我正在我的公司试用Argus作为诊断工具。我们在交换机的监控端口上连接了一个收集器盒,最初的计划是将具有异常流量的端口重定向到收集器,然后对其进行分析以获取故障排除信息。
我需要先卖掉它,然后才能推出更一致的监控解决方案,我知道这是这类应用程序的真正优势。
初始报告将全部在命令行上,因此将呈现的信息减少到可管理的级别是关键。
我的问题是:从安全和故障排除的角度来看,哪些信息最有价值?我应该预先配置哪些报告?
我已经想到了:
- 当前在端口上通话的地址列表(我们的网络地图很糟糕)
- 协议分发,
- 特定 IP 地址的电流
也许是丢包或连接中断?(不知道我能不能做到最后一个)
谢谢,我希望我有背景来回答这个问题,但我正在努力做到这一点。
作为第一步,我建议您查看“官方”阿格斯维基页面。它主要是一个食谱页面,提供了一些可以使用工具套件运行的查询类型的很好的示例。同样值得浏览的是阿格斯邮件列表。产品的有趣用途经常在那里分享。
此外,我的办公室制作了许多脚本,这些脚本可以处理“ra”命令的输出。我最常使用的那些按流数或字节数生成前 $n 的 src 地址。其他一些产生与已知僵尸网络 C&C 通信的地址。