A vantagem do nTop é que o nTop pode ajudá-lo a explorar os problemas da rede e ajudá-lo a responder à pergunta "o que é isso?" Você não precisa necessariamente de netflows para fazer o nTop funcionar, será muito feliz ouvir um mirror / monitor / RPA de porta do firewall e trabalhar com isso.
Pessoalmente, gosto de algo um pouco mais robusto do que o nTop. Eu uso um fprobe / nfdump / nfsen setup ( minhas notas de configuração ). Ele permite que você armazene os fluxos por um período de tempo, para que você possa voltar após o fato e executar uma análise mais detalhada do tráfego por períodos interessantes.