。

コマンドライン・オプション

-r

画面を更新する間隔を(秒単位で)指定する(デフォルトは3秒)。 -l フラグにより、エントリをどれくらいの頻度でログファイルに 書き出すかを指定できる。更新間隔が非常に短い(たとえば1秒 など)の場合は、ntop はすべてのネットワークトラフィックを処理 できないこともあるので注意が必要である。

-f

tcpdump でキャプチャしたトラフィックを保存してあるファイルを 指定する。これはスニファリングを始める前にブラウズされる。

-n

シンボル名の代わりに数字で IP アドレスを表示する。これは DNS が存在しないか、または非常に遅い場合に役立つ。ntop の 実行中にも、n キーを押すことでアドレスフォーマット( 数字かシンボルか)を切り替えることができる。

-p

ntop がモニターする IP プロトコルを指定する。このフォー マットは <ラベル>=<プロトコルリスト> [, <ラベル >=<プロトコルリスト>] である。ただし、ラベルは <プロトコルリスト> をシンボルで特定するために使う。 <プロトコルリスト> のフォーマットは <プロトコル>[|<プロトコル>] である。<プロトコル> は /etc/services の中で指定された有効なプロトコル名か、 または以下のデフォルト値が使われる。
"FTP=ftp|ftp-data,HTTP=http|www|https,DNS=name|domain,
Telnet=telnet|login,NBios-IP=netbios-ns|netbios-dgm|netbios-ssn,
Mail=pop-2|pop-3|kpop|smtp|imap|imap2,SNMP=snmp|snmp-trap,
NEWS=nntp,NFS=mount|pcnfs|bwnfs|nfs|nfsd-status,X11=6000-6010,SSH=ssh".

-i

ntop で使用するネットワークインターフェースを指定する。

-w

ntop を Web モードで起動する。ユーザは自分のブラウザを 指定されたポートに接続し、リモートからトラフィック情報を閲覧 することができる。ntop がポート番号 3000(ntop -w 3000) で軌道されているなら、アクセスする URL は http://ホスト名:3000/ となる。~/.ntop に ntop にアクセスが許される人たちの HTTP ユーザ名/パスワードを書いておくことができる。~/.ntop ファイル がない場合は一切のセキュリティは考慮されないので、誰でもトラフ ィック情報を閲覧できる。.ntop ファイルの単純な例としては 以下のようになる。

   # .ntop File format
   # ユーザ名<タブ>/<空白>パスワード   
   # luca linux
        

会話モードで使う場合は HTTP サーバは必要ないことに注意して 欲しい。

-d

このフラグは(-w といっしょに使うことにより)ntop をデーモン として起動する。すなわち、バックグラウンドで起動し、端末から 切り離す。

-m

このフラグは、どのサブネットのトラフィックをローカルと見なす のかを指定する。このフォーマットは以下の通り。

    <ネットワークアドレス>/<サブネットマスクのビット数>
    [,<ネットワークアドレス>/<サブネットマスクのビット数>]
        

たとえば、以下のように指定する。

    131.114.21.0/24,10.0.0.0/255.0.0.0
        

-l

ネットワーク情報データを定周期(-r フラグで指定する)で ntop.log ファイルに保存する。このファイル形式は、人間が 見てわかる形式になっている。このフラグには、2 つの連続したログ のエントリ間のデータ収集間隔を(秒単位で)指定する。このログフ ァイルから(たとえば gnuplot を使って)グラフィックスを 生成するのは簡単と言うことも覚えておいて欲しい。

フローフィルタ評価式

これは、NeTraMet のようなより強力なアプリケーションのように、 ネットワークフローを指定するのに使われる。フローとは、キャプ チャされたパケットの流れの中で、指定されたルールにマッチする ものを言う。このフォーマットは以下の通りである。

    <フローラベル>='<マッチング評価式>'
    [,<フローラベル>='<マッチング評価式>']
        

ここで、ラベルは評価式によって指定されたフローをシンボルで特 定するのに使われる。評価式が指定されると、そのフローに関連す する情報が 'List NetFlows' という名前の HTML リンクをたどって アクセスできるようになる。たとえば、以下のような 2 つのフロー を考えてみる。

    LucaHosts='host jake.unipi.it or host pisanino.unipi.it',
       GatewayRoutedPkts='gateway gateway.unipi.it'
        

この場合、jake.unipi.it または pisanino.unipi.it というホス トによって送受信された全トラフィックが ntop により収 集され、LucaHosts フローに追加される。また、ゲートウェイ gateway.unipi.it によってルーティングされた全パケットは GatewayRoutedPkts フローに追加される。

フィルタ評価式

ntop では tcpdump と同様に、ntop で処理するトラ フィックのタイプを制限するための評価式を指定できるため、必要 なトラフィックだけを選択することができる。たとえば、ホスト jake.unipi.it が生成/受信したトラフィックだけを集中的に見た い場合、ntop に対して

     'ntop src host jake.unipi.it or dst host jake.unipi.it'
        

というように起動する。このトピックに関する詳細については tcpdump の man ページを参照されたい。

会話的なコマンド

ntop が会話的に(Web でないモードで)動作している場合、以下 のキーを押すことにより表示される情報を変更することができる。

q

ntop を終了する。

n

IP アドレスフォーマット(数字 vs. シンボル、 MAC アドレス vs NIC 製造メーカ)に切り替える

p

トラフィックのフォーマット(パーセンテージ vs. 絶対値 vs. スループット)を切り替える

l

d
ホスト行の内容(アイドル vs. 動作中ホスト)を切り替える

t

送受信データの量に従ってホストを並べ替える

y

現在の画面に表示されているいろいろなプロトコルに従って トラフィックをソートする

<スペース>
次のトラフィック情報を表示する。スペースキーが押されるたびに ntop の最後の 3 つのカラムがトグルされる。この 3 つの カラムは、前述のソート方法に従って、送信または受信のトラフィ ック量を表していることに注意せよ。

Web の出力(Web モード)

ntop が Web モード(-w フラグ)で動作している場合、複数の ユーザが従来の Web ブラウザを使ってトラフィック情報にアクセスで きる。メインの HTML ページは 2 つのフレームに分割されている。 左のフレームでは、右のフレームに表示されるトラフィック情報の内容 を選択できる。有効な選択肢は以下の通り:

フィールドの記述(会話モード)

ntop はネットワークのトラフィックに関する様々な情報を 表示する。

traffic/throughput

この行には、以下に示すネットワークのトラフィックに関する一般 的な情報が表示される。
  • 検出したパケット数
  • 全トラフィック量(IP または非 IP)
  • 現時点の実効および最大スループット

フィルタ評価式が指定された場合は、これらの値はそのフィルタ 評価式に合致するトラフィックのみに関連する値であることに注意 すること。

Host

このカラムには、ホスト名がシンボル名または数字のフォーマット で入る。

Act

このカラムには、最後に画面が更新された後の動作中ホストの情報 が入る。'B'(Both) はそのホストがデータを送受信したことを示し、 'R'(received) はデータを受信したが送信していないことを、'S' (sent) はデータを送信したが受信していないことを、'I'(idle)は 送受信とも行っていないことを示す。

Rcvd

このカラムはそのホストが受信したトラフィック量を、絶対値また はパーセンテージで示す。ホスト一覧がこのフィールドによってソ ートされている場合、カラムのラベルが -Rcvd- になる。

Sent

このカラムはそのホストが送信したトラフィック量を、絶対値また はパーセンテージで示す。ホスト一覧がこのフィールドによってソ ートされている場合、カラムのラベルが -Sent- になる。

<プロトコル>

最後の 3 つのカラムには IP プロトコルに関する詳細な情報が入る。 これらのカラムのデータ形式はトラフィックのタイプ(送信か受信か) によって変わる。'y' キーを押すとこれらのカラムのソート順序を 会話的に変更することができる。またスペースキーによりプロトコル の一覧をトグルする。

備考

ntop は libpcap ライブラリを元にしている。これは ftp://ftp.ee.lbl.gov/libpcap.tar.Z から取得可能である。

関連事項

top(1), tcpdump(8). netramet
(http://www.auckland.ac.nz/net/Accounting/ntm.Release.note.html).

作者

ntop メーリングリスト <ntop@unipi.it> にバグ報告を送って ほしい。なお ntop の作者は Luca Deri <deri@unipi.it> である。

翻訳者

2001.09.11 堀田 倫英 <hotta@net-newbie.com>
出典さえ明らかにしていただければ、引用や収録などご自由にどうぞ。