ntopng允许用户根据各种标准聚合数据。在网络中,IP寻址(网络和掩码/CIDR)和VLAN是聚合同质主机问题的典型解决方案(例如,当主机进行类似的任务时)。有时,这些聚合设施不够灵活,无法将具有相同操作系统的主机或由同一路由器/交换机产生的流量聚在一起。
除了典型的基于网络的标准,如IP、VLAN,ntopng还实现了另外两个数据聚合设施。
主机聚合:主机池
主机池是主机、网络和MAC地址的逻辑聚合(这个设施只有在L2信息可用时才可用)。池被用来将具有共同属性的主机分组。例如,在ntpng中,有一个 “Jailed Hosts “池,它包含被认为是危险的主机(例如,当他们的分数长期过高时)。池是一个主机聚集设施。
流聚合:观察点
在基于流的分析中(例如,当ntpng收集由nProbe创建/收集的流时),除了池之外,经常需要根据额外的标准来识别流(而不是主机)。所有流,除了IP/port/bytes/packets等属性外,还根据创建该流的流设备到导出器的IP地址来标记。但是,导出器IP可能过于细粒度,因为单个公司位置(例如站点A)可能具有需要聚合的多个探测器(因此具有不同的IP)。在这种情况下,nProbe/ntopng实现观察点概念,观察点概念是用于标记来自需要逻辑聚合的各种导出器的流的数字标识符。
总而言之,观察点是一种逻辑聚合流的方法,而池用于聚合主机。因此,它们可以同时使用。
相反,如果您需要做相反的事情,比如将数据分成同构的组,ntopng提供了一个可以实现每个接口的分解工具。
