不要忽略服务器上的异常进程!

最新推荐文章于 2024-05-14 10:05:10 发布
最新推荐文章于 2024-05-14 10:05:10 发布
阅读量245 收藏
点赞数
分类专栏: WindowsAD域 运维干货 运维经验
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_40188275/article/details/102525794
版权

在之前的文章中,我们看到了ADAudit Plus的用户行为分析(UBA)功能如何使管理员能够监视用户登录活动以识别受感染的帐户。ADAudit Plus中的UBA还可以帮助您跟踪成员服务器上的任何异常进程,以防御外部威胁。在此文章中,我们将研究企业如何跟踪成员服务器上的进程活动。

191011成员服务器.jpg

跟踪主机上的异常进程

 想象一下这样一种情况:员工点击恶意链接并下载恶意软件,该恶意软件会在网络中传播恶意数据并进行加密。而UBA解决方案可以立即在成员服务器上检测到新进程并触发警报,它还会检测到在此过程中修改文件的异常,并向管理员发出警报。检测到攻击的速度越快,管理员越容易减轻影响。

使用ADAudit Plus跟踪主机上的异常进程,应执行以下操作:

 登录ADAudit Plus。

 单击分析,然后选择异常进程活动。

 要查看首次在主机上运行的进程报告,请选择  “服务器上的新进程”。见下图。

 

191011成员服务器2.png主页上虽然显示了异常进程的各种报表,但是大多数管理员在忙时根本没时间查看报表,别担心,我们还有告警功能!默认情况下,UBA告警是通过电子邮件触发的,您也可以设置为SMS或脚本通知。

 编辑告警配置文件:

 选择配置选项卡。

 转到警报配置文件>查看/修改警报配置文件,然后选择所需的配置文件。

 单击配置修改警报配置文件。您可以选择通过电子邮件,短信或脚本同时接收通知。

 点击更新。

 配置这些设置后,管理员将开始收到有关主机上任何异常进程的警报。

191011成员服务器3.jpg

191011成员服务器4.jpg

 ADAudit Plus的UBA引擎会告警管理员成员服务器上运行的任何进程活动,分析引擎将检查当前进程中是否有异常活动。如果主机上有异常进程,则会触发异常进程警报并将其发送给管理员。

 

 

 

运维有小邓
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
服务器进程显示异常,查看服务器异常进程
weixin_39735012的博客
08-11 1232
查看服务器异常进程 内容精选换一换企业主机安全服务主要包含资产管理、漏洞管理、入侵检测、基线检查和网页防篡改功能。资产管理功能可深度扫描出主机中的账号、端口、进程、Web目录、软件信息和自启动任务,在资产管理界面,您可以统一管理主机中的信息资产。漏洞管理功能将检测Linux软件漏洞、Windows系统漏洞和Web-CMS漏洞,帮助用户识别潜在风险。基线检查功能可扫描出主机DHCP无法正常获取内网I...
java获取各进程的信息
06-12
- 如果获取进程信息时出现异常,则忽略进程并继续处理下一个进程。 4. **定时更新** - 通过`Thread.sleep(SLEEP_TIME);`使线程休眠一段时间后再次执行整个过程,从而实现数据的定时刷新。 #### 总结 本示例...
服务器进程异常的原因分析
congbao6525的博客
09-30 463
现在系统监控的工作处于过渡期,即对于Oracle的还是保留了gridcontrol的监控和报警,同时也保留了zabbix的报警,在发生问题的时候想看看哪个能监控的更到位一些,是否稳定等等,其实这个还真不好说,监控的好与不好都在于...
Linux 系统下进程异常的处理方式
最新发布
Ahern_的博客
05-14 525
说明:僵尸进程对系统来说就是系统已经接管不了并处于异常状态的进程,既不会自动释放,也不能被系统接管,下面列出几种查看并kill僵尸进程的方式。方式一、使用如下命令查看目前系统状态为 Z 的僵尸进程,获取进程 ID 号。方式二、使用如下命令捕获僵尸进程 ID 号,捕获出来直接 kill。确认了进程 ID 后,我们可以得到它的父进程 ID。也可以利用trace工具分析问题原因。stopped 进程的STAT为T。方式三、采用如下命令查看僵尸进程。附、查看或批量删除僵尸进程。kill -9 父进程号。
linux服务器异常进程,Linux服务器快速排查系统是否被黑被入侵
weixin_42577735的博客
04-29 2267
1.异常进程可以用top命令查看是否有占用CPU较高的进程,下面截图的进程异常,并且占用较高CPU 2.linux系统中出现类似Windows的目录或可执行文件如果判断不是用户自己上传的,很有可能系统被黑或数据库被黑3.检查定时任务crontab可以使用crontab -l检查定时任务是否异常,比如 1 20 * /bin/rm -rf /home/wwwroot计划执行删除wwwroot目录...
服务器被入侵,异常进程无法杀掉,随机进程
小云的博客
05-01 485
故事情节:有一天在聚餐中,我有一个朋友和我说他的服务器上有有个异常进程他一直在占满CPU在运行,我在一顿谦虚之后答应了他,有空登录上他的服务器看一下具体情况。...
服务器进程显示异常,服务器异常进程查看
weixin_39792475的博客
08-11 676
服务器异常进程查看 内容精选换一换在“云服务器列表”页,单击下拉按钮展开会话列表,查看会话连接状态,出现“关闭应用失败”的异常。将鼠标移动至“关闭应用失败”处,查看具体的失败原因,并根据表1进行故障排除。关闭应用失败排查思路失败原因解决方案同步集群OBS桶数据失败检查集群OBS桶策略权限,并且重启云服务器会话异常重启会话,若未解决再重启云服务器无法找到应用exe文件登录云待导入数据成功后,停止GD...
第3章 传统的进程间通信1
08-03
在计算机科学领域,进程间通信(IPC,Inter-Process Communication)是操作系统中多个进程相互协作、交换信息的方式。本章将深入探讨传统的进程间通信机制,主要包括信号通信和管道通信,这两种方法在Linux系统中尤...
Selenium常见异常解析及解决方案示范
09-17
7. **远程服务器异常** - 使用`webdriver.Remote()`连接远程Webdriver服务时,如果出现`RemoteDriverServerException`,需要检查远程服务的配置是否正确。 8. **Webdriver服务器响应异常** - `...
PHP程序员玩转Linux系列 使用supervisor实现守护进程
09-15
为了克服这个问题,我们可以使用`nohup`命令,它让进程忽略SIGHUP信号,使得进程可以在终端关闭后继续运行。但即使这样,进程在遇到某些异常情况时仍可能退出。 **进程信号** 在Linux中,进程可以接收多种信号,...
详解C# Socket简单例子(服务器与客户端通信)
09-01
C# 中的 Socket 类是用于网络通信的基础组件,它允许程序通过 TCP 或 UDP 协议与其他网络上的程序进行数据交换。在这个简单的例子中,我们将了解如何使用 C# 的 Socket 类创建一个服务器和客户端,实现基于 TCP 的...
服务器CPU异常原因及如何追踪
十色花的博客
08-19 3009
1.查看服务器CPU飙升卡爆,最后发现是服务器在跑挖矿程序,CPU使用率奇高。在此总结一下排查经过。   首选发现CPU飙升,服务器卡死,查看异常进程PID     #top                          #查看各个进程的cpu使用情况,默认按cpu使用率排序   2.结束掉异常进程     #kill -9/15 pid                        #...
服务器进程异常的原因分析(第二篇)
congbao6525的博客
02-21 366
最近看到一个报警,是显示某一个oracle的备库进程数达到了2000多个。 ZABBIX-监控系统: ------------------------------------ 报警内容: Too many O...
emc文件服务器浏览记录,EMC存储系统安全审核, EMC审计 - 报表展现
weixin_39893042的博客
08-03 190
EMC存储系统安全审计确保您的EMC存储系统获得最高级别的安全,在文件(文件创建/修改/删除)、文件夹访问、共享和权限发生更改时发送即时关键电子邮件告警,对每项更改进行详尽的审核和报表,从而防止未经授权访问。知道是谁在何时从何处作出什么更改。监控EMC存储设备对于存储的保密数据非常重要,记录每次成功和失败的文件/文件夹访问、修改、移动、复制和重命名尝试,以及审核设置和权限更改也非常重要。EMC存储...
进程异常终止--前台进程
翔云
03-05 1350
问题:ssh登录服务器,并开启一个前台进程。等过了一会儿,当再来查看时,开启的进程还在不在呢?答案是进程挂掉。原因:ssh登录终端,超过一定时间没有操作后,网络断开,SIGHUP信号被发送给控制进程(会话首进程)。控制进程终止,将SIGHUP信号发送给前端进程组的每个进程。 我在终端开启的进程属于前台进程,所以挂掉了。验证后面查阅书籍,也证实我的猜测。《Unix环境高级编程》第二版9.6 控制终端
服务器总出现异常?几个小方法助你防范于未然
ksy_com的博客
06-11 4140
服务器对于网络的重要性,IT人士都知道。网络上80%的数据、信息都储存在服务器中,也能够让服务器任意处理,因此,可以说服务器是网络这个大家庭中的“管家”,是不可撼动的主体。它是连接网络终端设备与外界沟通的桥梁,想要获取资讯,也必须经过服务器。比起微机,服务器具有更强的稳定性、可靠性、安全性、可扩展性和可管理性。对于公司来说,服务器支撑着整个公司所有业务的信息数据,公司的信息储存、业务开展、日常运作等环节都离不开服务器。因此,服务器安全对公司而言至关重要,甚至可以说服务器安全是涉及公司生死存亡的大事。在使用服
服务器上几种常见异常的解决方案
weixin_34192816的博客
11-10 718
由于以前就业时算是公司里对服务器上各种硬件和配置原理较为了解. 一直负责公司服务器日常管理.也算是半路出家. 当然日常工作中前前后后也遇到不少大大小小的问题(硬件/服务器日常配置 数据中心合并方案等等). 有1些常见的异常. 总结一些基本快速的处理方法.如下 (1)配置Asp.net站点ISS报出:服务器应用程序不可用.具体异常信息如下: 服务器应用程序不可用 您试...
Linux内核进程间通讯:信号与机制解析
例如,SIGHUP表示挂断,SIGINT是用户中断(通常由Ctrl+C触发),SIGKILL是强制进程立即终止,而SIGSTOP则不可忽略,强制暂停进程执行。Linux系统中定义了一系列的信号,包括SIGFPE(浮点运算异常)和SIGSEGV(段错误...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值