我已经研究监控一段时间了。在我来之前,我的组织除了“我的雅虎去哪了”之外没有任何监控。似乎大多数软件包都专注于负面监控(即,该服务/主机曾经启动,现在却没有启动)。这似乎是一个有效的第一步,但是除了这个之外,您还可以查看哪些正面监控(即,该端口曾经没有启动,现在启动了,或者嘿,看,那是一个新的 DHCP 主机)?我想可以在 nagios 中为每个端口/网络地址声明一个,但这似乎很麻烦。
是否有人知道更好的工具来监控端口/主机是否确实关闭?
答案1
我们为此使用 nmap。我们有一个简单的脚本包装 nmap,用于扫描整个网络并存储 XML 输出。第二天晚上,它会再次运行并比较输出。如果出现任何新主机或端口,则会向管理员发送电子邮件。
刚刚发布的 Nmap 5.0 包含一个专门用于此目的的实用程序,称为差异。
答案2
对于您了解的主机,Nagios/Zenoss/OpenNMS 是您的最佳选择 - 可以将它们配置为在主机和/或服务关闭或恢复时发出通知。它们大多足够智能,不会在主机本身关闭时开始对主机上的所有服务发出警报;正确配置这些事情很重要,这样您就不会因为服务器重启而被 20 条警报淹没。如果有那么多关于琐碎事情的信息,迟早您会完全忽略它并错过一些重要的东西。
对于你问题的后半部分,凯瑟琳说得对;你正在看的是入侵检测系统 (IDS)。这些系统可以配置为了解你的网络在主机、拓扑、流量类型等方面应该是什么样子,然后在发生任何与你定义的“正常”情况不同的情况时提醒你。以下是几个例子呼噜和操作系统安全评估中心。
答案3
您真正需要的并不是监控,而是安全。我不是安全专家,但市面上有许多网络扫描工具,它们可以“教导”您会发生什么,然后告诉您是否有异常情况。
答案4
纳吉奥斯包括各种用于主动/侵入式监控和被动监控的插件和模块。它应该包括您需要的一切!