Argusの実装(netflowと同様)どのような情報を収集する必要がありますか?
私は診断ツールとして Argus のトライアルを私の会社で設定しています。スイッチの監視ポートにコレクタボックスが接続されています。最初の計画では、異常なトラフィックのあるポートをコレクタにリダイレクトし、それを分析してトラブルシューティング情報を取得します。
より一貫性のある監視ソリューションを提案する前に、これを販売する必要があります。これが、このタイプのアプリケーションの真の強みであることがわかっています。
最初のレポートはすべてコマンドラインで表示されるため、表示される情報を管理可能なレベルに減らすことが重要です。
私の質問はこれです:セキュリティとトラブルシューティングの両方の観点から、どの情報が最も価値があるでしょうか?どのレポートを事前設定する必要がありますか?
私はすでに考えました:
- 現在ポートで話しているアドレスのリスト(私たちのネットワークマップはひどいです)
- プロトコル配布、
- 特定のIPアドレスに電流が流れる
たぶん、パケットロスや接続の切断に関するものですか? (最後の1つができるかどうかわかりません)
おかげさまで、これに答える経歴があればいいのにと思いますが、そこにたどり着くために一生懸命頑張っています。
最初のステップとして、「公式」を確認することをお勧めします Argus wikiページ 。これは主に、ツールスイートを使用して実行できるクエリの種類の優れた例を示すクックブックページです。 argusメーリングリスト も参照する価値があります。多くの場合、製品の興味深い使用法がそこで共有されています。
さらに、私のオフィスでは、「ra」コマンドからの出力を処理する多数のスクリプトを作成しています。私が最も頻繁に使用するものは、フローカウントまたはバイトカウントによって上位$ nsrcアドレスを生成します。既知のボットネットC&Cと通信するアドレスを生成する他のいくつか。