Consiste em coletar e relatar todas atividades da rede, onde não se é necessário estar conectado a rede para estar gerando tráfego, pois todas as máquinas passam a se relacionar através de nodos.

Abaixo as atividades registradas pelo Ntop em host:

DATASENT/RECEIVED - Tráfego total dos volumes e pacotes gerados ou recebidos pelo host, classificados de acordo com o protocolo na rede.

USEDBANDWIDTH - Média de uso da banda.

IP MULTICAST - Valor total do tráfego de múltiplo envio gerado ou recebido pelo host.

TCP SESSIONS HISTORY - Sessões ativas de TCP e ações associadas as estatísticas de tráfego.

UDP TRAFFIC - Tráfego total de UDP por portas.

TCP/UDP USER SERVICES - Relaciona os IPS que utilizam estes serviços.

TRAFFIC DISTRIBUTION - Locais onde encontram- e em anexo à transmissão de rede, com ou sem fio.

IP TRAFFIC - Lista qual distribuição é usada e qual o nome do host.

Abaixo as atividades relacionadas para tráfego global (internet):

TRAFFIC DISTRIBUTION - Locais onde encontram- e em anexo à transmissão de rede, com ou sem fio.

PACKETS DISTRIBUTION - Total de pacotes listados por tamanho, unicast vs. broadcast vs. multicast e IP vs. non-IP traffic.

USEDBANDWIDTH - Média de uso da banda.

PROTOCOL UTILIZATION AND DISTRIBUCTION - Observa tráfego conforme protocolo e qual seu destino (local/remoto).

LOCAL SUBNET TRAFFIC MATRIX - Monitora o tráfego da internet entre pares os de hosts.

NETWORK FLOWS - Estatísticas dos tráfegos a destinos pré-definidos (tráfego de interesse particular do usuário.

- Informações sobre a relação das atividades retiradas do site do fabricante (www.ntop.org).

A ferramenta ainda permite ao usuário adicionar plugins (aplicativos complementares) para conseguir um melhor relatório das atividades, assim como a restrição aos sites, desde quando houver uma tentativa de acesso, qual host efetuou a tentativa, qual número de tentativas e os momentos exatos das tentativas.