В других вопросах есть много рекомендаций по мониторингу сети, но я не ищу ни одной.
Я ищу дистрибутив, специально предназначенный для пассивного мониторинга сети (встроенного или через зеркалирование портов). В идеале он будет в основном предварительно настроен с помощью snort / base / ntop / bandwidthd / etc и, надеюсь, некоторого «клея».
Мне нужны только сетевые данные (использование полосы пропускания, оповещение о фырканье и т. Д.), Мониторинг работоспособности элементов в сети не является целью.
Какие-либо предложения?
Я давно хотел повозиться с Honeywall какое-то время, но не было возможности. Для этой цели он выглядит так же хорошо, как и все остальное.
OSSIM имеет эти функции и многое другое. Может быть немного сложно понять, как управлять событиями, но как только вы поработаете с этим некоторое время, он станет более интуитивно понятным.
Strata Guard - отличный продукт для фырканья, и в нем очень легко управлять событиями, но бесплатная версия Lite ограничена 10 Мбит / с, что означает, что некоторая активность не будет отслеживаться, если пропускная способность превышает этот порог.
Не полноценный дистрибутив, но OSSEC кажется, отвечает всем требованиям. Лично я предпочел бы иметь инструмент, который хорошо работает в $ MyFavoriteDistro, чем приспосабливаться к чужому представлению о том, как должна выглядеть ОС, чтобы я мог использовать программное обеспечение.
Я очень доволен pfSense (FreeBSD), и в случае зеркалирования портов реализация будет тривиальной.
В pfSense 1.2.3 есть snort / ntop / RRD Graphs / Darkstat graphs / SNMP / nmap, готовые к использованию практически из коробки.
Он разработан, чтобы быть скорее устройством, но за 10 минут установки плюс 10 минут на выбор пакетов, которые вы хотите установить, и вы получите довольно удобную станцию управления / мониторинга.