Сетевой монитор дистрибутивов?
В других вопросах есть много рекомендаций по мониторингу сети, но я не ищу.
Я ищу дистрибутив, специально предназначенный для пассивного мониторинга сети (встроенный или через зеркалирование портов). В идеале он будет в основном предварительно настроен с помощью snort/base/ntop/bandwidthd/etc и, надеюсь, с каким-то "клеем".
Мне нужны только сетевые данные (использование полосы пропускания, оповещение о фырканье и т. Д.), Мониторинг работоспособности элементов в сети не является целью.
Какие-либо предложения?
4 ответа
OSSIM имеет эти функции и многое другое. Может быть немного трудно понять, как управлять событиями, но если вы поработаете с ним некоторое время, он станет более интуитивным.
Strata Guard является отличным продуктом со стороны фаворита и очень прост в управлении событиями, но бесплатная версия Lite-as-in-beer ограничена 10 Мбит / с, что означает, что некоторая активность не будет отслеживаться, если пропускная способность превышает этот порог.
Не полноценный дистрибутив, но OSSEC, кажется, отвечает всем требованиям. Лично я предпочел бы иметь инструмент, который хорошо собирает и работает в $MyFavoriteDistro, а не приспосабливаться к чужому представлению о том, как должна выглядеть ОС, просто чтобы я мог использовать программное обеспечение.
Я давно хотел пообщаться с Honeywall, но у меня не было шанса. Это выглядит так же хорошо, как и все остальное для этой цели.
Я очень доволен pfSense (FreeBSD), и в ситуации с зеркалированием портов это будет тривиально.
pfSense 1.2.3 имеет готовые к использованию snort/ntop/RRD-графики /Darkstat-графики /SNMP/nmap практически из коробки.
Это больше похоже на устройство, но требует 10 минут установки и 10 минут для выбора пакетов, которые вы хотите установить, и у вас есть довольно удобная станция управления / мониторинга.