Некоторое время я присматривался к мониторингу. В моей организации не было ничего, кроме «куда ушел мой Yahoo!». Похоже, что большинство пакетов сосредоточено на негативном мониторинге (то есть, эта служба / хост был включен, а теперь - нет). Это кажется правильным первым шагом, но что вы можете посмотреть после этого для положительного мониторинга (то есть этот порт не работал, а теперь он есть, или посмотри, это новый хост DHCP)? Я полагаю, что можно иметь объявление для каждого отдельного порта / сетевого адреса в nagios, но это кажется громоздким.
Кто-нибудь знает лучший инструмент для мониторинга портов / хостов на предмет отказа?
Для этого мы используем nmap. У нас есть простой сценарий, обертывающий nmap, который сканирует всю нашу сеть и сохраняет выходные данные XML. На следующую ночь он снова запускается и сравнивает результат. Если появляются какие-либо новые хосты или порты, администратору отправляется электронное письмо.
Только что выпущенный Nmap 5.0 включает утилиту для этой цели под названием Ndiff.
Для хостов, о которых вы знаете, лучше всего подходят Nagios / Zenoss / OpenNMS - они могут быть настроены для уведомления, когда хосты и / или службы выходят из строя или возобновляют работу. В основном они достаточно умны, чтобы не начинать предупреждать обо ВСЕХ службах на хосте, если сам хост тоже не работает; Важно правильно настроить подобные вещи, чтобы не получить 20 предупреждений из-за перезагрузки сервера. Если так много информации о тривиальных вещах, рано или поздно вы в конечном итоге проигнорируете ее и упустите что-то важное.
Что касается второй половины вашего вопроса, Екатерина права; вы смотрите на систему обнаружения вторжений (IDS). Их можно настроить так, чтобы они знали, как ваша сеть должна выглядеть с точки зрения хостов, топологии, типов трафика и т. Д., А затем предупреждать вас, если произойдет что-то, кроме того, что вы определили как «обычное». Несколько примеров: Фырканье и OSSEC.
То, что вы ищете, на самом деле не столько мониторинг, сколько безопасность. Я не эксперт по безопасности, но существует ряд инструментов сетевого сканирования, которым можно «научить», чего ожидать, и которые затем сообщат вам, если что-то не так.
Для ваших конкретных вопросов я бы использовал что-то вроде arpwatch следить за изменениями в адресах ARP и портвейн следить за тем, кто пытается подключиться к неиспользуемым портам. Вы также можете использовать другие инструменты.
Затем эти инструменты можно интегрировать в активную или пассивную проверку Nagios.
Nagios включает широкий спектр плагинов и модулей для активного / навязчивого и пассивного мониторинга. В нем должно быть все необходимое!