ntopng ClickHouse 数据库表结构文档更新说明

在ntopng网络流量监控系统中，ClickHouse作为重要的数据存储后端，其表结构设计直接关系到用户对网络流量数据的查询和分析能力。近期发现官方文档中存在一些需要更新的内容，本文将对此进行详细说明。

文档中已移除的表结构

在最新版本的ntopng中，开发团队对ClickHouse数据库进行了优化，移除了两个不再使用的表：

1. alert_severities表：该表原先用于存储告警严重级别的映射关系，但在实际使用中发现这些信息更适合直接内联在查询中，因此被移除。

2. l7_categories表：该表原本保存了第7层应用类别的分类信息，同样由于使用率低且可以通过其他方式获取这些数据而被移除。

当前有效的表结构

当前ntopng的ClickHouse数据库中实际包含以下主要表结构：

• 各类告警表：包括主机告警(host_alerts)、接口告警(interface_alerts)、网络告警(network_alerts)等
• 流量数据表：flows表记录详细的流量信息
• 聚合表：如hourly_flows提供按小时聚合的流量数据
• 资产表：assets表存储网络资产信息
• 安全扫描相关表：security_scan_data和security_scan_report

告警严重级别说明

虽然alert_severities表已被移除，但告警严重级别仍然存在，通常使用UInt8类型表示，常见的严重级别包括：

• 0: 信息级
• 1: 警告级
• 2: 错误级
• 3: 严重级
• 4: 紧急级

应用类别处理方式

对于原先在l7_categories表中存储的应用类别信息，现在可以通过以下方式获取：

1. 直接查询flows表中的l7_proto字段
2. 使用ntopng内置的应用识别功能
3. 通过API接口获取应用分类信息

文档更新建议

对于使用ntopng ClickHouse集成的用户，建议：

1. 不要依赖文档中提到的已移除表
2. 查询告警严重级别时直接使用数值而非表关联
3. 获取应用类别信息使用flows表中的相关字段
4. 定期检查官方文档更新，了解最新的数据库结构变化

ntopng团队将持续优化数据库结构，提升查询性能和数据存储效率，建议用户关注版本更新说明，及时调整相关查询逻辑。