Назад | Перейти на главную страницу

Реализация Argus (аналогично netflow), какую информацию я должен собирать?

Я настраиваю испытание Аргус в моей компании в качестве диагностического инструмента. У нас есть сборщик, подключенный к порту мониторинга на нашем коммутаторе, и первоначальный план состоит в том, чтобы перенаправить порты с необычным трафиком на сборщик, а затем проанализировать его, чтобы получить информацию об устранении неполадок.

Мне нужно продать это, прежде чем я смогу предложить более последовательное решение для мониторинга, которое, как я знаю, является реальной сильной стороной этого типа приложений.

Первоначальные отчеты будут все в командной строке, поэтому сокращение количества представленной информации до управляемого уровня является ключевым.

У меня такой вопрос: какая информация будет наиболее ценной с точки зрения безопасности и устранения неполадок? Какие отчеты нужно настроить заранее?

Я уже думал о:

Может быть, о потере пакетов или обрыве соединения? (не уверен, что смогу сделать это в последний раз)

Спасибо, мне жаль, что у меня не было опыта, чтобы ответить на этот вопрос, но я очень стараюсь, чтобы добраться туда.

В качестве первого шага я бы рекомендовал взглянуть на "официальный" Вики-страница Argus. В основном это страница поваренной книги, на которой приведены отличные примеры запросов, которые можно выполнить с помощью набора инструментов. Также стоит просмотреть список рассылки argus. Часто там делятся интересными вариантами использования продукта.

Кроме того, в моем офисе было разработано несколько сценариев, которые работают с выводом команды «ra». Те, которые я использую чаще всего, производят верхние $ n src-адресов по количеству потоков или байтов. Некоторые другие, которые создают адреса для связи с известными C&C ботнета.