实施 Argus(类似于 netflow)我应该收集什么样的信息?

实施 Argus(类似于 netflow)我应该收集什么样的信息?

我正在试用阿古斯在我公司,它是一种诊断工具。我们的交换机监控端口上连接着一个收集器盒,最初的计划是将有异常流量的端口重定向到收集器,然后对其进行分析以获取故障排除信息。

我需要先卖掉这个产品,然后才能推出更一致的监控解决方案,我知道这是此类应用程序的真正优势。

初始报告将全部在命令行上,因此将呈现的信息减少到可管理的水平是关键。

我的问题是:从安全和故障排除的角度来看,哪些信息最有价值?我应该预先配置哪些报告?

我已经想到了:

  • 端口上当前通信的地址列表(我们的网络地图很糟糕)
  • 协议分发,
  • 特定 IP 地址的电流流动

也许是关于数据包丢失或连接中断的一个问题?(我不确定我是否可以做到最后一个)

谢谢,我希望我有足够的背景知识来回答这个问题,但我正在努力实现这一目标。

答案1

作为第一步,我建议看看“官方”阿古斯维基页面。它基本上是一个手册页面,提供了一些可以使用工具套件运行的查询类型的很好的例子。同样值得一看的是阿古斯邮件列表。这里经常会分享产品的有趣用途。

此外,我的办公室还编写了一些针对“ra”命令输出的脚本。我最常使用的脚本会按流量计数或字节计数生成前 $n 个源地址。其他一些脚本会生成与已知僵尸网络 C&C 通信的地址。

相关内容