คู่มือการใช้โปรแกรม ntop

Ntop คือ
คำสั่ง SYNOPSIS
สาระสำคัญ DESCRIPTION
อธิบายคำสั่ง Command-Line Option
WEB VIEWS
PRIVACY NOTICE


Ntop คือ

Ntop คือเครื่องมือที่ใช้แสดงการใช้งานเครือข่าย

คำสั่ง SYNOPSIS

ntop [@filename] [-a|--access-log-file <path>] [-b|--disable-decoders] [-c|--sticky-hosts] [-e|--max-table-rows] [-f|--traffic-dump-file file>] [-g|--track-local-hosts] [-h|--help] [-j|--create-other-packets] [-l|--pcap-log <path>] [-m|--local-subnets <addresses>] [-n|--numeric-ip-addresses] [-o|--no-mac] [-p|--protocols <list>] [-q|--create-suspicious-packets] [-r|--refresh-time <number>] [-s|--no-promiscuous] [-t|--trace-level <number>] [-x <max_num_hash_entries>] [-w|--http-server <port>] [-z|--disable-sessions] [-A|--set-admin-password password] [-B|--filter-expression expression] [-C <configmode>] [-D|--domain <name>] [-F|--flow-spec <specs>] [-M|--no-interface-merge] [-N|--wwn-map] [-O|----output-packet-path] [-P|--db-file-path <path>] [-Q|--spool-file-path <path>] [-U|--mapper <URL>] [-V|--version] [-X <max_num_TCP_sessions>] [--disable-instantsessionpurge] [--disable-mutexextrainfo] [--disable-schedyield] [--disable-stopcap] [--fc-only] [--instance] [--no-fc] [--no-invalid-lun] [--p3p-cp] [--p3p-uri] [--skip-version-check] [--w3c] [-4|--ipv4] [-6|--ipv6]

Unix options:

[-d|--daemon] [-i|--interface <name>] [-u|--user <user>] [-K|--enable-debug] [-L] [--pcap_setnonblock] [--use-syslog= <facility>] [--webserver-queue <number>]

Windows option:

[-i|--interface <number|name>]

OpenSSL options:

[-W|--https-server <port>] [--ssl-watchdog]

สาระสำคัญ DESCRIPTION

ntop เป็นเครื่องมือที่ใช้แสดงปริมาณการใช้งานเครือข่ายในปัจจุบัน โดยจะแสดงรายการของโฮสต์ ซึ่งกำลังใช้เครือข่ายในปัจจุบันและรายงานข้อมูลข่าวสารที่เกี่ยวกับการแสดงปริมาณการใช้งานเครือข่ายของแต่ละโฮสต์  Ntop อาจจะเป็นผู้รวบรวมการทำงาน การส่งข้อมูลตั้งแต่ต้นจนจบ (sFlow and/or netFlow plugins) หรือเป็นผู้รวบรวมการทำงานได้อย่างอิสระและเว็บบราวเซอร์จำเป็นต้องเข้าถึงข้อมูลที่ถูกดักจับโดยโปรแกรม Ntop

ntop ทำงานระหว่าง Layer2 กับ Layer 3 ของระบบเครือข่าย โดยพื้นฐานมันใช้ Layer 2 ควบคุมการเข้าถึงข้อมูล Mac Address และ Layer 3 ในการเข้าถึงข้อมูล TCP/IP Address

ntop มีความสามารถในการทำงานได้ทั้ง 2 แบบ คือ แบบ IP และ NON-IP (เช่น arp, rarp) ดังนั้นการสื่อสารจะถูกผสมผสานเข้าด้วยกันเพื่อให้เกิดการสื่อสารอย่างสมบูรณ์

อธิบายคำสั่ง Command-Line Option

-a | --access-log-file

โดยปกติแล้ว Ntop จะไม่เก็บบันทึกรายการ HTTP ที่ต้องการใน Web Server ไว้ แต่จะใช้ตัวแปรในการบันทึกและระบุตำแหน่งของไฟล์ที่ซึ่งต้องการจะบันทึก HTTP เหล่านี้แทน รายการที่บันทึกไว้แต่ละอันจะอยู่ในรูปแบบคล้ายกับ Apache ความแตกต่างระหว่าง Apache และ Ntop นั้น คือ Ntop จะบันทึกเพิ่มเติมรายการตลอดเวลา (1000 รายการ :1 วินาที) รายการที่บันทึกไว้จะเป็นดังนี้

192.168.1.1 - - [04/Sep/2003:20:38:55 -0500] - "GET / HTTP/1.1" 200 1489 4
192.168.1.1 - - [04/Sep/2003:20:38:55 -0500] - "GET /index_top.html HTTP/1.1" 200 1854 4
192.168.1.1 - - [04/Sep/2003:20:38:55 -0500] - "GET /index_inner.html HTTP/1.1" 200 1441 7
192.168.1.1 - - [04/Sep/2003:20:38:56 -0500] - "GET /index_left.html HTTP/1.1" 200 1356 4
192.168.1.1 - - [04/Sep/2003:20:38:56 -0500] - "GET /home_.html HTTP/1.1" 200 154/617 9
192.168.1.1 - - [04/Sep/2003:20:38:56 -0500] - "GET /home.html HTTP/1.1" 200 1100/3195 10
192.168.1.1 - - [04/Sep/2003:20:38:56 -0500] - "GET /About.html HTTP/1.1" 200 2010 10

ตัวแปรนี้จะเรียกดูไฟล์ที่ทำการบันทึกเสร็จสมบูรณ์แล้ว ซึ่งจะเรียกตรวจสอบได้ดังนี้ --access-log-path.

-b | --disable-decoders

ตัวแปรนี้ปิดการถอดรหัสโปรโตคอล

ตัวถอดรหัสโปรโตคอลจะตรวจดูและรวบรวมข้อมูลเกี่ยวกับโปรโตคอล Layer 2 เช่น NetBIOS หรือ Netware SAP, รวมทั้งเกี่ยวกับโปรโตคอล TCP/IP (layer 3) เช่น DNS, http และ ftp

ในที่นี้จะรวบรวมการทำงานของแต่ละโปรโตคอลและข้อแตกต่างของความสามารถกับจำนวนข้อมูลใหม่ ๆ (Packets and bytes) ซึ่งสามารถกำหนดได้ดังนี้ -p | --protocols parameter

การถอดรหัสโปรโตคอลเป็นการแสดงการใช้ทรัพยากร ถ้า Host Ntop เป็น underpowered หรือเป็นผู้ติดตามการทำงานของเครือข่าย คุณอาจปิดโปรโตคอลที่ถอดรหัสผ่านทางตัวแปรนี้ จึงสมควรใช้ตัวแปรนี้ หากคุณคิดว่าบนเครือข่ายของคุณมีปัญหาเกี่ยวกับบางโปรโตคอลที่ใช้อยู่

ถึงแม้ว่าถอดรหัสถูกปิด การสื่อสาร  Ftp-data ก็ยังคงทำงานอยู่ต่อไป

-c | --sticky-hosts

ใช้ตัวแปรนี้เพื่อให้มีการจำโฮสต์ไว้  ถึงแม้ในกรณีที่ไม่มีข้อมูลอยู่ในหน่วยความจำเลยก็ตาม

โดยปกติแล้ว Hosts จะว่างเป็นระยะๆ จากการที่ไม่มีข้อมูลในหน่วยความจำ โฮสต์จะว่างเมื่อไม่มีแพ็กเก็ตจากหรือถึงโฮสต์นั้น มีการติดตามตามระยะเวลาที่กำหนดโดยค่าของ PARM_HOST_PURGE_MINIMUM_IDLE ใน globals-defines.h.

ถ้าคุณใช้ออปชันนี้ Host ทั้งหมดที่ทำงานหรือไม่ทำงาน จะถูกเก็บไว้ในหน่วยความจำอย่างต่อเนื่องในขณะที่รัน Ntop อยู่

ถ้ามีการใช้ P2P, port scans เครื่อง web server ที่ได้รับการเข้าใช้มากที่สุด จะทำให้ ntop บันทึกข้อมูลเกี่ยวกับ hosts จำนวนมากมายบนเครือข่ายที่ทำงานอยู่ สิ่งนี้จะใช้แสดงจำนวนการทำงานของหน่วยความจำตลอดเวลา

คำแนะนำ ถ้าหากว่าคุณใช้ sticky-hosts ก็ควรจะใช้ filtering ควบคู่ไปด้วย เพื่อไม่ให้เก็บ packets ที่ไม่มีความจำเป็นมากจนเกินไป

การกำจัดโฮสต์ทีไม่ได้ใช้ประโยชน์ คือการเลือกโฮสต์ซึ่งมีคุณสมบัติเหมาะสมที่จะกำจัดในแต่ละครั้ง ดังนั้นจะทำบนระบบที่วุ่นวาย สำหรับโอสต์ที่ไม่มีประโยชน์ที่ยังเหลืออยู่ในตาราง ntop และแสดงสถานะเป็น ‘active’ ในเวลาที่มันว่างจริงๆ

-d | --daemon

This parameter causes ntop to become a daemon, i.e. a task which runs in the background without connection to a specific terminal. To use ntop other than as a casual monitoring tool, you probably will want to use this option.

WARNING: If you are running as a daemon, the messages from ntop will be ’printed’ on to stdout and thus dropped. You probably don’t want to do this. So remember to also use the -L or --use-syslog options to save the messages into the system log.

-e | --max-table-rows

ในส่วนนี้จะเป็นการกำหนดค่าสูงสุดของข้อมูลที่จะแสดงบนแต่ละหน้า HTML ถ้ามีมากกว่าที่ถูกกำหนดไว้ ก็จะมีส่วนของข้อมูลแสดงเพิ่มขึ้นมาอีกหน้า

-f | --traffic-dump-file

โดยปกติ Ntop จะจับการสื่อสารจากเน็ตเวิร์คการ์ด ( NICs) หรือจากการตรวจสอบ netFlow / sFlow อย่างไรก็ตาม ntop ยังสามารถอ่านข้อมูลจากไฟล์โดยจะจับชุด tcpdump หรือผลลัพธ์บางอย่างของ ntop packet

ถ้าคุณจะกำหนด -f Ntop จะไม่จับการปริมาณการใช้ใดๆจาก NICs ในระหว่างหรือหลังจากที่อ่าน netFlow / sFlow

ออปชันนี้ส่วนมากจะถูกใช้สำหรับการตรวจสอบเพื่อแก้ไขปัญหา

-g | --track-local-hosts

โดยปกติ ntop จะได้ข้อมูล host ทั้งหมดมาจากการจับ packets บนเน็ตเวิร์คการ์ด(NICs)  ต่างๆ โดยจะใช้ตัวแปร –g |--track-local-hosts เพื่อให้ ntop จับข้อมูลของ Host ที่อยู่ในเครือข่ายเท่านั้น ในเครือข่ายของโฮสต์ภายในที่บอกที่อยู่ของเน็ตเวิร์คการ์ด(NICs)  นั้นต้องระบุเป็น

-m | --local-subnets parameter

-h | --help

แสดงข้อมูลความช่วยเหลือสำหรับ Ntop รวมถึงการใช้ และตัวแปร

 

-j | --create-other-packets

ตัวแปรนี้จะทำให้ ntop สร้างที่เก็บไฟล์การใช้งานสำหรับเครือข่ายที่สามารถตรวจจับได้ขึ้นมา ไฟล์แต่ละไฟล์จะถูกสร้างไว้ใน <path>/ntop-other-pkts.<device>.pcap, ซึ่ง <path> จะถูกกำหนดโดย -O | --output-packet-path parameter ซึ่งจะเป็นประโยชน์สำหรับการทำความเข้าใจกับ packet ที่ไม่สามารถระบุประเภทได้

-l | --pcap-log

ตัวแปรนี้จะทำให้ที่เก็บไฟล์ถูกสร้างจากการใช้งานเครือข่ายโดยจะอยู่ในรูปแบบ tcpdump ( pcap )ไฟล์นี้จะเป็นประโยชน์สำหรับการแก้ไขปัญหาต่าง ๆ และอาจจะเข้าไปดูโดยใช้ -f | --traffic-dump-file parameter  การเก็บข้อมูลจะทำหลังจากการทำ filter

ไฟล์ที่ได้จะมีชื่อ <path> / <log> . <device> . pcap ใน Windows จะชื่อ <path> / <log> . pcap ซึ่ง <path> จะถูกกำหนดโดย -O | --output-packet-path parameter และ <log> จะถูกกำหนดโดย -l | --pcap-log parameter

-m | --local-subnets

Ntop จะกำหนด IP Address และ netmasks สำหรับแต่ละ active interface การสื่อสารแต่ละครั้งเครือข่ายจะมองเห็นเป็นโฮสต์ภายใน ตัวแปรนี้จะยอมให้ผู้ใช้กำหนดเครือข่ายและ subnetwork เพิ่มเติมได้ ซึ่งในรายงานของ ntop จะมองว่า Traffic เหล่านี้เป็นโฮสต์ภายใน ส่วนที่ต่างจากนี้จะมองเป็นโฮสต์ภายนอก

จะใช้จุดจุลภาคแยกค่าเน็ตเวิร์คหลายๆ ค่าออกจากกัน ทั้ง netmask และ CIDR อาจถูกนำมาใช้รวมกัน ตัวอย่าง "131.114.21.0/24,10.0.0.0/255.0.0.0"

Subnet ภายใน ถูกกำหนดโดย interface address ภายในตลอดเวลา และไม่จำเป็นต้องระบุ ถ้าหากว่าคุณใช้ค่าเดียวกันเป็นตำแน่งที่อยู่ภายในของ NIC จริงๆ ก็จะมีข้อความเตือนที่ไม่เป็นอันตรายขึ้นมา

-n | --numeric-ip-addresses

โดยพื้นฐานแล้ว ntop จะแยก IP Address ที่ใช้ร่วมกันในการทำงานออกอย่างชัดเจน DNS แค่สอบถามและอยู่เฉยๆ

การอยู่เฉยๆ เพื่อตอบสนองของ DNS เกิดขึ้นเมื่อ ntop รับ packet ที่บรรจุเครือข่ายที่ตอบสนองการสอบถามของบาง DNS ของผู้ใช้อื่นๆ ntop จับข้อมูลนี้และเข้าไปใน DNS cache ของ ntop ในจุดประสงค์ของระยะเวลาอันสั้นเพื่อจะเห็น traffic address ของโฮสต์นั้น ทางนี้ ntop จะลดความสำคัญของหมายเลขการสอบถามของ DNS ลง

ตัวแปรนี้เป็นสาเหตุให้ ntop มองข้ามความละเอียดของ DNS โดยจะแสดงตัวเลข IP Address แทนที่ชื่อที่เป็นสัญลักษณ์ option นี้มีประโยชน์เมื่อ DNS ไม่แสดง หรือแสดงช้า

-o | --no-mac

Ntop ผสมระหว่าง Layer 2 กับ Layer 3 กล่าวคือ ntop ใช้ทั้ง 2 ระดับ จะอยู่ในระดับต่ำกว่า Physical สำหรับ MAC แต่จะสูงกว่าระดับ Logical สำหรับ TCP/IP Address

ตัวแปรนี้ระบุว่า ntop ไม่ควรใช้ MAC Address แต่ควรใช้ IP Address

โดยปกติแล้ว MAC Address เป็นหมายเลขพิเศษที่ไม่มีการซ้ำกันเกิดขึ้น การทำงานทั้ง 2 ระดับของ Ntop จะเป็นประโยชน์และจะจัดหาข้อมูลที่ดีกว่าเกี่ยวกับเครือข่ายเท่าที่จะหาได้ผ่านทางกระบวนการของ Layer 2 และ Layer 3

ในกรณีที่ ntop เริ่มทำงานบน interface ที่ซึ่ง MAC Address ไม่มีอยู่จริง  คุณอาจจะต้องการออปชันนี้

ข้อมูลที่อยู่บน MAC Address (ยกเว้นโปรโตคอล TCP/IP ที่เหมือน IPX) จะไม่ถูกนำมาแสดง

-p | --protocols

ตัวแปรนี้ใช้ระบุโปรโตคอล TCP/UDP ที่ตรวจโดย ntop รูปแบบคือ <label>=<protocol list> [, <label>=<protocol list>] สัญลักษณ์ที่ใช้กับ Label คือ <protocol list> รูปแบบของ<protocol list> คือ <protocol>[|<protocol>] ที่ <protocol> ทั้งสองต้องระบุไว้ข้างในไฟล์  /etc/services หรือที่หมายเลขพอร์ต (ตัวอย่างเช่น 80, หรือ 6000-6500 )
                ตัวอย่างง่ายๆ คือ Protocols="HTTP=http|www|https|3128,FTP=ftp|ftp-data" ซึ่งลด โปรโตคอลที่แสดงบน IP ลงมา 3 หน้า

Host                      Domain Data          HTTP   FTP   Other IP
ns2.attbi.com             <flag>  954 63.9 %      0     0        954
64.124.83.112.akamai.com  <flag>  240 16.1 %    240     0          0
64.124.83.99.akamai.com   <flag>  240 16.1 %    240     0          0
toolbarqueries.google.com <flag>   60 4.0 %      60     0          0

ถ้า <protocol list> ยาวมากๆ คุณอาจจะเก็บมันไว้ในไฟล์(สำหรับตัวอย่าง protocol list)แล้วระบุชื่อไฟล์แทนที่<protocol list> บนบรรทัดคำสั่ง ตัวอย่าง ntop -p protocol.list
                ถ้าตัวแปร -p ถูกละเว้นค่าพื้นฐานดังต่อไปนี้

  FTP=ftp|ftp-data
  HTTP=http|www|https|3128     3128 is Squid, the HTTP cache
  DNS=name|domain
  Telnet=telnet|login
  NBios-IP=netbios-ns|netbios-dgm|netbios-ssn
  Mail=pop-2|pop-3|pop3|kpop|smtp|imap|imap2
  DHCP-BOOTP=67-68
  SNMP=snmp|snmp-trap
  NNTP=nntp
  NFS=mount|pcnfs|bwnfs|nfsd|nfsd-status
  X11=6000-6010
  SSH=22

 Peer-to-Peer Protocols
  ----------------------
  Gnutella=6346|6347|6348
  Kazaa=1214
  WinMX=6699|7730
  DirectConnect=0      Dummy port as this is a pure P2P protocol
  eDonkey=4661-4665

 Instant Messenger
  -----------------
  Messenger=1863|5000|5001|5190-5193

หมายเหตุ : เพื่อแยกชื่อโปรโตคอลให้กับหมายเลขพอร์ต จำเป็นต้องระบุไว้ใน system file ที่ใช้โปรโตคอล และพอร์ต TCP/UDP ที่ไฟล์ typically /etc/services file คุณจะต้องจับคู่ชื่อในไฟล์นั้นอย่างละเอียดเพื่อไม่ให้เกิดข้อผิดพลาดหรือความไม่แน่นอน (non-standard) จึงจำเป็นต้องระบุพอร์ตเป็นตัวเลข เช่น 3128

                ถ้าคุณตั้งชื่อไฟล์ เป็น /etc/protocol จะทำให้เกิดความสับสน เพราะเลขโปรโตคอลของ Ethernet นั้น ไม่ใช่สิ่งที่คุณกำลังค้นหา

-q | --create-suspicious-packets

ตัวแปรนี้มีผลทำให้ ntop สร้างที่เก็บไฟล์ของ packets ที่น่าสงสัย
ซึ่งมีหลายสาเหตุที่ทำให้เกิด packets ที่น่าสงสัย ดังนี้
- ตรวจสอบส่วนของ ICMP [Detected ICMP fragment]
- ตรวจสอบการต่อต้านการโจมตีของโฮสต์ [Detected Land Attack against host]
- ตรวจสอบ overlapping/tiny ของแพ็กเก็ต  [Detected overlapping/tiny packet fragment]
- ตรวจสอบ Traffic บนพอร์ต diagnostic [Detected traffic on a diagnostic port]
- โฮสต์ทำการสแกน ACK/FIN/NULL [Host performed ACK/FIN/NULL scan]
- โฮสต์ที่ปฏิเสธ TCP [Host rejected TCP session]
- HTTP/FTP/SMTP/SSH พอร์ตที่ตรวจสอบผิด [HTTP/FTP/SMTP/SSH detected at wrong port]
- TCP/UDP/ICMP แพ็กเก็ตที่เกิดหรือสร้างขึ้นอย่างผิดปกติ(แพ็กเก็ตสั้นๆ)
   [Malformed TCP/UDP/ICMP packet (packet too short)]
- แพ็กเก็ต # %u ที่ยาวเกินไป [Packet # %u too long]
- รับโปรโตคอล ICMP ที่ไม่สามารถเข้าถึงได้จากโฮสต์
   [Received a ICMP protocol Unreachable from host]
- ส่ง ICMP แพ็กเก็ต เกี่ยวกับการจัดการให้กับโฮสต์
   [Sent ICMP Administratively Prohibited packet to host]
- ตรวจจับ smurf แพ็กเก็ตของโฮสต์ [Smurf packet detected for host]
- การเชื่อมต่อ TCPไม่มีการแลกเปลี่ยนข้อมูล [TCP connection with no data exchanged]
- TCP คืนค่าที่ปราศจากการร่วมมือกันทาง 3 – way
   [TCP session reset without completing 3-way handshake]
- MAC Address 2 ตัว ที่พบบน IP Address เดียวกัน
   [Two MAC addresses found for the same IP address]
- ข้อมูล UDP ที่พอร์ตปิด [UDP data to a closed port]
- โปรโตคอลที่ไม่รู้จัก (ไม่ใช่ HTTP/ETP/SMTP/SSH) ถูกตรวจสอบ (บนพอร์ต 80/21/25/22)
   [Unknown protocol (no HTTP/FTP/SMTP/SSH) detected (on port 80/21/25/22)]
- ออปชัน ICMP ที่ผิดปรกติ [Unusual ICMP options]

เมื่อตัวแปรนี้ถูกเรียกใช้ ไฟล์จะถูกสร้างขึ้น 1 ไฟล์กับ network interface แต่ละอัน เมื่อพบแพ็กเก็ตที่น่าสงสัย ไฟล์จะอยู่ใน tcpdump(pcap) รูปแบบคือ ชื่อ<path>/ntop-suspicious-pkts.<device>.pcap  ซึ่ง <path> ถูกกำหนดโดยตัวแปร  - O  |   - - output- packet- path   

-r | --refresh-time

ระบุเวลา (วินาที) ในการ Refresh หน้าเวปเพจนั้น ตัวแปรนี้จะให้คุณกำหนดเวลาการ Refresh หน้าต่างเบราเซอร์ที่คุณเปิดทิ้งไว้ และแสดงข้อมูลจาก ntop ตลอดเวลา
                ค่าโดยปกติ คือ 3 วินาที ถ้ากำหนดเร็วกว่านั้น (ตัวอย่างเช่น 1 วินาที) ntop ไม่สามารถประมวลผลการจราจรเครือข่ายทั้งหมดได้

-s | --no-promiscuous

                ตัวแปรนี้ใช้ป้องกันการตั้งค่า interface(s) เข้าไปใน promiscuous mode
                Interface ใน promiscuous mode จะรับ Ethernet frames ทั้งหมด โดยไม่คำนึงถึงทิศทางของ network interface (NIC) ว่าระบุไว้หรือไม่ สิ่งนี้คือส่วนที่จำเป็นของ ntop ที่ทำให้สามารถติดตามเครือข่ายทั้งหมด (โดยปราศจาก promiscuous mode) ntop จะเพียงแค่ดูการจราจรที่ส่งให้กับโฮสต์ที่กำลังรันอยู่ เพิ่ม broadcast traffic เช่นเดียวกับ arp และ dhcpโปรโตคอล
                ถึงแม้ว่าคุณจะใช้ตัวแปรนี้ แต่ Interface ก็ยังมีประสิทธิภาพดีอยู่ใน promiscuous mode ถ้ามีโปรแกรมอื่นที่ทำให้มันสามารถใช้ประโยชน์ได้
                Ntop จะตรวจจับค่านี้บน libpcap แพ็กเก็ตจะตรวจจับ library ในหลายระบบ network interface ที่เปิดใช้ non-promiscuous จะล้มเหลว เพราะว่า libpcap ส่วนมากที่ทำงานบนระบบต้องการตรวจจับ raw packet (ntop ตรวจจับ raw packet เพื่อเราจะดูและวิเคราะห์ข้อมูล MAC ที่ layer 2)
                ดังเช่นบนระบบส่วนมาก ntop มีความเป็นไปได้มากที่เริ่มต้นจาก root และออปชันนี้ส่วนใหญ่เป็นส่วนตกแต่ง ถ้ามันล้มเหลวคุณจะเห็น***FATALERROR*** message referring to pcap_open_live() และ ข้อความว่า "Sorry, but on this system, even with -s, it appears that ntop must be started as root".  

-t | --trace-level

                ตัวแปรนี้จะกำหนด Information ระดับของข้อมูลข่าวสาร ที่คุณต้องการให้ ntop แสดง (บน stdout หรือที่ log) จะแสดงตามระดับของตัวเลขที่มากกว่าโดยเรียงตามลำดับระหว่าง 0 – 5(0 คือไม่มีเลย, 5 คือเต็ม) ค่าพื้นฐานคือ 3
                ระดับ 0 คือไม่มีข่าวสารเลย จะแสดงข้อผิดพลาดที่ร้ายแรงและการ Startup/shutdown ข่าวสารตลอดเวลา ระดับ 2 แสดงทั้งข้อผิดพลาดและการเตือน และระดับ 3 แสดงข้อผิดพลาด, การเตือนและข้อมูลข่าวสาร ระดับ 4 ถูกเรียกว่า’noisy’ และมันจะสร้างข่าวสารจำนวนมากมายเกี่ยวกับการทำงานภายในของ ntop ระดับ 5 เหนือกว่า’noisy’จะเพิ่ม logs พิเศษ คือข่าวสารที่เป็นไปได้ทั้งหมดกับระบุ file:line ทุกข่าวสาร

-u | --user

                จะกำหนดว่าผู้ใช้ ntop ควรจะรันหลังจากที่มัน initializes โดยปกติ ntop จะเริ่มจาก root ดังนั้นมันจึงมีสิทธิพิเศษที่จะเปิดเครือข่าย interfaces ในโหมด promiscuous และการรับเฟรมใหม่ ถ้าคุณต้องการทดลองใช้ ntop ที่เป็น non-root ให้ดู discussion ของ -s | --no-promiscuous above
                หลังจากที่เริ่มมีการทำงาน  ntop จะกำหนดให้คุณเป็นผู้ใช้ในตรงนี้ ซึ่งจะมีสิทธิทั่วไป เนื่องจากยังไม่ได้ login
User id นี้จะอยู่ในฐานข้อมูลของ ntop และ output file
                ค่าที่ระบุอาจจะเป็นค่าใดค่าหนึ่งคือชื่อผู้ใช้หรือรหัสผู้ใช้ กลุ่มของรหัสผู้ใช้จะเป็นกลุ่มแรกของผู้ใช้ที่ระบุ ถ้าตัวแปรนี้ไม่ถูกระบุไว้ ntop จะกำหนดให้เป็น ’nobody’ แล้วก็ ‘anonymous’ เอาไว้ก่อน
                หมายเหตุ : สิ่งนี้ไม่ควรจะเป็น root ยกเว้นแต่คุณจะมีการรักษาความปลอดภัยจริงๆ
เพื่อที่จะป้องกันสิ่งที่จะเกิดโดยเหตุบังเอิญ วิธีเดียวคือไม่ให้รัน ntop ที่เป็น root (-u root)
[-x <max_num_hash_entries>]
                Ntop จะสร้าง hash/list ใหม่ขึ้นมาสำหรับแต่ละ Hosts/TCP ใหม่ ในกรณีที่ถูกโจมตีแบบ DOS (Denial of Service) ผู้โจมตีสามารถใช้หน่วยความจำที่มีของโฮสต์ทั้งหมดได้โดยง่าย เพราะว่า ntop กำลังสร้างรายการสำหรับdummy hosts เพื่อที่จะหลีกเลี่ยงสิ่งนี้ที่คุณสามารถตั้งค่าจำกัดในระดับสูงเพื่อที่จะจำกัดหน่วยความจำของ ntop ที่สามารถใช้ได้

 

-w | --http-server

-W | --https-server

                Ntop จะรวบรวมข้อมูลข่าวสารที่จะแสดงและฝังไว้ที่ web server แต่ไม่สนับสนุน server ภายนอกอย่าง HTTP server  ,Web server
ntop ถูกฝังเข้าไปในโปรแกรม ตัวแปรเหล่านี้จะระบุพอร์ต (และทางเลือกAddress (เช่น interface))ของ ntop web server.
                ตัวอย่างเช่น ถ้าเริ่มต้นที่ –w 3000 (พอร์ตพื้นฐาน) URL ที่จะเข้าถึง ntop คือ http://hostname:3000 หรือเริ่มต้นโดยระบุ –w 192.168.1.1:3000 ntop จะฟังบน address นั้นและรวมพอร์ตเข้าด้วยกัน
                ถ้า – w ตั้งเป็น 0 ไว้ web server จะไม่รับ http://connections และเช่นเดียวกันถ้าตั้ง  –W เป็น 0 ไว้จะไม่ควบคุมพอร์ตสำหรับ http://connections ด้วยเช่นกัน ดังตัวอย่าง
Ntop – w 3000 –W 0 (นี่คือค่าพื้นฐาน) HTTP ใช้ได้บนพอร์ต 3000 แต่ HTTPS ใช้ไม่ได้
ntop -w 80 -W 443 ทั้ง HTTP และ HTTPS สามารถใช้บนพอร์ตทั่วไปได้
ntop -w 0 -W 443 HTTP จะถูกระงับ, HTTPS สามารถใช้ได้
                หน้า configuration ของ web server ของ ntop ถูกป้องกันโดย user id และ password โดยปกติแล้วการ configuration เป็นหน้าที่ของ administrator เมื่อปิดเครื่อง password ก็จะหายไปด้วย และจะเข้าใช้ได้ต้องใส่ password ของ admin ที่ตั้งไว้ตั้งแต่ตอนแรกที่รัน ntop
                ผู้ใช้สามารถแก้ไข ,เพิ่ม ,ลบผู้ใช้ ,URLs การใช้ ntop ได้เอง ส่วน password ,user id และ URLs จะถูกเก็บไว้ในไฟล์ฐานข้อมูล ซึ่ง password จะถูกเก็บไว้ในรูปแบบของการนำข้อมูลมาเข้ารหัสอยู่ในฐานข้อมูล เพื่อความปลอดภัยที่มากขึ้น ส่วนในทางปฏิบัติที่ดีที่สุดสำหรับความปลอดภัยของฐานข้อมูลนั้น ผู้ใช้ ntop จะสามารถอ่านข้อมูลได้เพียงอย่างเดียว
                มี discussion อยู่ใน docs เป็นการรวบรวมคำถามที่ถามบ่อยๆเกี่ยวกับความปลอดภัยของ ntop

-z | --disable-sessions

ตัวแปรนี้ใช้ ปิดการทำงานของ TCP ใช้ตัวแปรนี้เมื่อคุณไม่ต้องการใช้ TCP หรือไม่สนที่จะติดตามการทำงานของ TCP

-A | --set-admin-password

ตัวแปรนี้ใช้เริ่มต้นการทำงานของ Ntop จัดการเกี่ยวกับรหัสผ่าน มันมีประโยชน์สำหรับ ผู้ติดตั้งโปรแกรม ซึ่งมันจะทำงานโดยอัตโนมัติเกี่ยวกับการตั้งรหัสผ่านสำหรับ Admin
-A and --set-admin-password จะจัดหารหัสผ่านให้กับผู้ใช้
คุณอาจจะใช้ตัวแปรนี้ในการตั้งค่าแบบกำหนดเองโดย --set-admin-password=value (value คือค่าที่ต้องการจะใส่และต้องไม่เป็นค่าว่าง)
ถ้าคุณพยายามที่จะรัน ntop เป็น daemon โดยไม่มีการตั้งค่ารหัสผ่าน อาจทำให้ข้อมูลของ Ntop เกิดความผิดพลาดและอาจทำให้ Ntop หยุดทำงานได้

-B | --filter-expression

                จะให้ผู้ใช้จำกัด Traffic ที่เห็นโดย ntop เท่าที่จะสามารถเห็นได้ในรายการ ตัวแปรนี้กำหนดเวลาในการรัน แต่อาจจะถูกเปลี่ยนแปลงได้ในขณะที่ ntop รันอยู่(การเปลี่ยนแปลงหน้า filter )

                รูปแบบพื้นฐานคือ –B filter, ซึ่งจะอ้างถึงสิ่งที่กำหนด              
ประโยคของ filter expression คือการใช้ BPF(Berkeley  Packet  Filter) เดียวกัน เหมือนกับการใช้แพ็กเก็ตอื่น เช่น tcpdump สมมุติว่าคุณสนใจ traffic ที่สร้าง/รับ โดยโฮสต์  jake.unipi.it. ntop สามารถทำงานกับ filter ดังต่อไปนี้   ntop -B src host jake.unipi.it or dst host jake.unipi.it หรือสั้นๆ คือ ntop -B host jake.unipi.it or host jake.unipi.it
โดยปกติจะพบ ‘expression’ ในส่วนของ tcpdump man page
http://www.tcpdump.org/tcpdump_man.html สำหรับข้อมูลเพิ่มเติมและแนะนำให้รู้จักกับ BPF filter
คำเตือน : ถ้าคุณกำลังใช้ filter expressions ที่ซับซ้อนเหล่านั้น โดยเฉพาะกับ =S หรือเนื้อที่เหล่านั้น เพื่อความแน่ใจควรใช้ออปชันที่เป็นแบบยาว –filter-expressions=”xxx” ไม่ใช่ –B”xxx”

-C |

                ntop จะใช้เครื่องมือนี้ในการ configuration  ค่าในโหมดของ Host และโหมดของ Network 
โหมดของ Host (default) ntop ทำงานตามปกติ IP Address ที่ได้รับก็เป็น IP Address ของ Host ที่มีอยู่จริง ในโหมดของโฮสต์ IP Address ที่ได้รับนั้นเป็นของ C - class network ที่มีอยู่ในเครือข่ายนั้น   
โหมดของ network จะเป็นประโยชน์อย่างมากเมื่อติดตั้งในระบบที่มีการเปลี่ยนแปลงของข้อมูลมาก (ตัวอย่างเช่น การทำงานในส่วนกลางของอินเตอร์เน็ต)
ด้วยเหตุนี้ควรจะใช้โหมดของ Host เมื่อ ntop ถูกติดตั้งบนขอบของเครือข่าย (ตัวอย่างเช่น ภายในบริษัท)
ในโหมด Network จะลดจำนวนความสำคัญในการทำงานของ ntop ที่ทำงานอยู่ในโหมดของ Host ลง และมันจะทำงานทุกครั้งที่ ntop พบการสื่อสารภายนอกเครือข่ายและจะไม่มีการระบุตำแหน่งของ Host

-D | --domain

                สิ่งนี้จะระบุไว้ท้ายชื่อโดเมน เช่น ntop.org ซึ่งมันอาจจะจำเป็นถ้า ntop กำลังตัดสินใจโดยใช้ interface

-F | --flow-spec

                จะใช้เพื่อกำหนดเส้นทางการไหลของข้อมูลในเครือข่ายที่คล้ายกันทำให้เกิดการส่งข้อมูลที่มีประสิทธิภายมากยิ่งขึ้น เส้นทางนี้เป็นการไหลของข้อมูล Captured packets ตามที่มีการกำหนดไว้ ซึ่งมีรูปแบบดังนี้
<flow-label>='<matching expression>'[, <flow-label>='<matching expression>']
                ซึ่งจะใช้ Label นี้เป็นตัวบ่งบอกถึงเส้นทางการไหลของข้อมูลในเครือข่าย การแสดงออกจะเป็นแบบ bpf (Berkeley Packet Filter) ถ้าการแสดงถูกกำหนด แล้วข้อมูลเกี่ยวกับการไหลสามารถถูกเข้าถึงตามทีหลัง โดย HTML ที่เรียกว่า 'List NetFlows'
ตัวอย่างสำหรับการกำหนดการแสดงเส้นทางการไหล 2 รูปแบบ
LucaHosts=’host jake.unipi.it or host pisanino.unipi.it’
GatewayRoutedPkts=’gateway gateway.unipi.it’ .
                Traffic ทั้งหมดที่รับและส่งโดยโฮสต์ jake.unipi.it หรือ pisanino.unipi.it จะถูกรวบรวมโดย ntop และเก็บการไหลของข้อมูลไว้ที่ LucaHosts ส่วนเส้นทางของ packet ทั้งหมดของเกทเวย์ gateway.unipi.it จะเก็บการไหลของข้อมูลไว้ที่ GatewayRoutedPkts ถ้ารายการการไหลของข้อมูลยาวมาก คุณอาจจะเก็บไว้ในแฟ้ม (ตัวอย่างเช่น flow.list) และกำหนดชื่อไฟล์ตัวอย่างของการไหลของข้อมูลที่มีอยู่จริง (จากตัวอย่างที่ผ่านมาจะได้เป็น “ntop –F flows.list”)

-K | --enable-debug

                ใช้ตัวแปรนี้เพื่อให้แก้ไข Application ได้ง่ายขึ้น ทำตามขั้นตามดังนี้
                1. ไม่ทำ frok() บนหน้า html ที่อ่านได้อย่างเดียว
                2. แสดง mutex บนค่าที่ตั้งไว้ในหน้า info.html
                3. (ถ้ามี glibc/gcc มาให้)จะทำการ backtrace อย่างอัตโนมัติ บน application ที่มีปัญหา

-L | --use-syslog=facility

                ใช้ตัวแปรนี้ส่ง log messages ไปยัง system log แทนที่จะส่งไปแสดงผลที่ stdout
-L ที่เป็นรูปแบบง่ายๆ คือ  --use-syslog ใช้ default log facility กำหนดความเป็น LOG_DAEMON ข้างในสัญลักษณ์ # ระบุ default _SYSLOG_FACILITY ใน globals-defines.h ส่วนรูปแบบที่ซับซ้อน คือ --use-syslog = facility จะตั้งค่า log facility ให้กับค่าทั้งหมด (ตัวอย่าง local3 ,sucurity)โดยที่คุณสามารถกำหนดได้ และ THE= is REQUIRED และไม่เท่ากับพื้นที่ว่าง
การตั้งค่านี้ใช้ได้ทั้ง ntop และ fork ลูก สำหรับการรายงาน แต่ถ้าไม่ระบุตัวแปรนี้ไว้ fork ลูก จะใช้ค่า default และจะ log messages ที่ system log (สิ่งนี้เกิดขึ้นเพราะจะต้องให้มันเข้าไปที่ parents stdout) เพราะว่าระบบต่างๆ ไม่ยอมใช้ชื่อที่มีให้ เรามีตารางที่ท้ายของ global – core.c ที่ค้นหา myFacilityNames.

-M | --no-interface-merge

                โดยปกติ ntop รวบรวมข้อมูลจาก interfaces ทั้งหมด(NICs) ที่กำลังติดตามเข้าไปในส่วนหนึ่งของ counters
                ถ้าคุณมีเครือข่ายง่ายๆ ที่เล็กๆ มีการเชื่อมต่อเครือข่ายอินเตอร์เนต การรวบรวมข้อมูลทั้งหมดของเครือข่ายจะสมบูรณ์และมีประสิทธิดี สำหรับเครือข่ายที่ซับซ้อนมากขึ้น อาจไม่เป็นตามที่ต้องการ คุณอาจจะมีเหตุผลอื่นที่ต้องการที่จะแยกแต่ละ interface ออก ตัวอย่างเช่น DMZ กับ LAN traffic
                ออปชันนี้แนะนำว่า ntop ไม่ใช่การรวม network interface ไว้ด้วยกัน  หมายความว่า ntop จะรวบรวมสถิติสำหรับ interface แต่ละตัวและจะแยกรายงานออกจากกัน โดยที่ interface หนึ่งอาจจะรายงานเมื่อ - use the Admin | Switch NIC ซึ่งออปชันบน web server ก็จะเลือก interface ที่จะรายงาน

-N | --wwn-map

ออปชันนี้จะจัดหาไฟล์แผนที่ของ WWN กับ FCID/VSAN ids.

-O | --output-packet-path

                ตัวแปรนี้กำหนด path หลักของ ntop-suspicious-pkts.XXX.pcap และที่เก็บไฟล์ packet ธรรมดา ถ้าตัวแปรนี้ไม่ถูกกำหนด ค่า default จะเป็น CGP_DBFILE_DIR ซึ่งตั้งค่า during./configure จาก - -localstatedir=paramrter. ถ้า - - localstatedir ไม่ได้กำหนดไว้ ค่า default คือ   - -prefix value plus /var (ตัวอย่าง /usr/local/var)
                คุณอาจไม่คิดว่าจะมีเหตุการณ์ที่ ntop รันเป็น daemon หรือ Windows  การตั้งค่า path ที่ชัดเจนและ สมบูรณ์ เป็นคำแนะนำที่ดี ถ้าคุณใช้ออปชันนี้

-P | --db-file-path

-Q | --spool-file-path

                ตัวแปรเหล่านี้จะกำหนดที่เก็บไฟล์ฐานข้อมูลของ ntop
                มี 2 แบบ ‘temporary’ ซึ่งไม่จำเป็นต้องเก็บ และ ‘permanent’ ซึ่งต้องถูกเก็บ (หรือสร้างอีกครั้ง) ฐานข้อมูลแบบ ‘permanent’ คือ “prefsCache.db” และไฟล์หรัสผ่านคือ “ntop_pw.db” ซึ่งจะถูกเก็บไว้ตาม path ที่กำหนดใน [-P | --db-file-path]
                ต้องใช้ Plugins [–P –db-file-path] กำหนดตำแหน่งของฐานข้อมูล (“LsWatch.db”) หรือ (ค่าพื้นฐาน) สำหรับไฟล์ (…/rrd/…)
                ฐานข้อมูล ‘temporary’ คือ “addressQueue.db” ที่เก็บ DNS “dnsCache.db” และ MAC prefix  (ตาราง vendor) “macPrefix.db” ถ้าหากว่ากำหนด –P | --db-file-path มันใช้กับฐานข้อมูลทุกชนิด ภายในไดเรกทอรีจะยอมอ่าน/เขียนและสร้างไฟล์โดยผู้ใช้ ntop สำหรับความปลอดภัย ทุกคนสามารถเข้าไปใช้ไฟล์เหล่านั้นได้
หมายเหตุ ที่ว่าค่าพื้นฐาน CFG_DBFILE_DIR จะอยู่ใน config.h การแก้ไข ./configure นี้จะได้จาก --localstatedir=parameter ถ้าไม่มีการระบุ --localstatedir ปกติจะเพิ่มค่า --prefix เข้าไปข้างหน้า /ver(เช่น usr/local/var)

-U | --mapper

                เป็นเครื่องมือที่ใช้ระบุ URL ของ mapper.pl ถ้าหากว่า ntop สามารถสร้าง hyperlink บนหน้า ’Info about host xxxxxx’ ไปยังURL นี้โดยต่อท้ายด้วย=xxxxx. สามารถทำได้โดยดูตามชนิดของโฮสต์ แต่จะดูไปถึงตำแหน่งของโฮสต์ด้วย
                cgi-based จะระบุไปที่ <http://www.multimap.com/> คือ path การแจกแจงของ ntop [ www/Perl/mapper.pl]

-V | --version

แสดง version ของ ntop

-W | --https-server

ให้ดูเอกสารอ้างอิงกับตัวแปร –w ด้านบน

--disable-instantsessionpurge

                Ntop ตั้งส่วนที่เสร็จสมบูรณ์เป็น’timed out’ และก็ทำการปรับปรุงเกือบทันที ซึ่งไม่มีการกระทำที่คุณอาจจะหวังเอาไว้จากการโต้ตอบเกี่ยวกับ purge timeout การ switch นี้ทำให้ ntop พิจารณา timeouts สำหรับส่วนที่เสร็จสมบูรณ์ มันไม่ default เพราะว่า web server มีงานที่ต้องทำมากมาย อาจจะมีส่วนที่เสร็จสมบูรณ์ และนี่อาจจะมีความหมายว่า ntop ต้องใช้ memory มากขึ้น

--disable-mutexextrainfo

                Ntop เก็บข้อมูลพิเศษเกี่ยวกับ locks และ unlocks ของการป้องกันการใช้ process พร้อมกัน ด้วยเหตุที่ ntop ใช้ fine-grained locking ข้อมูลนี้จึงถูกปรับปรุงบ่อย บนระบบปฏิบัติการจะเรียกใช้ข้อมูลเหล่านี้เปลืองมาก (getpid() และ gettimeofday()) ออปชันนี้จึงระงับการใช้ข้อมูลข่าวสารพิเศษ ซึ่งมันไม่ควรมี process ที่อัดแน่นมากเกินไปบน ntop
                อย่างไรก็ตามควรจะทำให้ ntop เกิด deadlock จริงๆ ซึ่งแม้ในบางครั้งเราอาจจะสูญเสียข้อมูลไป

--disable-schedyield

                Ntop ใช้ sched_yield() ร้องขอการปฏิบัติภายในที่ดีกว่าในสถานการณ์หนึ่ง  ภายใต้พื้นฐานของ RedHat Linux 8.0  สิ่งนี้สามารถทำให้เกิด deadlock ได้ เป็นเหตุให้ web server ของ ntop หยุดการตอบสนอง ถึงแม้ว่า ntop ดูเหมือนจะใช้งานได้อย่างราบรื่นตรงตามคำสั่ง ps ก็ตาม
ใช้ switch นี้เพื่อจะระงับการร้องขอสิ่งเหล่านี้ ถ้าคุณพบ deadlocks

--disable-stopcap

                ใน ntop เวอร์ชั้นเก่า (v2.1) เมื่อมีข้อผิดพลาดของหน่วยความจำ โดยปกติของ stopcap สามารถทำให้ web interface ทำงานต่อไปได้แม้ว่าจะไม่มีการทำงานแล้วก็ตามจนกระทั้งปิด ntop

--fc-only

การแสดงสถิติของ Fibre Channel เท่านั้น

--instance

                คุณสามารถรัน ตัวอย่าง ntop ได้หลายๆตัวอย่างในเวลาเดียวกันโดยระบุค่า –P แตกต่างกัน(โดยแยกตามชนิดของไฟล์ ntop.conf) ถ้าคุณตั้งค่าตัวแปรนี้(ที่มีไห้บนบรรทัดคำสั่ง) คุณต้อง
(1) แสดงตัวอย่างชื่อบน web page  
(2) เปลี่ยน log prefix ตั้งแต่ “NTOP” จนถึงการเลือก value ของคุณ
                ถ้าคุณต้องการสร้าง tag ที่นอกเหนือจากที่ปรากฏ ให้สร้างคลาส a.instance ใน style.css 

ดังตัวอย่าง   .instance {
                                          color: #666666;
                                          font-size: 18pt;
                                         }
หมายเหตุ (UNIX) : การรันอย่างสมบูรณ์ในเวอร์ชันที่แตกต่างกันของ ntop binary คุณต้องทำการตรวจสอบและติดตั้งใน binary ที่แตกต่าง (using ./configure --prefix)  แล้วก็ระบุ LD_LIBRARY_PATH  ก่อนการอ้างอิง
ตัวอย่าง  LD_LIBRARY_PATH=/devel/lib/ntop/:... /devel/bin/ntop ...args...
                ถ้านำมาแสดง ไฟล์รูปแบบ<instance>_ntop_logo.gift จะถูกนำมาใช้แทนที่รูปแบบ ntop_logo.gift ซึ่งจะถูกทดสอบครั้งเดียวเท่านั้น ตั้งแต่เริ่มต้นการรัน
คำเฉพาะของ --instance flag ถูกนำมาใช้โดยไม่ได้ทำการทดสอบ ถ้าในกรณีใดๆ ก้อตามที่หาไฟล์ไม่พบ ข้อมูลจะถูกบันทึกไว้ และใช้ normal logo file ถ้าจะสร้าง logo ด้วยตัวคุณเอง ต้องสร้างให้มีขนาด 300x40 transparent gif.  
หมายเหตุ : บน web page นั้น ntop จะใช้ฟังก์ชัน dladdr() original Solaris routine มีปัญหา ใน FreeBSD (และในที่อื่นๆ) โดยการแทนด้วยค่า ARGV[0] ซึ่งทำให้เกิดข้อผิดพลาด แทนที่จะใช้ชื่อไฟล์จริงๆ  ถ้าดูจาก ‘running from’ แล้วไม่ดี แต่ถ้าดูใน ‘libralies in’ แล้วดูดี ก็ใช้ได้

--no-fc

ระงับการประมวลผลและการแสดงผลของ Fibre Channel

--no-invalid-lun

ไม่แสดงข้อมูล LUN ที่ไม่สมบูรณ์

--p3p-cp

--p3p-uri

                P3P เป็น W3C recommendation (ดู : <http://www.w3.org/TR/P3P/>) สำหรับระบุที่รวบรวมข้อมูลส่วนตัวและสิ่งที่ทำกับข้อมูล ตัวแปรนี้ยอมให้คืนข้อมูล P3P

--pcap_setnonblock

                Web server ของ ntop จะ hang หรือแจ้งว่า hang (มีการตอบสนองอย่างช้าๆเท่านั้นที่ความต้องการแรกจาก browser) ขณะที่หยุดพัก Web server ของ ntop ต้องรันได้  เกิดขึ้นใน FreeBSD 4.x
                ออปชันนี้ตั้งค่า non-blocking option(ติดตั้งไว้ให้ในเวอร์ชันของ libpcap) ขณะที่ปัญหาโดยรวม(เกิด interrupt ขับไล่ process เข้าไปใน poll) ntop อาจจะใช้ CPU เพิ่มขึ้น ถึงแม้ว่ามันจะไม่ส่งผลกระทบต่องานอื่นๆ ในเวลานี้ก็ตาม จะเห็นว่า ntopใช้ CPU 80-90% หรือมากกว่านั้น ไม่ใช่เรื่องผิดปกติ
                ออปชันนี้ไม่ถูกสนับสนุนอย่างเป็นทางการ และใช้ด้วยความเสี่ยงของตัวคุณเอง อ่านที่ คำถามที่ถามบ่อยๆ (docs/FAQ)

--skip-version-check

                โดยปกติ ntop จะตรวจสอบ remote ไฟล์ที่เข้ามา เป็นระยะๆ ออปชันนี้จะระงับการตรวจสอบนั้น โปรดสังเกตดูเฉพาะประกาศตรงด้านล่างของหน้า ที่นอกเหนือจากข้อมูลข่าวสาร โดยปกติระยะเวลาการตรวจสอบอย่างน้อยต้องมากกว่า 15 วัน ซึ่งสามารถปรับปรุงผ่านทาง globals-defines.h ได้  ถ้าผลของการตรวจสอบครั้งแรกบอกว่าเวอร์ชันของ ntop นั้น คือเวอร์ชันที่พัฒนาขึ้นมาใหม่ (คือใหม่กว่าเวอร์ชันสุดท้ายที่ทำการพัฒนาขึ้น) การตรวจสอบจะถูกระงับ   ที่เป็นแบบนี้เพราะว่าสิ่งที่ต้องกำหนดและสิ่งที่ต้องมีเพิ่มเติมนั้นไม่มีใน code
หมายเหตุ : ปัจจุบันนี้ไม่ทำการตรวจสอบภายใต้ระบบปฏิบัติการ Windows

--ssl-watchdog

                watchdog (watchdog คือฮาร์ดแวร์ที่มีไว้สำหรับทำหน้าที่ reset การทำงานของ MCU ตามเวลาที่กำหนดไว้)สามารถใช้ ได้ กับ Web server ที่ hang โดยปกติสิ่งเหล่านี้จะเกิดขึ้นเมื่อมีการเชื่อมต่อกับ Browsers เก่า  ทำให้ผู้ใช้ไม่ได้รับสิ่งใดกลับมาเลย และผู้ใช้คนอื่นๆ ไม่สามารถเชื่อมต่อได้ อย่างภายในการประมวลผล packet ยังคงดำเนินต่อไปแต่ไม่มีทางที่จะเข้าถึงข้อมูลผ่านทาง web server หรือ ปิด ntop ได้อย่างแท้จริง  ซึ่ง watchdog จะทำงานภายหลังจากหมดเวลาไปแล้ว 3 วินาที และการประมวลผลจะดำเนินต่อไปกับ log message . แต่โชคร้ายที่ผู้ใช้ไม่พบสิ่งใดเลย ดูเหมือนกับว่าไม่สามารถเชื่อมต่อได้ ( ตัวอย่าง ./configure option, --enable-sslwatchdog )

--w3c

โดยปกติ ntop จะแสดงผลเป็น html ที่ไม่ใหญ่  มี tag จำนวนมากที่เราไม่สร้างเพราะว่ามันจะเป็นสาเหตุให้เกิดปัญหากับ Browsers เก่า ซึ่งยังคงใช้งานร่วมกันหรือมีความหมายที่ดีบน real-world browsers  Flagนี้บอกว่า ntop ที่จะสร้าง’BETTER’ (แต่ไม่สมบูรณ์) w3c ยอมให้แสดงผลออกมาเป็น html 4.01  ไม่มีทางที่ Address ทั้งหมดจะตรงกันได้และไม่มีปัญหาราคาที่เพิ่มขึ้น เวลาที่เหลือต้องทำให้ ntop ทำงานร่วมกันได้มากขึ้น แต่จะไม่ใช่ 100% ถ้าคุณพบปัญหาใดๆ กรุณารายงานสิ่งเหล่านั้นมาที่ ntop-dev

-4 | --ipv4

ใช้ IPv4 ในการเชื่อมต่อ

-6 | --ipv6

ใช้ IPv6 ในการเชื่อมต่อ

WEB VIEWS

ขณะที่ Ntop กำลังรันอยู่นั้น ผู้ใช้หลายคนสามารถเข้าถึงข้อมูลต่างๆ โดยใช้เวปบราวเซอร์ที่ใช้อยู่ Ntop จะไม่ทำให้ HTML เกิดความยุ่งยากหรือซับซ้อน ถึงแม้ว่ามันจะใช้เฟรมสร้างกลุ่มตารางและใช้ส่วนหนึ่งของ JavaScript ในการวาดรูปแบบตารางก็ตาม
ในส่วนการแก้ไขจากรุ่น 3.1 เมนูจะเป็นแบบ Dropdowns ผ่านทาง JSCookMenu เพื่อให้รุ่น 3.2 ได้เพิ่มในส่วนของเมนู Plugins
เราไม่ได้ทำการทดสอบกับเวบเบราเซอร์ทุกตัว ที่เราได้ทำการทดสอบคือ Firefox และ Internet Explorer และเบราเซอร์ตัวอื่นที่มีอยู่ในปัจจุบัน เช่น Opera
ในการอ้างเอกสารหน้า Man page นี้ ตัวอย่างเช่น เมื่อเราพูดถึงหน้า Admin | Switch NIC จะหมายถึง รายละเอียดของ "Switch NIC" บนเมนู Admin นั่นเอง

 

PRIVACY NOTICE

โดยปกติแล้วเมื่อโปรแกรม ntop ได้เริ่มการทำงานไปได้ระยะเวลาหนึ่งก็จะมีการกอบกู้ไฟล์ที่บรรจุชุดข้อมูล โปรแกรม Ntop จะยอมให้มีการกอบกู้ไฟล์ กรณีที่มีชุดข้อมูลกำลังรันอยู่เป็นจำนวนมาก
                การกอบกู้จะใช้มาตรฐาน http://requests ซึ่งจะบันทึกรายงานบนระบบของ Host ที่ใช้อยู่ การบันทึกรายงานเหล่านี้จะทำการบรรจุข้อมูลซึ่งจะกำหนดที่ตั้งของ Ntop ที่แน่นอน ดังนั้น หากคุณกำลังจะแจ้งว่าสิ่งนี้คือข้อมูลส่วนตัวที่สามารถแสดงเอกลักษณ์ที่กำลังจะส่งไป และทำการบันทึก ซึ่งคุณอาจต้องใช้คำสั่ง --skip-version-check โดยในขณะที่รัน Option นั้น จะมีการตรวจสอบข้อจำกัด ถ้าคุณใช้ Option นี้ ข้อมูลไม่ส่วนตัวจะถูกส่งไป หรือทำการบันทึกเพราะว่าการกู้คืนและตรวจสอบทั้งหมดถูกข้ามไป
เราจะถามว่าคุณจะยอมทำการกอบกู้และทำการตรวจสอบไหม เพราะว่ามันจะได้รับประโยชน์ทั้งคุณและผู้พัฒนา Ntop คุณจะได้รับประโยชน์ เพราะว่า คุณจะได้รับการแจ้งโดยอัตโนมัติ ถ้าเวอร์ชันของโปรแกรม Ntop นี้ล้าสมัยหรือไม่สนับสนุนอีกต่อไป ผู้พัฒนา Ntop จะได้รับประโยชน์เพราะว่ามันจะยอมให้เรากำหนดจำนวนการทำงานของ Ntop และระบบปฏิบัติการที่ใช้ในการรัน Ntop
ข้อมูลส่วนตัวถูกบรรจุไว้ใน Web server log  และมีการบันทึกไฟล์โดยอัตโนมัติทุกครั้งที่ไฟล์ถูกกู้คืน นี่คือฟังก์ชันการทำงานของเครื่อง Web server ไม่ใช่ฟังก์ชันการทำงานของ Ntop เพียงแต่เราเอาของมันมาใช้ ล็อคจะบันทึกการแสดงตำแหน่ง IP Address ของ requestor  และส่วนของ Header ของผู้ใช้ ซึ่งเราจะแทนที่ข้อมูลในส่วนของ Header ของผู้ใช้ ดังต่อไปนี้
ntop/< version >   
host/<name from config.guess>
distro/<if one>
release/<of the distro, also if one> 
kernrlse/<kernel version or release> 
GCC/<version>
config() <condensed parameters from ./configure>
run()    <condensed flags - no data - from the execution line>
libpcap/<version>
gdbm/<version>
openssl/<version>
zlib/<version>
access/<http, https, both or none>
interfaces() <given interface names>
ตัวอย่างเช่น :
ntop/2.2.98 
host/i686-pc-linux-gnu 
distro/redhat 
release/9 
kernrlse/2.4.20-8smp
GCC/3.2.2 
config(i18n) 
run(i; u; P; w; t; logextra; m; instantsessionpurge; schedyield; d; usesyslog=; t) 
gdbm/1.8.0 
openssl/0.9.7a 
zlib/1.1.4
access/http 
interfaces(eth0,eth1)
                Distro และ release information คือ ข้อมูลที่ถูกกำหนดในช่วงเวลาการตรวจสอบ และประกอบด้วยข้อมูลที่พบโดยทั่วไปในไฟล์ /etc/release จะเป็นเครื่องมือสำหรับกำหนด ntop linuxrelease
                gcc คือ เวอร์ชันของ Compiler เป็นชุดภายใน # s จากตัวอย่างเวอร์ชันของ Compiler คือ 3.2.2
                kernrlse คือ เวอร์ชันของ Linux Kernel หรือ xBSD 'release' ตัวอย่างเช่น 4.9-RELEASE และถูกกำหนดจากข้อมูล uname
                ./configure เป็น ตัวแปรที่ถูกส่งจากไดเรกทอรี leading -s, etc เพื่อสร้างรูปแบบสั้นๆการแสดงสิ่งนั้นซึ่ง ./configure  คือตัวแปรที่ให้ผู้คนการใช้
                เช่นเดี่ยวกันกับ ในขณะที่รันตัวแปรที่จะส่งข้อมูลและเส้นทาง ซึ่งจะแสดงข้อมูลที่จำเป็นต้องใช้

USER SUPPORT

                เมื่อพบปัญหาเกี่ยวกับ Ntop กรุณาส่งรายงานปัญหานั้นมาที่เมลล์ <s.wankham@Gmail.com> ส่วน < ntop@ntop.org > คือเมล์ที่อธิบายเกี่ยวกับเนื้อหาในการใช้ Ntop