ntop:哪些 HTTP 下载(URL)导致了流量?

ntop:哪些 HTTP 下载(URL)导致了流量?

我的服务器流量太大,所以我安装了 ntop 来监控它。

摘要 -> 交通页面中的全球 TCP/UDP 协议分布表中我可以看到流量是由 HTTP 周期性引起的。

所有协议 -> 流量页面第一行显示流量(94.4%)。但第一列(主机)显示的是我自己的服务器。这是为什么?

点击那里时,我可以看到主机流量统计表。这一切都在总接收流量列。因此我认为,我的某个应用程序正在定期下载一些大文件,或者大量文件。

但是如何找出下载了什么?下载的 URL 是什么,或者至少是导致流量最大的主机是什么?

答案1

修复系统问题:
让发出请求的应用程序日志不为人知且到处都是问题。这会一次又一次地困扰你,所以我会留出一些时间来解决这个问题。找到某种方法来索引或聚合它们。这是你应该提出的更大的问题项目。

当前的问题:
对于手头的问题,我建议使用 wireshark / tcpdump。一旦您捕获了流量,就可以使用各种技术来尝试找到它。在wireshark您可以使用“统计数据/对话”,按字节排序,然后从那里深入挖掘捕获内容。Riverbed 的非免费 Cascade Pilot确实有“按对象划分的 Web 带宽”视图,可以很好地进行捕获 - 您可以请求试用。

如果你不熟悉 wireshark,现在是个学习的好时机。它是大多数系统管理员经常使用的工具。

如果你知道占用带宽的服务器,而且它是 Linux 服务器,你可以尝试网猪nethogs)来识别使用带宽的过程。

答案2

Ntop 是一个网络接口工具 - 它向您显示通过各种端口和协议的流量,但它的作用仅此而已。您现在需要查看的是处理该流量的应用程序,在本例中是 Apache。

最简单的方法是安装一个网络使用工具,例如网络管理者(还有很多其他的,统计信息曾经是“最好的”,现在不知道哪个才是王道)。这将遍历您的日志并生成统计页面,您可以使用这些页面查看流量流向何处、来自何处以及是谁在做这些事情。例如

答案3

您应该检查 Web 服务器的访问日志,其中列出了所有已服务的请求。您可以筛选 Web 服务器的 IP 地址和本地主机,并检查请求最多的文件。有几种工具可以做到这一点,但这取决于您使用的任何 Web 服务器软件。

相关内容