Network-Monitoring

實施 Argus(類似於 netflow)我應該收集什麼樣的資訊?

  • April 22, 2015

我正在我的公司試用Argus作為診斷工具。我們在交換機的監控埠上連接了一個收集器盒,最初的計劃是將具有異常流量的埠重定向到收集器,然後對其進行分析以獲取故障排除資訊。

我需要先賣掉它,然後才能推出更一致的監控解決方案,我知道這是這類應用程序的真正優勢。

初始報告將全部在命令行上,因此將呈現的資訊減少到可管理的級別是關鍵。

我的問題是:從安全和故障排除的角度來看,哪些資訊最有價值?我應該預先配置哪些報告?

我已經想到了:

  • 目前在埠上通話的地址列表(我們的網路地圖很糟糕)
  • 協議分發,
  • 特定 IP 地址的電流

也許是丟包或連接中斷?(不知道我能不能做到最後一個)

謝謝,我希望我有背景來回答這個問題,但我正在努力做到這一點。

作為第一步,我建議您查看“官方”阿格斯維基頁面。它主要是一個食譜頁面,提供了一些可以使用工具套件執行的查詢類型的很好的範例。同樣值得瀏覽的是阿格斯郵件列表。產品的有趣用途經常在那里分享。

此外,我的辦公室製作了許多腳本,這些腳本可以處理“ra”命令的輸出。我最常使用的那些按流數或字節數生成前 $n 的 src 地址。其他一些產生與已知殭屍網路 C&C 通信的地址。

引用自:https://serverfault.com/questions/71764