Monthly Archives: January 2008

Build Zenoss 2.1.2 on Redhat Enterprise Linux 5

Posted on January 30, 2008 by Martin Liu

Well, it is the first time to running a RHEL 5 for me, at same time got zenoss built successfully on it. zenoss-2.1.2 was build from source, the whole process went a while since RHEL is in one of my … Continue reading

  • Share/Bookmark
Posted in NSM | Tagged , , | Leave a comment

网管系统的测试工具

Posted on January 22, 2008 by Martin Liu

很多网络系统管理软件都有Trap管理的功能,在系统的安装和配置过程中;验证系统是否能正常处理Trap是很麻烦的事情。原因有很多,发送trap的设备没有,设备上的snmp没有启用,或者设备都正常,到网管系统的网络可能有防火墙吧snmp给堵住了。 为了方便的测试和配置网络管理监控系统,需要手工生产和验证trap的发送和接收。最近偶然在网上发现了这样几个免费(非OSS软件)软件工具,可以做这件事。 下载的网站是:http://www.ncomtech.com/ 下面吧我所下载和测试的软件做一个小结,希望对您有所帮助: Trap Receiver http://www.trapreceiver.com/ 是一个Windows程序非常小,安装了之后会在windows安装一个服务。程序的启动目录是C:\Program Files\Trap Receiver\TrapRcvr.exe 程序界面非常简单,如下图所示: 点击configure按钮后可以做一些配置:Action --当收到某些特定的trap是出发邮件、声音等动作;logging--把收到的trap信息按照某种格式记录在文件中;Mibs--导入目标设备的trap文件,让这个接收器能认识到另外的trap格式。还有其他配置信息也非常简单。 TrapGen http://www.ncomtech.com/trapgen.html 顾名思义-这就是一个手工生产和发送trap的工具,是一个命令行工具。example: trapgen -d 192.168.2.3;上图中的第一条和第三条就是用这个命令发出的trap。欲知详细帮助信息,使用”trapgen -h” I/F Spy http://www.ncomtech.com/ifspy.html 是一个网络接口枚举工具,它通过snmp协议去访问目标设备的IFMIB信息,显示所有IFMIB相关信息。 UDP Listen http://www.ncomtech.com/udplisten.html UDP协议的监听程序,是命令行工具,有linux和Solaris版,能用作一个debug工具。 Thingy http://www.ncomtech.com/thingy.html是一个Windows下的GUI工具,能帮你监控三个SNMP指标,采集并做大于等于和小于的逻辑判断然后显示不同的信号灯。 这几个小工具都很小,都能在windows下安装和使用对网络系统监控软件的安装、配置和排错应该有一定的帮助。如果您有什好的小工具也请回复一下本文。

  • Share/Bookmark
Posted in NSM | Tagged , , | 3 Comments

Hyperic HQ Engerprise 3.1.4 测试报告

Posted on January 12, 2008 by Martin Liu

多系统/跨平台支持 如下图所示,我安装了并运行了四个代理程序。HQ的服务器是安装在我的笔记本上的是Windows XP平台的。HQ管理服务器在windows下的安装是非常简单的,两分钟就能完成。安装包中包括了Jboss和PostgreSQL。其它三个测试的代理程序分别安装在OpenSUSE Linux 10.3 (VM),AIX 5.3 和 Solaris 10 (5.10),代理程序的安装过程非常简单,需要注意的是保证代理和管理服务器的时钟同步。否则数据收集和显示的时间会错位。 对不同平台的数据采集是不同的,代理能根据操作系统而已采集不同的数据指标;比如CPU的监控指标windows、linux,Aix和Sun都有细微差别。 Dashboard首页--仪表盘 HQ登陆后的首页,第一个感觉是-专业。算是一个Portal门户界面。页面顶端是最新的两个报警信息,和水平导航条。右边的模块有:资源搜索、保存的资源图、可用性图和最近增加的平台等。右边的模块有:自动发现、最爱资源,最近报警、控制动作问题资源和监控指标视图等。整体来看:所有的模块都可以配置、拖拽、添加和删除;您可以按照自己的喜好设置布局。对于网管来说:最近报警、和问题资源和监控指标视图应该是非常重要的;通过这些内容可以立刻了解到所关心的资源和服务的整体状况。 浏览资源 Platforms平台--四个监控对象:所显示的是所有被监控对象,HQ主要是Agent based的监控方式,当然也可以通过snmp方式监控网络设备,不过这个我没测过它监控网络设备的能力。我安装测试的是HQ企业版,所以我只能监控到4个被监控对象;当然如果是付费用户的话就可以增加被管理目标的数量了,多话钱是肯定的了;好像HQ是按照被监控节点的数量收钱的。测试这个企业版的目的是,浏览一下它所有的功能,下面所说的有些功能是企业版才有的开源版本是没有的。 Servers服务器--21被管理服务器:HQ的自动发现功能不仅能发现到服务器上的基础资源(CPU、文件系统和网络);还能自动发现被监控平台上的数据库、web和App服务等。这些服务有的是需要一些配置才能采集到数据的,例如对数据库的监控,MySQL需要在HQ服务器上输入一个MySQL的用户名和密码(密码不能为空),这个用户需要有能运行status命令的权限。Oracle数据库需要按照HQ页面上的提示在数据库实例上,用DBA的权限运行一个命令,也建立一个用户。代理程序是通过这个用户通过JDBC链接到数据库上采集监控指标的。对于Apache来说,是需要配置Status模块的。HQ也算得上是单一代理的监控方式了,这一个特性是非常重要的;和BMC公司的Patrol产品有些相似。单一代理能很好的降低被监控服务器的额外负担。 告警事件规则 默认情况下所有HQ里没有任何一个报警规则的。不过你可在它的问题资源模块上看到OOB次数。OOB是Out Of Bound的简称,意思是超出边界,那么边界在那?边界在Baseline上,baseline会在每几天算一次,它并不是平均值,某个监控资源的实际忙闲程度水平的参考面。例如如果你的CPU平时都不超过30%的话,它的基线可能是20%,如果某次采样数据是24%了,OOB的数量就被加一;它表明该资源的使用异常了,需要引起你的注意了。HQ企版可以设定固定fix阀值,也可以设定动态阀值。所谓让很多企业级用户梦寐以求的动态阀值,其实就是比对BaseLine来报警的机制。HQ的报警规则可以是:例如CPU使用率超出Baseline的15%;那么这样CPU使用率的报警范围就是动态的了。报警规则的设置可以根据不同的platform而定,可以给某了platform定义一套默认的规则级应用到所有监控对象上。还能在某个监控对象上设置特殊的报警规则。报警条件可以是多条件的逻辑判断。报警事件可以每次触发时都发出,也可以在某个时间段上持续到达多少次才发出,发出的告警信息可以发给某个人或者某组人,还能在时间内升级等。显然这就是某些用户梦想中的事件压缩、峰值抑制、事件升级等功能。HQ的企业版还能从事件上触发Action。 报表中心 默认的报表好像是有7个,可以输出成PDF,excel,csv和html格式。不得不说的是HQ的数据采集方式应该是从HQ服务器上向Agent发起的,取得了数据后,保存在Postgresql数据库中。HQ服务器端保存了所有数据,不过如果在某个时间端,HQ服务器不能和agent通信的话,这段数据就是空白的。这一点可呢功能和所有其它开源软件都一样。而CA的UDPM和BMC的Patrol是不同的,Agent采集到的数据可以短期的保存在被管服务器端;采集数据的连续性不受网络影响。 总结 HQ企业版的功能太强大了,可以与商业软件媲美;单基于Baseline的动态阀值报警就是Big four所不能提供的。不过企业版是不能用的:虽然能使用到所有功能,不过只能监控4个服务器。在浏览HQ网站文档的时候,某个功能如果后面有一个红色的星号,那么它就是企业版的功能,需要付费使用了。不过它开源版的功能已经非常不错了,而且有这么优秀的一个框架使用;能支持二次开发和扩展。下次在提供一个开源版的测试报告。

  • Share/Bookmark
Posted in NSM | Tagged , | Leave a comment

Top 100网络安全工具

Posted on January 4, 2008 by Martin Liu

#1Nessus : 首要的UNIX 弱点/漏洞评估工具 Nessus是最好的网络漏洞扫描工具之一,此软件最好是运行在UNIX上。它被持续不断地更新,有超过11,000的免费插件(但是需要注册或者接受EULA)。主要的特点包括远程和本地的执行安全检查,带有GTK图形用户界面的client/server架构,一个用来写自己的插件的内置脚本语言。从Nessus 3开始停止开源 now closed source,但是他依然是免费的除非你想要最新的插件。查看所有的漏洞扫描器 vulnerability scanners #2 Wireshark :附着在Internet上的嗅探器 Wireshark (在2006年夏之前名为Ethereal )是一个Unix和Windows上fantastic的开源网络协议分析器。它能让你分析在线的网络数据和捕获的数据文件。你能方便的浏览捕获数据,深入研究到你需要级别的数据包的细节。Wireshark还有几个强大功能包括,包括丰富的过滤显示语言和能去查看TCP链接重建的过程。它能支持几百种协议和网络介质类型。一个需要注意的方面是Ethereal现在遭受这很多可远程利用的安全漏洞,因此保持它的更新和提防在非信任的或者敌对的网络上运行它。查看所有包嗅探器 packet sniffers #3 Snort :所有人都喜欢的开源IDS 这个轻量级网络入侵检测和阻止系统擅长于IP网络上的流量分析和包记录。通过协议分析,内容搜索和各种预处理,Snort能探测上千种蠕虫, 利用漏洞企图,端口扫描和其他可疑行为。Snort使用一个弹性的基于规则的语言去描述它应该收集或者忽略的网络通信流量,和一个模块化的检测引擎。从此链接产看更多的基本分析和安全引擎,有一个Web用户界面来分析Snort告警。开源的Snort被一些个人、小企业和部门用的很不错。它的母公司SourceFire提供了一个非常全的产品线;具有很多的企业级功能和实时规则更新。它们提供了一个免费的(需注册)的5天延迟的规则更新源,你还能在Bleeding Edge Snort找到很多非常好的免费规则。 查看所有入侵检测系统intrusion detection systems #4 Netcat :网络瑞士军刀 这个简单的工具通过TCP或者UDP网络链接读写数据。它被设计为一个可靠的后端工具:能被直接和通过其他程序或脚本简单地驱动执行。同时,它也是一个功能丰富的网络调试和探索工具,因为它能生成几乎所有类型的你需要的网络链接,包括接受绑定了端口的外来链接。最初版本的Netcat released 是Hobbit在1995年发布的,但是不论它是多么的流行也没有被持续。它有时候很难被找到nc110.tgz。利用这个工具的弹性和用途去开发了很多其他的Netcat的实现极大的推广了这个工具- 经常的很多现代的功能都不能在原始版本中找到。其中最有趣的是 Socat,扩展Netcat去支持很多其它socket类型、SSL加密、SOCKS代理和更多。它甚至按自己的意图扩展。还有 Chris Gibson’s Ncat,提供了甚至更多功能同时能保持可移植性和简洁性。其它流行的Netcat包括 … Continue reading

  • Share/Bookmark
Posted in Security | Tagged , | Leave a comment