我一直在监视一段时间。 除了“我的雅虎去了”以外,我的组织没有任何东西。 看来,那里的大多数软件包都集中在负面监控上(即,这个服务/主机已经启动了,现在没有了)。 这似乎是一个有效的第一步,但你可以看看过去的积极监测(即该端口没有,现在是,或嘿看起来这是一个新的DHCP主机)? 我想可能有一个声明每个单一的端口/networking地址在Nagios,但这似乎麻烦。
有没有人知道一个更好的工具来监视端口/主机肯定下来?
我们使用nmap。 我们有一个简单的包装nmap的脚本来扫描整个networking并存储XML输出。 第二天晚上再次运行并比较输出。 如果有新的主机或端口出现,则会向pipe理员发送电子邮件。
刚刚发布的Nmap 5.0包含一个实用程序,称为Ndiff 。
对于你所知道的主机,Nagios / Zenoss / OpenNMS是你最好的select – 可以configuration它们来通知主机和/或服务何时停止或恢复。 它们大部分都足够聪明,不会在主机本身closures的情况下开始提醒主机上的所有服务。 正确configuration这些东西是非常重要的,这样你就不会因为重启服务器而被20条警报淹没。 如果有那么多关于微不足道的东西的信息,迟早你会最终忽视它,错过了一些重要的东西。
对于你的问题的后半部分,凯瑟琳的权利; 您正在查看入侵检测系统(IDS)。 这些可以被configuration为知道你的networking在主机,拓扑结构,stream量types等方面应该是什么样子,然后提醒你,除了你定义为“普通”的事情发生以外。 Snort和OSSEC就是两个例子。
你所寻找的并不是真正的监控,而是安全。 我不是一个安全专家,但是有很多networking扫描工具可以“教”预期的东西,然后告诉你是否有什么不寻常的东西。
对于你的具体问题,我会使用像arpwatch的东西来观察ARP地址和portsentry的变化,以监视任何人试图连接到未使用的端口。 您也可以使用其他工具。
这些工具可以被集成到Nagios的主动或被动检查中。
Nagios包括用于主动/侵入式监控和被动监控的各种插件和模块。 它应该包括你需要的一切!