Checkmk Conference #6: Network-Flow-Monitoring mit ntop

Unsere Lösung Checkmk ist aus der Open Source Community entstanden und so sehen wir uns in der Pflicht, diese Philosophie zu pflegen und zu fördern. Daher freuen wir uns, dass wir mit ntop nun einen Partner gefunden haben, der ebenfalls aus der Open-Source-Welt stammt und ähnliche Werte mit uns teilt. Die Integration des Network Flow Monitoring von ntop hilft uns außerdem dabei, das Funktionsspektrum von Checkmk um einen signifikanten Punkt zu erweitern: der tiefgreifenden Analyse des Netzwerkverkehrs. Auf der Checkmk Konferenz #6 hat unser Consultant Alex Wilms gemeinsam mit ntops Lead Engineer Simone Mainardi das Zusammenspiel zwischen beiden Softwarelösungen erklärt.

Checkmk bietet bereits jetzt ein Monitoring von Netzwerken und liefert Metriken – etwa Bandbreite, Paketrate, Fehlerrate. Darüber hinaus ermöglicht es eine Überwachung des Status und der Geschwindigkeit von Netzwerk-Interfaces sowie von Schwellenwerten. „Viele Anwender wollen jedoch tiefer in die Problemanalyse eintauchen und einen Blick in den Network Flow werfen“, erklärte Alex. Die native Integration erlaubt nun die Übertragung von Daten und Dashboards aus ntop in das Monitoring von Checkmk.

Anwender erhalten durch die Integration einen tieferen Einblick in ihren Netzwerkverkehr, sodass sie beispielsweise mögliche Flaschenhälse in ihrer Infrastruktur erkennen oder ein tiefgreifendes Performance-Monitoring ihres Netzwerks betreiben können. Die Details dazu stecken in den Flow-Daten eines Netzwerks, das sämtliche Metriken des Netzwerkverkehrs enthält. Für die Erhebung der Daten gibt es verschiedene Protokolle und Quellen, etwa sFlow, NetFlow v5/v9, NetFlow Lite, IPFIX, Mirror Port oder eBPF.

In einer standardmäßigen ntop-Architektur sammelt ein Collector (nProbe) die Daten der Devices oder Exporter im Netzwerk ein und leitet sie an die ntopng, die Analyse-Konsole, von ntop weiter. Die Network-Flow-Daten bereitet ntop über eine Weboberfläche in verschiedenen Diagrammen auf, etwa zu den Top Talkers, eine ausführliches Performance der Netzwerk Interfaces in Echtzeit oder wo der meiste Datenverkehr im Netzwerk hingeht. ntop alarmiert jedoch auch, wenn Schwellenwerte überschritten werden oder es Unregelmäßigkeiten feststellt, und bietet über ein Drilldown-Option die direkte Analyse des ausgelösten Events an.

Checkmk bietet mit der Version 2.0 verschiedene Integrationsmöglichkeiten von ntop an. Zum einen ist dies die Einbindung von Alarmen und Events. Dies beinhaltet die Liste der erkannten Alarme sowie das „Alert Summary“. Auch soll es laut Alex möglich sein, dass ntop-Alarme Notifications in Checkmk auslösen. Darüber hinaus bindet Checkmk die gesammelten Metriken und Traffic Data von ntop ein. So soll das Main und Traffic Dashboard von ntop in Checkmk verfügbar sein. Neben der Bereitstellung des Network Flows in Checkmk sollen Anwender auch die ntop-Daten zu einem relevanten Host in Checkmk abrufen können. Außerdem ist geplant, dass sich spezielle ntop-Grafiken in die Views von Checkmk einbauen lassen. Ziel ist es, dass sowohl ntop- als auch Checkmk-Nutzer das gleiche Look and Feel bekommen wie es bei einer reinen ntop-Nutzung der Fall wäre.

Aber auch nach Außen hin wollen wir für die Kunden als ein Ansprechpartner auftreten (one face to the customer). Die ntop-Integration behandeln wir als ein Add-on für Checkmk, das Anwender entweder von unseren oder direkt von ntop-Servern herunterladen können. Die Integration führt tribe29 oder ein Partner durch. Der First und Second Level Support lässt sich entweder über uns, einen unserer Partner oder über einen ntop-Partner beziehen. ntop bietet zudem den Third Level Support an. Es ist jedoch auch möglich, den First und Second Level Support direkt von ntop zu beziehen.

Den kompletten Vortrag gibt es auch auf unserem YouTube-Channel zu sehen:

In unserem nächsten Blog zur Checkmk Konferenz 6 erhaltet ihr alle Neuigkeiten rund um unseren Windows Agent.