Windows下的＂nagios＂

万达换票券

　　事件日志对于监控网络安全和性能来说是非常有价值的工具，但由于日志量大且非常复杂，因此通常得不到充分的利用。 随着公司的发展扩大，需要一套结构化的方式管理和保存事件日志。 SANS Institute 最近的一项调查显示，44%的系统管理员不会保留一个月之前的日志。合适的事件日志管理能够帮助您满足以下目标，包括：* 信息系统和网络安全 * 系统健康监控 * 法律法规的遵守情况 * 法院调查．
　　
　　事情要从我所经历的一件事情说起：企业按部门的名称分别在文件服务器上建立各部门的访问文件夹，并设定好相应的访问权限．相应的方法请参考：http://waringid.blog.51cto.com/65148/82419．但是因为企业内部人员变动很大，所以经常发生误删他人文件的事情（在部门公用文件夹内）；为了减少服务支持部门恢复文件的时间及警告相应的＂罪魁祸首＂，我们启用了文件日志审查．这样用户对文件的删除操作时就会有相应的日志记录，但是随后出现的问题是我们需要在上万条记录中一条一条查找（windows下的日志只能这么做）；这样不仅浪费了时间也影响了效率．如果早一点了解GFIEventsManager也许事情就变得简单了．
　　
　　使用Linux的人都知道，在Linux系统下有一个开源的软件＂Nagios"，它可以监控王国中的巨人．依靠其强大的插件功能体现了超强的能力．你如果对它不了解的话，可以看看这篇文章：http://waringid.blog.51cto.com/65148/85887．网络范围内的事件日志管理 - 无需做事件的管家！这是该软件的口号．当然，能不能做到如此，只有试过了才知．先看看它的功能吧．http://www.gfisoftware.cn/eventsmanager/．集中处理由防火墙、服务器、路由器、交换机、电话系统、计算机等生成的 Syslog、W3C 和 Windows 事件日志；使用向导帮助配置，简化终端用户的操作和维护；无可匹敌的事件扫描性能每小时可以扫描 600万条以上的事件；预配置的处理规则可以进行高效的预设事件分类和管理；自动全天候 24/7 事件活动监控和报警；强大的报告用于有效的网络活动监控并立即实现 ROI．http://www.gfi.com/eventsmanager/．
　　
　　GFI有很多软件值得我们试用一下，先前我有说过exchange2003下的邮件安全管理的软件也是基于GFI的．http://waringid.blog.51cto.com/65148/85313．并不是给他们打广告，是它的功能急人之所需．
　　
　　安装方式很简单，只是在安装前需满足系统条件：需要.NET2.0组件及SQL或是MSDE数据库的支持．然后一路点＂下一步＂就可以完成了．如图：
http://lh6.ggpht.com/idwaring/SHNVXrLEDXI/AAAAAAAACc0/a2upO4rv_Vo/s800/Image00000.jpg
　　完成后可能需要手动配置数据库的支持，然后再手工启动服务．完成后就可以先添加本地计算机来查看其相应的日志以验证是否成功安装．下面是在日志查看中所显示的本机的日志的情况．
http://lh3.ggpht.com/idwaring/SHNVdMdvxFI/AAAAAAAACc8/ejC5QAiemds/s800/Image00001.jpg
http://lh3.ggpht.com/idwaring/SHNViFdTLEI/AAAAAAAACdE/cYTjMWu0ONI/s800/Image00002.jpg
　　
　　上面显示的图形都是按日志的类型分别存放．可以对其搜索查询及相应的导出操作．当然这里还有很多其它类型的日志，除了等下要讲到的Linux下的syslog日志外，其它的留给大家去体验吧．下面的图则是整个日志的缩略图了．怎么样，很直观吧．http://lh4.ggpht.com/idwaring/SHNVlB784-I/AAAAAAAACdM/dBYE8eX1INc/s800/Image00003.jpg
http://lh6.ggpht.com/idwaring/SHNVpgrMjfI/AAAAAAAACdU/crYNn35EIlE/s800/Image00004.jpg
　　
　　当然，类似于nagios，邮件的提醒或是短信的功能也是少不了的，这不，下面的图片就提示你怎样使用邮件的提醒功能．http://lh3.ggpht.com/idwaring/SHNVtbRO8SI/AAAAAAAACdc/0_LK-yAfiTU/s800/Image00005.jpg
http://lh6.ggpht.com/idwaring/SHNVUGqC23I/AAAAAAAACcs/DDTB100-2bc/s800/Image00008.jpg
　　
　　系统在安装配置完成后会默认地设为syslog日志服务器．所以linux或是Unix的日志可以定义到这台日志服务器上，然后由它来监视Linux或是Unix主机的日志．下图是Linux主机日志存放的定义．（/etc/syslog.conf）http://lh4.ggpht.com/idwaring/SHNV3QP_lwI/AAAAAAAACd0/cs84X2sPSSc/s800/Image00010.jpg
　　
　　其中@后的IP地址是syslog服务器的地址．当然，你可以在Hosts文件中定义一个服务名称，然后在这里引用其效果是一样的．下面就是Linux的日志图了．http://lh3.ggpht.com/idwaring/SHNVQ1s0F-I/AAAAAAAACck/OcWfFLmfFj0/s800/Image00007.jpg
http://lh3.ggpht.com/idwaring/SHNVw0g0ACI/AAAAAAAACdk/JuyzXzb7NTA/s800/Image00006.jpg
　　还有一个功能就是详细的报表功能了．它能够帮助系统管理员针对 W3C、Syslog 和 Windows 事件活动数据比较和创建图形化 IT 报告和管理层报告，这些数据从各种网络资源中收集，包括： 安全应用程序、跨平台操作系统、web服务器、网络硬件、PABX、访问控制系统等。从提供给管理层的趋势报告 (ROI) 到提供给技术员工的每日深入报告，GFI EventsManager ReportPack 为您提供查看方便的信息以便完全了解 IT基础架构不断变化的活动。通过邮件完全自动化的报告分发和定制报告的调度使您真正实现只需安装，无需照看的功能。 GFI EventsManager  ReportPack 帮助你将原本主观的工作转化成实在客观的报告资料．
http://lh4.ggpht.com/idwaring/SHNV0o7S20I/AAAAAAAACds/V5xOP5Mj6_w/s800/Image00009.jpg
http://lh6.ggpht.com/idwaring/SHNV8z7XZII/AAAAAAAACd8/_oAMzWsHnZY/s800/Image00011.jpg
　　设定SQL数据库．如图示：
http://lh6.ggpht.com/idwaring/SHNV_oswq5I/AAAAAAAACeE/JDrvZz2F_ms/s800/Image00012.jpg
　　邮件及报表的生成和设定：
http://lh5.ggpht.com/idwaring/SHNWEDkFF1I/AAAAAAAACeM/m_O-QBnIZVo/s800/Image00013.jpg
http://lh6.ggpht.com/idwaring/SHNWIIVC-BI/AAAAAAAACeU/0hweRJ4JHBw/s800/Image00014.jpg
　　很多功能都没有在这里详细的测试，留给大家去做吧．发现自己喜欢尝鲜，试过后可能就放到一边了．也许只有等真正需要的时候才会做详细的设定吧．