通过nagios监控网络总出口流量异常时自动触发抓包行为20130515

最新推荐文章于 2024-05-16 02:51:42 发布
最新推荐文章于 2024-05-16 02:51:42 发布
阅读量2.5k 收藏 1
点赞数
分类专栏: 技术文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xuyaqun/article/details/8941204
版权

通过nagios监控总出口流量异常时触发抓包行为20130515

by lai

原理:nagios通过mrtg监控交换机上联端口流量,上联端口的in、out流量镜像到连接网管机的交换机端口,nagios检测到流量超出设定值,通过envent handler远程触发网管机的抓包脚本,并记录log,发送报警邮件,然后通过wireshark、tcpdump等分析抓到的数据包。

1、nagios安装mrtg,这里不详细介绍了
#yum install mrtg

设置mrtg每分钟取一次数据
# more /etc/cron.d/mrtg
*/1 * * * * root LANG=C LC_ALL=C /usr/bin/mrtg /etc/mrtg/mrtg.cfg --lock-file /var/lock/mrtg/mrtg_l --confcache-file /var/lib/mrtg/mrtg.ok

生成的mrtg图像在/var/www/mrtg/目录


2、定义命令
# more /usr/local/nagios/etc/objects/commands.cfg
###########################################################
# Define auto capture packets command
###########################################################
define command{
        command_name auto-capture-packet-eh
        #command_line /usr/local/nagios/libexec/eventhandlers/auto-capture-packet-eh.sh $SERVICESTATE$ $SERVICESTATETYPE$ $SERVICEATTEMPT$ $HOSTADDRESS$ $HOSTDOWNTIME$ $SERVICEDOWNTIME$
command_line /usr/local/nagios/libexec/eventhandlers/auto-capture-packet-eh.sh $SERVICESTATE$ $SERVICESTATETYPE$ $SERVICEATTEMPT$ 192.168.0.19 0 0
}


3、监控机定义交换机上联端口,设置in/out流量的报警值(交换机的端口ID需要通过snmpwalk获取)
# more /usr/local/nagios/etc/objects/wby_nagios/gateway_switch.cfg
# Define the switch that we'll be monitoring
define host{
        use             generic-switch          ; Inherit default values from a template
        host_name       gateway_switch_h3c254           ; The name we're giving to this switch
        alias           gateway_switch_h3c254   ; A longer name associated with the switch
        address         192.168.0.254           ; IP address of the switch
        hostgroups      switches                ; Host groups this switch is associated with
        }

# Monitor bandwidth via MRTG logs
define service{
        use                     generic-service ; Inherit values from a template
        host_name               gateway_switch_h3c254
        service_description     Port 24 uplink_port Bandwidth Usage
        check_command           check_local_mrtgtraf!/var/www/mrtg/192.168.0.254_3462.log!AVG!2000000,2000000!3000000,3000000!3
        max_check_attempts      4
        event_handler           auto-capture-packet-eh
        }

4、把交换机上联端口的所有流量镜像到连接网管机的网卡的端口


5、设置从nagios监控机到抓包网管机的ssh信任,以便在抓包条件触发时,监控机不需要输入密码即可执行网管机上的抓包脚本(监控机nagios-->网管机nagios)
网管机nagios设置ssh信任
useradd nagios
mkdir /home/nagios/.ssh/
vim /home/nagios/.ssh/authorized_keys
chmod 700 /home/nagios/.ssh/
chown nagios.nagios /home/nagios/ -R


6、网管机nagios用户增加sudo 权限
# more /etc/sudoers
# Nagios commands
Cmnd_Alias SERVICE=/etc/init.d/sendmail
User_Alias NAGIOSUSERS = nagios
NAGIOSUSERS ALL = NOPASSWD: SERVICE
nagios ALL=(root) NOPASSWD:/usr/local/nagios/libexec/eventhandlers/auto-capture-packet.sh


如果报错:sudo: sorry, you must have a tty to run sudo
需要注释掉/etc/sudoers requiretty行
#Defaults    requiretty


7、nagiso监控机上的事件控制脚本,需要可执行权限
# more /usr/local/nagios/libexec/eventhandlers/auto-capture-packet-eh.sh
#!/bin/sh
#
# Event handler script for restarting the apache (httpd) on the remote machine
#
# Matthew Harman May 2012 - matthew@harmanweb.co.uk
#
# Note: This script will only restart if the service is
# retried 3 times (in a "soft" state) or if the service somehow
# manages to fall into a "hard" error state.
#
# What state is the httpd check in?
case "$1" in
   OK)
      # The service just came back up, so don't do anything...
      ;;
   WARNING)
      # We don't really care about warning states, since the service is
      # probably still running...
      ;;
   UNKNOWN)
      # We don't know what might be causing an unknown error, so don't do
      # anything...
      ;;
   CRITICAL)
      # Aha! The service appears to have a problem - perhaps we should
      # restart the server...
      # Is this a "soft" or a "hard" state?
      case "$2" in
         # We're in a "soft" state, meaning that Nagios is in the middle
         # of retrying the check before it turns into a "hard" state and
         # contacts get notified...
         SOFT)
            # What check attempt are we on? We don't want to
            # restart the web server on the first check, because
            # it may just be a fluke!
            case "$3" in
               # Wait until the check has been tried 3 times
               # before restarting the web server. If the
               # check fails on the 4th time (after we restart
               # the web server), the state type will turn to
               # "hard" and contacts will be notified of the
               # problem.
               # Hopefully this will restart the web server
               # successfully, so the 4th check will result
               # in a "soft" recovery. If that happens no one
               # gets notified because we fixed the problem!
               3)
                  # Check if the host or service is in a
                  # period of downtime
                  servicestatus="$5""$6";
                  case "$servicestatus" in
                     00)
                        echo -n "Restarting service (3rd soft critical state)..."
                        # Call the script to restart the process
                        ssh -f -T "$4" /usr/local/nagios/libexec/eventhandlers/auto-capture-packet1.sh &
                        echo "总出口流量异常,已连续3分钟超过警戒值,系统已自动抓包保存,请检查"|mutt -s "Waring:总出口流量异常$(date +%Y%m%d%H%M)" 362560**@q
q.com,lai***@126.com
                        #sleep 20
                        #kill -9 `ps -ef |grep ssh|grep "$4"|grep "remount-httpd-eh.sh"|awk -F" " '{print $2}'`
                        #echo `date` >>/home/nagios/tcpdump.log
                        #/usr/bin/sudo /usr/sbin/tcpdump -c 100 -w /home/nagios/$(date +%Y%m%d%H%M)_tcpdump.cap
                        ;;
                  esac
                  ;;
            esac
            ;;
            # The service somehow managed to turn into a hard error
            # without getting fixed. It should have been restarted by the
            # code above, but for some reason it didn't. Lets give it one
            # last try, shall we?
            # Note: Contacts have already been notified of a problem with
            # the service at this point (unless you disabled notifications
            # for this service)
         HARD)
            # Check if the host or service is in a period of downtime
            servicestatus="$5""$6";
            case "$servicestatus" in
               00)
                  echo -n "Restarting Service..."
                  # Call the script to restart the server
                  ssh -f -T "$4" /usr/local/nagios/libexec/eventhandlers/auto-capture-packet2.sh &
                  echo "总出口流量异常,已连续4分钟超过警戒值,系统已自动抓包保存,请检查"|mutt -s "Critical:总出口流量异常$(date +%Y%m%d%H%M)" 362560**@qq.co
m,lai***@126.com
                  #sleep 20
                  #kill -9 `ps -ef |grep ssh|grep "$4"|grep "remount-httpd-eh.sh"|awk -F" " '{print $2}'`
                  #echo `date +%Y%m%d%H%M` >>/home/nagios/tcpdump.log
                  #/usr/bin/sudo /usr/sbin/tcpdump -c 100 -w /home/nagios/tcpdump_2.cap
                  #ssh -f -T "$4"       /usr/bin/sudo /usr/sbin/tcpdump -c 100 -w /home/nagios/$(date +%Y%m%d%H%M)_tcpdump_2.cap
                  ;;
            esac
            ;;
      esac
      ;;
esac
exit 0

 


8、网管机上的执行抓包的脚本,需要可执行权限
# more  /usr/local/nagios/libexec/eventhandlers/auto-capture-packet.sh   
#!/bin/sh
#sudo /etc/init.d/sendmail restart
echo -n "tcpdump start at:"`date`"  " >>/home/nagios/log.txt
/usr/bin/sudo /usr/sbin/tcpdump  -i eth1 -c 2000000 -w /home/nagios/$(date +%Y%m%d%H%M)_tcpdump_eth1.cap
/bin/gzip /home/nagios/$(date +%Y%m%d%H%M)_tcpdump_eth1.cap
echo "end at:"`date` >>/home/nagios/log.txt

 

9、模拟测试:
/usr/local/nagios/libexec/eventhandlers/auto-capture-packet-eh.sh  CRITICAL HARD 0 192.168.0.19 0 0


10、实际测试
ok


 

运维-Frank
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
linux 监控网络出口流量,Linux高速网络流量监控、计算方法详解
weixin_36002349的博客
05-04 829
在Linux中有很多的流量监控工具,它们可以监控、分类网络流量,以花哨的图形用户界面提供实流量分析报告。大多数这些工具(例如:ntopng,iftop)都是基于libpcap库的 ,这个函数库是用来截取流经网卡的数据包的,可在用户空间用来监视分析网络流量。尽管这些工具功能齐全,然而基于libpcap库的流量监控工具无法处理高速(Gb以上)的网络接口,原因是由于在用户空间做数据包截取的系统开销过高...
Nagios.zip 网络监控系统
07-20
Nagios 是一种开源的网络监控系统,可用于监控网络设备、服务器和应用程序。它提供了强大的监控和报警功能,使网络管理员能够实了解系统的状态并及采取措施。 Nagios 具有以下主要功能: 监控服务:Nagios 可以...
使用NAGIOS监控网络、系统及服务
weixin_34007879的博客
12-09 132
 近两天,受一位之前同事的启发,自已也搞起了nagios学习和研究之旅。还好,凭着google上几位“先人”的先行,以及自己的烂泥式的英语阅读能力。终于还是搞好了些监控项目。下面截图表现一下:其中主机名为155-187的服务器,是LINUX服务器:155-187 主机名/and/opt disk space #/及/opt分区的磁盘空间情况  Current Users #现在登陆的用户数Tota...
出口流量未受限制,可能导致内部敏感信息被非法泄露到外部网络
最新发布
ZOMO的博客
05-16 647
随着互联网的普及和企业信息化建设的加速,企业内部网络的安全问题日益突出。特别是在出口流量的管理上,如果缺乏有效的策略管理手段,可能导致内部敏感信息被非法泄露到外部网络,给企业带来巨大的损失。本文将通过分析出口流量管理的现状和存在的问题,提出一套完整的防火墙策略管理方案,以帮助企业提高网络安全防护能力。
nagios监控带宽插件
weixin_34315189的博客
11-18 113
由于有些业务服务器托管在了二线城市的机房,第4天同事说服务器网络不正常是不是带宽没有给够,我们租用的是5M独享带宽。我登陆服务器,我们租用的是网通线路,就找了一163源下载 Centos 系统 检查了一下下载速度,下载速度居然在 250KB/S,也就是说实际带宽也就给了2M·拿起手机给IDC打电话,他们说让技术查一下,随后给我回电话说,不好意思某某个技术调交换机的候调错...
nagios监控网络
dcwnb1的专栏
10-24 730
1、安装修改启动snmpd服务 方法一:安装:[root@nagios nagios]# yum -y install net-snmp* Loaded plugins: fastestmirror Loading mirror speeds from cached hostfile Setting up Install Process Package 1:net-snmp-devel-5.3.2
nagios网络监控
weixin_34187822的博客
04-30 156
nagios网络监控nagios是什么:Nagios是一款开源的免费网络监视工具,能有效监控Windows、Linux和Unix的主机状态,交换机路由器等网络设置,打印机等。在系统或服务状态异常发出邮件或短信报警第一间通知网站运维人员,在状态恢复后发出正常的邮件或短信通知。nagios是功能强大的监控软件,主要...
nagios 流量使用监控脚本
01-04
nagios 流量使用监控脚本,https://blog.csdn.net/jie_linux/article/details/85702712
nagios-install.rar_nagios_nagios install.txt_网络监控
09-14
Nagios的核心功能是实监控网络上的服务器、硬件、应用程序和服务,确保它们正常运行。当出现问题Nagios会立即发出警报,帮助管理员快速定位并解决故障。Nagios提供了丰富的插件和定制选项,可以根据不同的网络...
mrtg.rar_linux 监控_monitor traffic_流量监控_网络流量_网络监控
09-21
Linux系统中,MRTG(Multi Router Traffic Grapher)是一款广泛使用的网络流量监控工具,它能实监控网络流量,并生成直观的图表,便于分析和管理。本文将详细介绍MRTG的使用及其核心功能。 MRTG是由Tobias ...
linux下监控网络流量的脚本
09-15
在给定的描述中,提到了一种通过脚本来监控网络流量的方法,避免了安装如iptarf、ifstat等可能需要额外RPM包的工具。这种方法依赖于Linux内核提供的一种机制,即 `/proc/net/dev` 文件,它实记录了系统中每个网络...
Nagios 监控
果子哥丶的博客
05-10 1653
一、企业里常用的监控软件,二、Ngaios概述,三、Nagios监控流程,四、Nagios的安装, 五、Nagios配置文件介绍, 六、监控本机的公共服务,七、监控远程主机的公有服务, 八、监控远程主机的私有服务, 九、实现邮件报警
如何使用Nagios实现网络监控
Anders
08-03 2226
        一个系统管理员怎样才能够监控众多的机器和服务,以便在人们受到危害之前,尽早的发现并解决问题?该问题的答案是Nagios。  Nagios是一个开放源码的网络监控工具。它不仅免费,而且功能强大,并具有极强的可定制性。虽然学习和实施它比较复杂,但它在记录你们组织的IT基础架构如何运行方面,会节省大量的间。  在这个分成两部分的专栏中,在第一部分,我将重点讨论Nagios的有效
记一次APP和DB间流量异常问题的排查
奋进的K
03-19 1517
情景通过zabbix监控发现有一个应用和数据库之间存在不定流量异常(也不频繁),具体为应用server的入向流量和数据库server的出向流量会有短间(通常在一分钟左右)的激增,甚至快达到千兆网卡的传输上限。分析过程通过症状,几乎可以断定是由于某些sql语句需要返回大量数据导致。但这次问题的分析结果确是很不顺利(其中有我前期方法不当的原因)。初次分析:因为在那之前做了一个针对于故障/异常分析的
nagios监控系统——实战篇
bpb_cx的博客
08-24 3691
一、nagios简介 Nagios是一款开源的免费网络监视工具,能有效监控Windows、Linux和Unix的主机状态,交换机路由器等网络设备,打印机等。在系统或服务状态异常发出邮件或短信报警第一间通知网站运维人员,在状态恢复后发出正常的邮件或短信通知。Nagios所需要的运行条件是机器必须可以运行Linux(或是Unix变种)并且有C语言编译器。你必须正确地配置TCP/IP协议栈以使大多...
Nagios监控原理
再见理想
09-10 8972
Nagios监控原理 之前对nagios监控原理不是很清楚,经过几次搭建之后,又参考了许多书籍和部分优秀的文章,将大家讲的好的部分结合在一起,又添了些自己的内容形成这这篇文章,以便一些新手的理解 一、nagios的简介 Nagios是一款开源的免费网络监视工具,能有效监控Windows、Linux和Unix的主机状态,交换机路由器等网络设置,打印机等。在系统或服务状态异常发出邮件或短信
nagios流量监控的三种方法
weixin_33725515的博客
01-07 268
使用nagios监控接口流量主要有三种方法 1.使用snmp通用的做法,以下接口可以得到数据包的流量 IF-MIB::ifInOctets snmpwalk-v 2c -c public 127.0.0.1 IF-MIB::ifInOctets IF-MIB::ifOutOctets snmpwalk-v 2c -c public 127.0.0.1 IF...
出口防火墙抓包排查网络问题思路
qq_38936794的博客
04-28 459
通过抓包看我们这边发出包后是否有收到对端回报,以及收到的回报当中是否有reset包或者drop包,如果没有reset包、drop包,来回包都正常,说明转发没有问题;如果收到了reset包,则要看reset包是哪边发的,谁发的就去排查哪一边;如果我们没有收到回包,或者对端没有收到我们发出去的包,或者对端收到了我们发出去的包但是没有给我们回包,则是对端的问题,要查对端;如果对端收到了我们发出去的包,并且也给我们回了包,但是我们这边没有收到包,则有可能是运营商的问题或者是中间设备的问题。
Nagios监控流量
08-30
对于流量监控,你可以使用check_snmp插件来获取设备的入流量和出流量数据,并设置阈值来触发警报或报警。 例如,你可以定义一个服务检查来监控某个交换机的流量: ``` define service{ use generic-service host...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值