Hướng dẫn sử dụng NetScope Console Using NetScope Console

Tài liệu này đi từng trang của dashboard, giải thích ý nghĩa mỗi widget, và chỉ bạn cách cấu hình sensor, zone, cảnh báo và API key. This guide walks through every page of the dashboard, explains each widget, and shows you how to configure sensors, zones, alerts, and API keys.

1 · Đăng nhập 1 · Signing in

Mở trình duyệt và truy cập domain mà quản trị viên đã cung cấp (ví dụ https://netscope.example.com). Bạn sẽ thấy màn hình đăng nhập. Open your browser and navigate to the domain provided by your administrator (for example https://netscope.example.com). You'll land on the sign-in page.

1. Nhập tên đăng nhập và mật khẩuEnter username and password

   Tài khoản mặc định admin được tạo lúc cài đặt; mật khẩu nằm trong /etc/sflow/sflow.env trên server. The default admin account is created at install time; its password lives in /etc/sflow/sflow.env on the server.

2. Phiên đăng nhậpSession

   Cookie sflow_session có thời hạn 12 giờ. Sau khi hết hạn, bạn sẽ được chuyển lại về trang đăng nhập. The sflow_session cookie lasts 12 hours. You'll be bounced back to the sign-in page when it expires.

3. Đổi mật khẩuChange your password

   Vào menu người dùng ở góc phải trên → Password. Mật khẩu mới tối thiểu 12 ký tự. Open the user menu in the top-right corner → Password. New passwords must be at least 12 characters.

2 · Khái niệm cốt lõi 2 · Core concepts

Trước khi đi sâu vào từng trang, có một số khái niệm bạn sẽ gặp liên tục. Before diving into each page, there are a few concepts you'll run into constantly.

3 · Dashboard 3 · Dashboard

Trang chủ / là dashboard mặc định. Bạn có biểu đồ global, top talker theo bps / pps, top ASN, và có thể kéo-thả để sắp xếp lại layout. Mọi widget tự refresh; layout lưu vào localStorage của trình duyệt — mỗi người dùng có layout riêng. The root path / is the default dashboard. It has a global chart, top talkers by bps / pps, top ASNs, and you can drag widgets to rearrange the layout. All widgets auto-refresh; layout is saved in the browser's localStorage — each user has their own.

Danh sách widgetWidget reference

4 · Cấu hình Sensor 4 · Configuring sensors

Mỗi sensor là một UDP listener riêng, gắn với một exporter (router / switch). Vào trang /sensors để thêm mới, sửa, hoặc xóa sensor. Each sensor is its own UDP listener bound to one exporter (router / switch). Visit /sensors to add, edit, or remove sensors.

Các trườngFields

1. Bật nhận flow trên routerEnable flow export on the router

   Ví dụ Cisco IOS-XR:For example, on Cisco IOS-XR:

   flow exporter-map netscope
    version v9
    transport udp 2055
    destination 10.0.0.10
   !
   sampler-map s-1k
    random 1 out-of 1024
   !
   interface HundredGigE0/0/0/0
    flow ipv4 monitor default sampler s-1k ingress
    flow ipv6 monitor default sampler s-1k ingress

2. Thêm sensor trên UIAdd the sensor in the UI

   Chọn đúng protocol, khai báo exporter IP (chính là IP của router), đặt tên mô tả (ví dụ core-rt-hn-1).Pick the right protocol, set the exporter IP (the router's IP), and give it a descriptive name (e.g. core-rt-hn-1).

3. Gán zoneAttach a zone

   Mỗi sensor có thể gắn nhiều zone (qua bảng sensor_ipzone). Zone quyết định IP nào được tính vào biểu đồ.A sensor can be tied to multiple zones (via the sensor_ipzone junction). Zones decide which IPs count toward the charts.

4. Kiểm traVerify

   Ngay sau khi lưu (không cần restart), mở /sensors/{id} — biểu đồ per-sensor phải có số > 0 trong vòng 10 giây.Right after save (no restart needed), open /sensors/{id} — the per-sensor chart should show non-zero within ten seconds.

5 · Quản lý IP Zone 5 · Managing IP zones

Zone là cách bạn mô tả "dải IP nào là của mình". Không có zone thì NetScope không biết flow nào là "in zone" — các biểu đồ per-node sẽ trống. Zones tell NetScope which IP ranges you own. Without zones, the system doesn't know which flows are "in-zone" — per-node charts will stay empty.

Cấu trúc câyTree structure

Zone chứa node. Node là prefix (CIDR) có thể lồng nhau:Zones contain nodes. Nodes are CIDR prefixes that can nest:

# Zone: Customer Network
203.0.113.0/24         # graphs=on, accounting=on
  ├─ 203.0.113.0/26    # sub-node cho nhóm khách A
  └─ 203.0.113.64/26   # sub-node cho nhóm khách B
2001:db8::/32          # graphs=on, accounting=on
  └─ 2001:db8:1::/48   # branch office

Lookup dùng longest-prefix match — IP sẽ khớp với node cụ thể nhất.Lookups use longest-prefix match — an IP resolves to the most specific node.

Cờ inheritInheritance flags

• graphs (bit 0) — node có hiển thị trên biểu đồ per-node không.whether the node appears in per-node charts.
• accounting (bit 1) — node có tính vào tổng bps không.whether it contributes to totals.

Mặc định cả hai bật. Node con kế thừa từ node cha; bạn có thể override ở node con.Both default to on. Children inherit from parents; you can override at the child level.

6 · Tra cứu IP 6 · Looking up an IP

Trang /ip cho phép tìm một IP hoặc subnet và xem biểu đồ lịch sử. Hỗ trợ cả IPv4 và IPv6. The /ip page lets you find an IP or subnet and inspect historical charts. IPv4 and IPv6 are both supported.

Ba chế độ xemThree view modes

1. Host — bps/pps của 1 IP đơn lẻ.bps/pps for a single IP.
2. CIDR — cộng dồn cả subnet.summed over a subnet.
3. Host + Proto — breakdown theo protocol (TCP, UDP, …).broken down by protocol (TCP, UDP, …).

Auto-bin theo rangeAuto-bin by range

Để biểu đồ không bị nghẽn khi zoom xa, NetScope tự chọn group-by theo khoảng thời gian:To keep charts responsive when you zoom out, NetScope auto-picks the group-by:

7 · Xem flow trực tiếp 7 · Live flow view

Trang /flows kết nối SSE tới /api/v1/live/flows và stream những flow gần nhất (ring buffer 2000). Hữu ích khi điều tra sự cố hoặc kiểm tra router mới lắp. The /flows page opens an SSE connection to /api/v1/live/flows and streams the most recent flows (2000-entry ring buffer). Handy when you're investigating an incident or verifying a new router.

Bộ lọcFilters

• Sensor — chỉ xem flow từ 1 sensor.Sensor — restrict to one sensor.
• Protocol — TCP / UDP / ICMP.Protocol — TCP / UDP / ICMP.
• IP / CIDR — khớp src hoặc dst.IP / CIDR — match src or dst.
• Port — src hoặc dst.Port — src or dst.

8 · Cảnh báo & Thông báo 8 · Alerts & notifications

Hệ thống alert có 3 khái niệm: Channel (nơi gửi — Telegram / webhook), Rule (điều kiện), và History (nhật ký event). The alert system has three concepts: Channel (destination — Telegram / webhook), Rule (condition), and History (event log).

Channel

Nhấn Test gửi thử một message — không ghi vào history.Hit Test to send a ping — it doesn't get recorded in history.

Rule

{
  "name": "egress saturation",
  "target_type": "sensor",       // global | subnet | ip | sensor
  "target_value": "5",             // sensor_id=5
  "metric": "bps_out",
  "threshold": 9000000000,          // 9 Gbps
  "sustained_s": 60,                // phải vượt 60s mới fire
  "cooldown_s": 300,                // im lặng 5 phút sau khi fire
  "notify_resolve": true,
  "channel_id": 1
}

Vòng đờiLifecycle

State machine:State machine:

ok ──breach──▶ pending ──sustained──▶ firing ──✉ FIRING──▶ (cooldown)
                             ▲                  │
                             └─resolved sustained┘──▶ ok ──✉ RESOLVED

Rule per-IPPer-IP rules

Với target_type=ip hoặc subnet, engine theo dõi từng IP. Khi nhiều IP cùng fire, alert được gom lại — tối đa 10 IP mỗi message Telegram. IP không thấy trong 90 giây được garbage-collect khỏi state.With target_type=ip or subnet, the engine tracks each IP individually. When many fire together, alerts are batched — max 10 IPs per Telegram message. IPs unseen for 90 seconds are garbage-collected from state.

9 · Quản lý người dùng 9 · User management

Ba vai trò, phân cấp: Three hierarchical roles:

Tạo người dùngCreate a user

1. Vào /users → + New user.Go to /users → + New user.
2. Nhập username (lowercase, 3-32 ký tự) và mật khẩu tạm thời.Enter a username (lowercase, 3–32 chars) and a temporary password.
3. Chọn role — có thể đổi sau.Pick a role — editable later.
4. Người dùng đăng nhập lần đầu, bắt buộc đổi mật khẩu.On first sign-in the user must change the password.

10 · Cài đặt hệ thống 10 · System settings

Trang /settings gom 3 nhóm: API, GeoIP, và License. The /settings page groups three areas: API, GeoIP, and License.

API

• api.rate_limit_rps — mặc định 60. Giới hạn mỗi API key.default 60. Per-key rate.
• api.rate_limit_burst — mặc định 120. Token bucket.default 120. Token bucket burst.
• api.audit_retention_days — mặc định 30. Retention bảng api_access_log.default 30. Retention for the api_access_log table.

GeoIP

Bạn có thể upload file GeoLite2-Country.mmdb và GeoLite2-ASN.mmdb trực tiếp, hoặc bật auto-update bằng cách nhập maxmind_license_key. Auto-update chạy mỗi thứ Tư hàng tuần trong goroutine nền.You can upload GeoLite2-Country.mmdb and GeoLite2-ASN.mmdb directly, or enable auto-update by entering a maxmind_license_key. Auto-update fires every Wednesday in a background goroutine.

• geo.ixp_enabled — tắt nếu bạn không quan tâm traffic quốc tế; các widget IXP sẽ ẩn.disable if you don't care about international traffic; IXP widgets are hidden.
• geo.nix_enabled — tương tự cho NIX.same for NIX.

License

Xem mục License bên dưới.See the License section below.

11 · Lưu trữ & retention 11 · Storage & retention

Trang /storage cho phép đặt thời gian giữ dữ liệu trong InfluxDB. Mặc định là 30 ngày cho số liệu per-IP, 180 ngày cho số liệu aggregate. The /storage page controls how long data sticks around in InfluxDB. Defaults are 30 days for per-IP metrics, 180 days for aggregates.

12 · License 12 · License

Key có định dạng SFLOW-{payload-base64}.{hmac-hex} và lưu trong app_config. Keys are formatted as SFLOW-{payload-base64}.{hmac-hex} and stored in app_config.

Khi ReadOnly, mọi endpoint write trả HTTP 403. Dashboard vẫn xem được; bạn có thể dán key mới trong /settings để thoát ngay.When in ReadOnly, every write endpoint returns HTTP 403. The dashboard stays visible; paste a fresh key in /settings to recover immediately.

13 · Cập nhật phiên bản 13 · Upgrades

NetScope có daemon sfupdater chạy dưới quyền root, lắng nghe qua Unix socket /run/sfupdater.sock. Bạn điều khiển từ UI /settings → Updates (chỉ admin). NetScope ships with an sfupdater daemon running as root, controlled through the Unix socket /run/sfupdater.sock. Drive it from /settings → Updates (admin only).

1. Check

   So sánh version hiện tại (/opt/sflow/VERSION) với mirror.Compare the installed version (/opt/sflow/VERSION) with the mirror.

2. Download & verify

   Tải binary + UI + schema, verify SHA-256 từng file.Pull binaries, UI and schema, verify SHA-256 for each file.

3. Apply

   Stop → install atomic (.new rename) → migrate DB → start. Rollback tự động nếu lỗi bước 5-8.Stop → atomic install (.new rename) → migrate DB → start. Auto-rollback if steps 5–8 fail.

4. Status

   UI poll /api/v1/update/status để hiển thị log từng bước.The UI polls /api/v1/update/status to show step-by-step logs.

14 · External API & API Keys 14 · External API & API keys

API key dùng khi bạn muốn hệ thống bên ngoài query NetScope (ví dụ dashboard Grafana, script báo cáo hàng tuần). API keys are for external systems that query NetScope (Grafana dashboards, weekly report scripts).

Tạo keyCreating a key

1. Vào /settings → API keys → + New key.Open /settings → API keys → + New key.
2. Đặt tên mô tả, chọn scope: read · write · admin.Give it a descriptive name, pick a scope: read · write · admin.
3. Đặt rate (mặc định 60 rps / 120 burst) và TTL (tùy chọn).Set a rate (default 60 rps / 120 burst) and TTL (optional).
4. Copy key — key chỉ hiện một lần, sau đó DB chỉ lưu hash SHA-256.Copy the key — it shows only once; the DB stores only the SHA-256 hash.

Format: sfk_ + 24 ký tự base62 (143 bit entropy). Gửi kèm request theo 1 trong 2 cách:Format: sfk_ + 24 base62 chars (143 bits of entropy). Send it one of two ways:

# Bearer header (recommended)
curl -H "Authorization: Bearer sfk_abcdef0123456789ABCDEF" \
     https://netscope.example.com/api/external/v1/series

# Hoặc X-API-Key
curl -H "X-API-Key: sfk_abcdef0123456789ABCDEF" \
     https://netscope.example.com/api/external/v1/series

Endpoint thường dùngFrequently used endpoints

Rate limitRate limits

Nếu vượt rate, server trả HTTP 429 với header Retry-After bằng giây. Client nên tôn trọng giá trị này.Exceeding the rate returns HTTP 429 with a Retry-After header in seconds. Clients should respect it.

Audit log ghi mỗi request vào api_access_log (method, path, status, duration, IP). Flush async mỗi 128 entries hoặc 500 ms; prune theo giờ.The audit log records each request into api_access_log (method, path, status, duration, IP). Async flush every 128 entries or 500 ms; pruned hourly.

15 · Khắc phục sự cố 15 · Troubleshooting

Biểu đồ trống hoặc phẳng lỳCharts empty or flat

1. Xem /api/v1/health — tsdb_error nếu InfluxDB không kết nối được. Check /api/v1/health — tsdb_error flags an InfluxDB issue.
2. Kiểm tra sensor có nhận UDP không: tcpdump -i any -n udp port 6343 trên server. Verify UDP is arriving: tcpdump -i any -n udp port 6343 on the server.
3. Log sfsensor: journalctl -u sfsensor -f — cảnh báo drop nếu worker không theo kịp. Check sfsensor logs: journalctl -u sfsensor -f — drop warnings mean the workers can't keep up.
4. Sensor có zone gán chưa? Không có zone match → flow bị bỏ qua hoàn toàn. Is a zone attached? Without a matching zone, flows are dropped entirely.

Top talker hiển thị IP nhưng không có biểu đồTop talker shows an IP but no chart

Có khả năng IP đó không nằm trong node nào. Vào /ip, nhập IP, xem trường Zone / Node. Nếu trống, bạn cần thêm node phù hợp trong /zones.Likely the IP is outside every node. Visit /ip, enter the address, check the Zone / Node field. If blank, add the right node in /zones.

Không nhận Telegram alertNo Telegram alerts

1. Nhấn Test trên channel — nếu fail, bot_token hoặc chat_id sai.Click Test on the channel — a failure means bot_token or chat_id is wrong.
2. Bot phải được add vào group và có quyền post message.The bot must be added to the group and allowed to post messages.
3. Kiểm tra /notifications → History: ô ok=false + error sẽ nói chính xác lỗi gì.Inspect /notifications → History: ok=false rows include an error column.

Licence chuyển expired đột ngộtLicense flips to expired unexpectedly

Kiểm tra timedatectl. Nếu server vừa đồng bộ NTP về quá khứ, anti-rollback đã trigger. Đồng bộ NTP rồi apply lại key.Run timedatectl. If the clock just synced backwards, anti-rollback triggered. Sync NTP, then re-apply the key.

Nhật ký hữu íchUseful logs

journalctl -u sfsensor  -f    # decoder / aggregator
journalctl -u sfconsole -f    # HTTP API
journalctl -u sftsdb    -f    # InfluxDB schema bootstrap
journalctl -u sfupdater -f    # updater

ls -la /opt/sflow/spool/      # wgflow archives & live JSON
sfflowdump /opt/sflow/spool/wgflow.* | head   # dump flow archive

16 · Thuật ngữ 16 · Glossary