積極與消極監測

關注監控有一段時間了。在我來之前，我的組織沒有任何東西，除了“我的雅虎去哪兒了”。似乎大多數軟體包都專注於負面監控（即，此服務/主機已啟動，但現在未啟動）。這似乎是一個有效的第一步，但是你能看到什麼過去的積極監控（即那個埠沒有啟動，現在它啟動了，或者嘿，看起來那是一個新的 DHCP 主機）？我想它可以為 nagios 中的每個埠/網路地址聲明一個聲明，但這似乎很麻煩。

有誰知道一個更好的工具來監控埠/主機以肯定地關閉？

為此，我們使用 nmap。我們有一個簡單的腳本包裝 nmap，它掃描我們的整個網路並儲存 XML 輸出。第二天晚上它再次執行並比較輸出。如果出現任何新主機或埠，則會向管理員發送一封電子郵件。

剛剛發布的 Nmap 5.0 包含一個用於此目的的實用程序，稱為Ndiff。

對於您了解的主機，Nagios/Zenoss/OpenNMS 是您最好的選擇——它們可以配置為在主機和/或服務關閉或恢復時發出通知。他們大多足夠聰明，不會在主機本身宕機時開始提醒主機上的所有服務；正確配置這些東西很重要，這樣您就不會因為伺服器重新啟動而被 20 個警報淹沒。如果有那麼多關於瑣碎事情的資訊，遲早你會最終忽略它並遺漏一些重要的東西。

對於你問題的後半部分，凱瑟琳是對的；您正在查看入侵檢測系統 (IDS)。這些可以配置為了解您的網路在主機、拓撲、流量類型等方面應該是什麼樣子，然後在您定義為“普通”之外的任何事情發生時提醒您。Snort和OSSEC就是幾個例子。

引用自：https://serverfault.com/questions/42304