kubota-dit
    • Create new note
    • Create a note from template
      • Sharing URL Link copied
      • /edit
      • View mode
        • Edit mode
        • View mode
        • Book mode
        • Slide mode
        Edit mode View mode Book mode Slide mode
      • Customize slides
      • Note Permission
      • Read
        • Only me
        • Signed-in users
        • Everyone
        Only me Signed-in users Everyone
      • Write
        • Only me
        • Signed-in users
        • Everyone
        Only me Signed-in users Everyone
      • Engagement control Commenting, Suggest edit, Emoji Reply
    • Invite by email
      Invitee

      This note has no invitees

    • Publish Note

      Share your work with the world Congratulations! 🎉 Your note is out in the world Publish Note

      Your note will be visible on your profile and discoverable by anyone.
      Your note is now live.
      This note is visible on your profile and discoverable online.
      Everyone on the web can find and read all notes of this public team.
      See published notes
      Unpublish note
      Please check the box to agree to the Community Guidelines.
      View profile
    • Commenting
      Permission
      Disabled Forbidden Owners Signed-in users Everyone
    • Enable
    • Permission
      • Forbidden
      • Owners
      • Signed-in users
      • Everyone
    • Suggest edit
      Permission
      Disabled Forbidden Owners Signed-in users Everyone
    • Enable
    • Permission
      • Forbidden
      • Owners
      • Signed-in users
    • Emoji Reply
    • Enable
    • Versions and GitHub Sync
    • Note settings
    • Note Insights New
    • Engagement control
    • Transfer ownership
    • Delete this note
    • Save as template
    • Insert from template
    • Import from
      • Dropbox
      • Google Drive
      • Gist
      • Clipboard
    • Export to
      • Dropbox
      • Google Drive
      • Gist
    • Download
      • Markdown
      • HTML
      • Raw HTML
Menu Note settings Note Insights Versions and GitHub Sync Sharing URL Create Help
Create Create new note Create a note from template
Menu
Options
Engagement control Transfer ownership Delete this note
Import from
Dropbox Google Drive Gist Clipboard
Export to
Dropbox Google Drive Gist
Download
Markdown HTML Raw HTML
Back
Sharing URL Link copied
/edit
View mode
  • Edit mode
  • View mode
  • Book mode
  • Slide mode
Edit mode View mode Book mode Slide mode
Customize slides
Note Permission
Read
Only me
  • Only me
  • Signed-in users
  • Everyone
Only me Signed-in users Everyone
Write
Only me
  • Only me
  • Signed-in users
  • Everyone
Only me Signed-in users Everyone
Engagement control Commenting, Suggest edit, Emoji Reply
  • Invite by email
    Invitee

    This note has no invitees

    • Publish Note

    Share your work with the world Congratulations! 🎉 Your note is out in the world Publish Note

    Your note will be visible on your profile and discoverable by anyone.
    Your note is now live.
    This note is visible on your profile and discoverable online.
    Everyone on the web can find and read all notes of this public team.
    See published notes
    Unpublish note
    Please check the box to agree to the Community Guidelines.
    View profile
    Engagement control
    Commenting
    Permission
    Disabled Forbidden Owners Signed-in users Everyone
    Enable
    Permission
    • Forbidden
    • Owners
    • Signed-in users
    • Everyone
    Suggest edit
    Permission
    Disabled Forbidden Owners Signed-in users Everyone
    Enable
    Permission
    • Forbidden
    • Owners
    • Signed-in users
    Emoji Reply
    Enable
    Import from Dropbox Google Drive Gist Clipboard
       Owned this note    Owned this note      
    Published Linked with GitHub
    • Any changes
      Be notified of any changes
    • Mention me
      Be notified of mention me
    • Unsubscribe
    [HACK#80 ネットワーク監視](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E5%85%AB%E7%AB%A0-%E7%9B%A3%E8%A6%96%E3%81%A8%E5%82%BE%E5%90%91%E5%88%86%E6%9E%90#hack80-%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E7%9B%A3%E8%A6%96) [HACK#81 トレンドグラフ](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E5%85%AB%E7%AB%A0-%E7%9B%A3%E8%A6%96%E3%81%A8%E5%82%BE%E5%90%91%E5%88%86%E6%9E%90#hack81-%E3%83%88%E3%83%AC%E3%83%B3%E3%83%89%E3%82%B0%E3%83%A9%E3%83%95) [HACK#82 ntopによるリアルタイムネットワーク監視](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E5%85%AB%E7%AB%A0-%E7%9B%A3%E8%A6%96%E3%81%A8%E5%82%BE%E5%90%91%E5%88%86%E6%9E%90#hack82-ntop%E3%81%AB%E3%82%88%E3%82%8B%E3%83%AA%E3%82%A2%E3%83%AB%E3%82%BF%E3%82%A4%E3%83%A0%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E7%9B%A3%E8%A6%96) [HACK#83 ネットワークトラフィックの監査](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E5%85%AB%E7%AB%A0-%E7%9B%A3%E8%A6%96%E3%81%A8%E5%82%BE%E5%90%91%E5%88%86%E6%9E%90#hack83-%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%83%88%E3%83%A9%E3%83%95%E3%82%A3%E3%83%83%E3%82%AF%E3%81%AE%E7%9B%A3%E6%9F%BB) [HACK#84 ネットワークノードの探索](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E5%85%AB%E7%AB%A0-%E7%9B%A3%E8%A6%96%E3%81%A8%E5%82%BE%E5%90%91%E5%88%86%E6%9E%90#hack84-%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%83%8E%E3%83%BC%E3%83%89%E3%81%AE%E6%8E%A2%E7%B4%A2) [HACK#85 iptablesを利用したネットワーク統計](https://github.com/careerbeat/dit-ehime/wiki/%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E3%82%BB%E3%82%AD%E3%83%A5%E3%83%AA%E3%83%86%E3%82%A3HACKS-Wiki-%E7%AC%AC%E5%85%AB%E7%AB%A0-%E7%9B%A3%E8%A6%96%E3%81%A8%E5%82%BE%E5%90%91%E5%88%86%E6%9E%90#hack85-iptables%E3%82%92%E5%88%A9%E7%94%A8%E3%81%97%E3%81%9F%E3%83%8D%E3%83%83%E3%83%88%E3%83%AF%E3%83%BC%E3%82%AF%E7%B5%B1%E8%A8%88) # HACK#80 ネットワーク監視 ## 概要 - Nagiosを用いてコンピュータやネットワークサービスを監視し、リモートエクスプロイトを検知する - リモートエクスプロイトの検知は単にNmapなどでオープンポートを監視するだけでは不十分である - リソースやプロセスの状況なども監視しておく必要がある ## 背景 リモートエクスプロイトとは、攻撃者のコンピュータ上で不正アクセスをするためのコード(エクスプロイトコード)を実行して、攻撃対象のコンピュータ上のセキュリティ上の脆弱性(セキュリティホール)を狙った攻撃である 一般のコンピュータの利用者は、プログラムへの最新のパッチの適用作業を省略しがちである その結果、脆弱性が残ったままになり、攻撃対象となりやすくなる そこで、Nagiosを用いてリモートエクスプロイトによる不正アクセスの発生を検知し、被害の拡大を防ぐ ## 前提知識 Nagiosはコンピュータ上で稼働しているサービスの監視に加えて、リソース(CPU,メモリ等)の利用状況や稼働中の プロセス一覧、ログファイルの閲覧など多くの機能がある 下記でNagiosをインストールしてネットワークサービスの監視を行う方法を解説する ※テキストではソースアーカイブからインストール方法が記載されているが、ここではプラグインも同時にインストール できるパッケージからのインストール方法を解説する また、Nagios以外にも様々な統合監視ソフトウェアがある。(以下記事参考) - https://thinkit.co.jp/story/2014/06/30/5083 今回は、Nagiosと、この記事でも紹介されている「zabbix」について説明しますが、それぞれ様々な特徴があるので、目的にあった統合監視ソフトウェアを利用するようにしましょう。 ## 確認方法 ## Nagios ### 特徴 - コミュニティで開発されているプラグインが大変豊富にあり、機能面では不足することはまずないと言われている - 監視項目の設定は、テキストエディターで設定ファイルを書き換えることで行う必要がある 本にはソースをコンパイルする方法が記載されていますが、現在はyumでインストールできるので、そちらで行います。 まず、nagiosのパッケージはEPELリポジトリにあるので、それが追加されていない場合は、下記コマンドでEPELリポジトリを追加します。 <pre> # wget http://ftp-srv2.kddilabs.jp/Linux/distributions/fedora/epel/6/x86_64/epel-release-6-8.noarch.rpm # rpm -ivh epel-release-6-8.noarch.rpm もしくは # yum install epel-release </pre> 追加が完了したら、EPELリポジトリからNagiosとそのプラグインをインストールしましょう。 <pre> # yum -y install nagios nagios-plugins-all </pre> それと、Nagiosの監視状況を描画するのに必要なライブラリがあるので、それもインストールしましょう。 <pre> # yum -y install gd-devel </pre> nagiosのインストールはこれで完了です。 これでapacheとnagiosを立ち上げてWebブラウザにアクセスすれば、ネットワークの状態を確認することができますが、実はまだ必要な設定があります。 NagiosのWebインタフェースを使用する場合、限られたユーザーだけが使えるように認証設定を行う必要があります。 Nagios自体に認証の仕組みがないので、デフォルトではBasic認証を使用しており、このファイルの設定を利用する場合はhtpasswdコマンドによるユーザーの追加が必要になります。 <pre> Basic認証とは? Webコンテンツの送受信などに用いられるプロトコル(通信規約)HTTP(Hypertext Transfer Protocol)の利用者認証の方式の一つ 接続要求したときに、Webサーバが認証情報の入力を求める </pre> 以下はその操作になります。 <pre> # htpasswd -c /etc/nagios/passwd nagionsadmin New password: (← 任意のパスワード) Re-type new password: (← 入力したパスワード) Adding password for user nagionsadmin </pre> これで「nagiosadmin」というユーザーが追加されました。 では実際にアクセスできるか試してみましょう。 <pre> # /etc/init.d/httpd start # /etc/init.d/nagios start Webブラウザで以下のURLを打つ http://localhost/nagios/ </pre> nagiosのトップページが表示されれば成功です。 ネットワークの状況を見る場合は左側にあるメニューの`Current Status`の`Services`をクリックすることで確認することができます。 一応これで使えるには使えるのですが、Nagiosには様々な設定が存在するので、その内容について紹介します。 #### Nagiosの設定 nagiosの設定ファイルには以下のようなものがあります。 | 設定ファイル | 説明 | | ------- | ------- | | **/etc/nagios/nagios.cfg** | nagiosのメイン設定ファイル。 | | /etc/nagios/objects/commands.cfg | チェックコマンド一覧。実際に実行されるのはnagios plugin。 | | /etc/nagios/objects/contancts.cfg | 異常が発生した際の通知先を指定。 | | /etc/nagios/objects/timeperiods.cfg | 通知の時間帯を指定。 | | /etc/nagios/objects/templates.cfg | 監視対象ホストや監視サービスに関する監視間隔や通知時間などのテンプレート一覧。 | | /etc/nagios/objects/任意ファイル名 | /etc/nagios/nagios.cfg にてファイル名を指定。登録するホスト、サービス一覧。 | 他にもありますが、さほど重要ではないので興味のある方は調べてみてください。 今回はその中でも覚えておいた方が良い内容について紹介します。 #### 監視対象の追加 デフォルトの設定では、監視する対象のホストは自ホストのみとなっているので、他のホストも監視できるようにしてみましょう。 ではまず、監視ホストの設定ファイルを作成していきましょう。 <pre> # vim /etc/nagios/objects/remotehost.cfg define host { name remote-server check_interval 10 retry_interval 1 max_check_attempts 5 notification_period 24x7 contact_groups admins register 0 } define host { use remote-server host_name 監視対象ホストネーム alias i-00000001(なんでもいい) address 監視対象IPアドレス } define hostgroup { hostgroup_name remote_servers alias Remote Servers members 監視対象ホストネーム } define service { use local-service host_name 監視対象ホストネーム normal_check_interval 3 service_description PING check_command check_ping!100.0,20%!500.0,60% } </pre> ホストネームとかIPアドレスは読んだ通り、監視対象のものを入れてください。 書籍では、監視対象の追加や、ホストグループの作成などの設定ファイルを全て分けていましたが、上記のように1ファイルにまとめて書くことも可能です。 管理しやすい方法で設定ファイルを分けましょう。 #### 監視ホストの設定ファイル内の主な設定 |項目|説明| |---|---| |check_interval 10|10分間隔で監視を実行する。| |retry_interval 1|pingに応答しなかった際に1分後にリトライする。| |max_check_attempts 5|リトライを最大5回繰り返す| |notification_period 24x7|通知を行う時間帯を指定する。<br>24×7は常に通知する。| |contact_groups|通知する先を指定する。これは/etc/nagios/objects/contacts.cfgで設定する。| |use|使用するtemplateを指定する。template一覧は/etc/nagios/objects/template.cfgを参照。generic- switchの他にwindows-server / linux-serverなどがある。明示的に指定しなければtemplateで設定されている値が適用される。| |host_name|ホスト名を指定。| |alias|ホスト名の別名を指定。| |address|監視対象のIPアドレスを指定。| |check_command|実際に実行するpluginを指定する。<br>plugin一覧はcommand.cfgを参照。check_ping!100.0,20%!500.0,60%は!で引数を区切っており一つ目の引数は応答が100ms以上が20%だと警告2つ目の引数は応答が500ms以上が60%でクリティカルという意味です。| `check_command`に関しては、`/etc/nagios/objects/commands.cfg`ファイル内をコマンド名などで検索するとそのコマンドのpluginがヒットするはずです。<br> あとは、作成した設定ファイルを読み込むように、`/etc/nagios/nagios.cfg`に作成したファイルを追加します。 <pre> # vim /etc/nagios/nagios.cfg cfg_file=/etc/nagios/objects/remotehost.cfg </pre> これで設定は完了です。`httpd`と`nagios`サービスを再起動し、 nagiosのページへアクセスして、確認してみましょう。 `Current Status`の`Services`に新たに監視対象が追加されているはずです。 ちなみに上手くいかない時は、以下のコマンドを打つことで、対象の設定ファイルにエラーがないかチェックをすることができます <pre> # nagios -v /etc/nagios/nagios.cfg ・・・ Total Warnings: 0 Total Errors: 0 Things look okay - No serious problems were detected during the pre-flight check </pre> 特にエラーがなければ正常に設定できているということになります。 それでも表示されない場合は指定しているIPなどが間違っている可能性があるので、確認してみましょう。 また、ntpのプラグインを導入することで、NTPサーバーとの時間のズレを監視項目としてすることができます。 今回は「nagios-plugins-all」としたので、既に導入されていると思います。 設定方法は以下になります。 <pre> # vim /etc/nagios/objects/commands.cfg # 最終行に追記 define command{ command_name check_ntp_time command_line $USER1$/check_ntp_time -H $ARG1$ -w $ARG2$ -c $ARG3$ } # vim /etc/nagios/objects/localhost.cfg # 最終行に追記 ( NTPサーバーとの時間が1秒差で Warning, 2秒差で Critical ) define service{ use local-service host_name localhost service_description NTP_TIME check_command check_ntp_time!ntp1.jst.mfeed.ad.jp!1!2 notifications_enabled 1 } </pre> あとは再起動して設定を読み込みましょう。そして、`https://NagiosサーバのIP/nagios`へアクセスして、確認します。 `Current Status`の`Services`に「NTP_TIME」が追加されていることを確認できれば、監視対象サービスの追加に成功しています。 このようにプラグインを用いることで様々なサービスを監視できるようになるので、色々探して試してみましょう。 #### nagiosから送られてくるメールの送信先を設定 nagiosが警告を発した時、アラートメールを飛ばすことができます。 その設定は以下のように操作することで設定できます。 <pre> # vim /etc/nagios/objects/contacts.cfg email root@localhost ( ←任意のメールアドレス) </pre> #### nagiosへのアクセス制限 NagiosにアクセスできるIPを制限しましょう。 ネットワークの状態を閲覧するツールなので、誰しもが見れる状態というのは好ましくないでしょう。管理者のコンピュータのみがアクセスできるようにするべきです。 デフォルトではBasic認証を使用するので、ネットワークはすべて通すような設定をしています。 Basic認証するときに入力する認証情報は平文でそのままやり取りされるらしいので、セキュリティの観点からはあまり推奨されません。 一般的には下記のように特定のネットワークからのみアクセスを許可するようにします。 この設定をすれば、`Allow from`に設定されていないネットワークからはページにアクセスできません。 <pre> # vim /etc/httpd/conf.d/nagios.conf <変更前> Order allow,deny Allow from all # Order deny,allow # Deny from all # Allow from 127.0.0.1 ↓ <変更後> # Order allow,deny # Allow from all Order deny,allow Deny from all Allow from 127.0.0.1 localhost </pre> 「Allow from」で設定している「127.0.0.1」と「localhost」は同じアドレスを指し示していますが、ドメイン名も明示的に記載しないと許可されないので注意しましょう。 設定が完了したら`apache`を再起動しましょう。 この設定ファイルは「httpd」配下にあるので、再起動が必要なのは「apache」になります。注意しましょう。 #### Basic認証にしているのに上記のパーミッションエラーが発生した場合 Basic認証パスワード設定時に指定したユーザー名を`nagionsadmin`以外にした可能性があります。 ※下記設定は、Basic認証を通すユーザーを追加するときにも必要になると思います `/etc/nagios/cgi.cfg`の下記の設定の`nagiosadmin`をベーシック認証に割り当てたユーザー名に変更してください。 <pre> authorized_for_system_information=nagiosadmin authorized_for_configuration_information=nagiosadmin authorized_for_system_commands=nagiosadmin authorized_for_all_services=nagiosadmin authorized_for_all_hosts=nagiosadmin authorized_for_all_service_commands=nagiosadmin authorized_for_all_host_commands=nagiosadmin </pre> #### 日付表示のフォーマットを変更する 「nagios.cfg」に「date_format」という項目があります。これはウェブインタフェイスや日付/時刻のマクロで使用する日付/時刻の表示フォーマットを決める項目です。設定可能なオプションとして、以下があります。 |オプション|出力フォーマット|サンプル出力| |---|---|---| |us (アメリカ)|MM/DD/YYYY HH:MM:SS|06/30/2002 03:15:00| |euro (ユーロ)|DD/MM/YYYY HH:MM:SS|30/06/2002 03:15:00| |iso8601 (日本標準時(JST))|YYYY-MM-DD HH:MM:SS|2002-06-30 03:15:00| |strict-iso8601|YYYY-MM-DDTHH:MM:SS|2002-06-30T03:15:00| 必要に応じて変更しましょう。 <pre> # vim /etc/nagios/nagios.cfg date_format=iso8601 </pre> 以上が設定しておいた方が良い内容です。 #### まとめ Nagiosはオープンソースの中ではとても優秀なネットワークの監視のアプリケーションソフトウェアです。 便利な設定はこれだけではないので、色々試しながら有効活用していきましょう。 ## zabbix ### 特徴 - Webブラウザ上で簡単に操作することが可能 - 多くのプラットフォームに対応 - 収集した監視データをRDBMSに長期保存が可能 - プラグイン方式を採用していないので、監視項目の追加には独自のスクリプトを用意する必要がある。 zabbixを利用するためにはSQLサーバーが必要となるので、インストールしましょう。 今回はSQLサーバーとしてMySQLを使用します。 下記のコマンドを順番に入力することでMySQLを使用することが可能になる。 <pre> # yum -y install mysql-server # vim /etc/my.cnf (略) symbolic-links = 0 character-set-server = utf8 ← 追加(MySQLサーバーの文字コードをUTF-8にする) (略) # /etc/rc.d/init.d/mysqld start ← MySQL起動 (略) mysqld を起動中: [ OK ] # mysql_secure_installation NOTE: RUNNING ALL PARTS OF THIS SCRIPT IS RECOMMENDED FOR ALL MySQL SERVERS IN PRODUCTION USE! PLEASE READ EACH STEP CAREFULLY! In order to log into MySQL to secure it, we'll need the current password for the root user. If you've just installed MySQL, and you haven't set the root password yet, the password will be blank, so you should just press enter here. Enter current password for root (enter for none):  ← 空ENTER OK, successfully used password, moving on... Setting the root password ensures that nobody can log into the MySQL root user without the proper authorisation. Set root password? [Y/n]  ← 空ENTER(rootパスワード設定) New password: vagrant ← rootパスワード応答 Re-enter new password: vagrant ← rootパスワード応答(確認) Password updated successfully! Reloading privilege tables.. ... Success! By default, a MySQL installation has an anonymous user, allowing anyone to log into MySQL without having to have a user account created for them. This is intended only for testing, and to make the installation go a bit smoother. You should remove them before moving into a production environment. Remove anonymous users? [Y/n]  ← 空ENTER(匿名ユーザー削除) ... Success! Normally, root should only be allowed to connect from 'localhost'. This ensures that someone cannot guess at the root password from the network. Disallow root login remotely? [Y/n]  ← 空ENTER(リモートからのrootログイン禁止) ... Success! By default, MySQL comes with a database named 'test' that anyone can access. This is also intended only for testing, and should be removed before moving into a production environment. Remove test database and access to it? [Y/n]  ← 空ENTER(testデータベース削除) - Dropping test database... ... Success! - Removing privileges on test database... ... Success! Reloading the privilege tables will ensure that all changes made so far will take effect immediately. Reload privilege tables now? [Y/n]  ← 空ENTER ... Success! Cleaning up... All done! If you've completed all of the above steps, your MySQL installation should now be secure. Thanks for using MySQL! </pre> *** SQLサーバーがインストールできたら、次はzabbixのインストールを行います。 <pre> # rpm -ivh http://repo.zabbix.com/zabbix/2.4/rhel/6/x86_64/zabbix-release-2.4-1.el6.noarch.rpm # yum -y install zabbix-server-mysql zabbix-web-mysql zabbix-web-japanese # yum -y install zabbix-get # yum -y install zabbix-agent </pre> *** これでzabbixのインストールが完了です。 では次に、Zabbixが使用するユーザーとデータベースを作成していきましょう。 今回はMySQLサーバーを使用しているので、mysqlコマンドでサーバーにログインしましょう。 <pre> # mysql -u root (パスワードを設定している場合は「-p」オプションを付けてパスワードを入力しましょう) mysql> CREATE USER zabbix; Query OK, 0 rows affected (0.00 sec) mysql> CREATE DATABASE zabbix CHARACTER SET utf8; Query OK, 1 row affected (0.00 sec) mysql> GRANT ALL PRIVILEGES on zabbix.* TO zabbix@localhost IDENTIFIED BY 'vagrant'; Query OK, 0 rows affected (0.00 sec) mysql> FLUSH PRIVILEGES; Query OK, 0 rows affected (0.00 sec) mysql> exit Bye </pre> *** ユーザーとデータベースの作成が完了したら、次にzabbixが使用するテーブルの作成や初期設定データの入力しましょう。 zabbixをインストールしたら、ドキュメントディレクトリにそのスクリプトが格納されるので、それを利用しましょう。 <pre> # cd /usr/share/doc/zabbix-server-mysql-'使用したバージョン'/create/ # mysql -u zabbix -p zabbix < schema.sql Enter password:vagrant # mysql -u zabbix -p zabbix < images.sql Enter password:vagrant # mysql -u zabbix -p zabbix < data.sql Enter password:vagrant </pre> 全て問題区実行できたら完了です。 あとはzabbixの設定ファイルを編集しましょう。 phpを使用できるようにします。 <pre> # vim /etc/httpd/conf.d/zabbix.conf (略) <IfModule mod_php5.c> php_value max_execution_time 300 php_value memory_limit 128M php_value post_max_size 16M php_value upload_max_filesize 2M php_value max_input_time 300 php_value date.timezone Asia/Tokyo ← Asia/Tokyoに変更する (略) </pre> DBへアクセスする時のパスワードを設定します。 <pre> # vim /etc/zabbix/zabbix_server.conf (略) # Mandatory: no # Default: DBPassword=vagrant ← 先頭のコメントをはずしてパスワードを入力する (略) </pre> 設定が完了したら、あとはzabbixを立ち上げましょう。 <pre> # service zabbix-server start # service httpd start # service zabbix-agent start </pre> これで準備完了です。あとはブラウザで実際に立ち上がっているかどうか確認してみましょう。 1. ブラウザでhttp://localhost/zabbix/setup.phpを入力 2. 「next」を押下 3. 「next」を押下 - ※ PHP time zone が Failed になっている場合は、/etc/httpd/conf.d/zabbix.confを確認する。 4. Passworにvagrantと入力して 「TestConnection」 を押下して、何もなければ 「next」 を押下  - ※ 接続に失敗する場合は、MySQL関連のところを見直す。 5. 「next」を押下 6. 「finish」を押下 7. ログイン画面に遷移するため Usernameに "Admin" Passwordに "zabbix" と入力して 「Sign up」 を押下 TIPS: ログイン時にZabbix server is running の項目が no となっている場合、Selinuxの設定を確認しましょう。もし立ち上がっている場合は無効にしてください。 これで動作しているのが確認できたら完了です。 おおまかな機能については調べてみてください。統合監視ソフトウェアによって細かい部分が異なるので、その用途によって使い分けるようにしましょう。 # HACK#81 トレンドグラフ ## 概要 - RRDtoolを使用してネットワーク帯域の使用状況を可視化(グラフ化)する - ネットワーク帯域の使用状況のグラフ化は異常な振る舞い検知に有効である - 例えば、DoS攻撃はネットワークリソースに過剰な負荷をかける攻撃のため、ネットワーク帯域の使用状況をグラフ化することで検知できる - MRTGというツールでもネットワーク帯域の使用状況のグラフ化が可能だが、RRDtoolはデータベースサイズをよりコンパクトに抑えることができる ## 背景 ネットワーク攻撃手法の1種に、DoS(Denial of Service attack)攻撃と呼ばれるものがある DoS攻撃は、攻撃者のコンピュータからターゲットとなるサーバに、大量のリクエストやメールを送信することで過剰な負荷をかけて使用不能に陥らせる攻撃である DoS攻撃を検知するためには、ネットワーク帯域の連続的な状況を把握する必要がある そこで、ネットワーク帯域の連続的な状況をグラフ化することで、ネットワーク帯域の使用量の増加を監視して、DoS攻撃を検知する ## 前提知識 RRDtoolはデータベースに記録されているデータからグラフを作成する RRDtoolでのネットワーク帯域の使用状況のグラフ化はSNMPでデバイスを管理するツールsnmpgetを用いることで実現可能である ※SNMP(Simple Network Management Protocol):TCP/IPネットワークに接続された各種ネットワーク機器に対し、ネットワーク経由で監視、制御するためのアプリケーション層プロトコル ※snmpget:監視情報を取得するコマンド RRDtoolで用いるデータベースは、ラウンドロビンデータベースと呼ばれるもので、限りあるリソースを順繰りに割り振ってゆくものである ラウンドロビンデータベースの作成は下記のコマンドで行う <pre> rrdtool create データベースファイル名 \DS:データソース指定 \RRA:ラウンドロビアーカイブ指定 </pre> 下記でRRDtool+snmpgetでネットワーク帯域の使用状況のグラフ化する方法を解説する ## 確認方法 1. まず、RRDtoolのソースアーカイブを入手して展開します <pre> # wget http://oss.oetiker.ch/rrdtool/pub/rrdtool-1.6.0.tar.gz # tar xvzf rrdtool-1.6.0.tar.gz </pre> 2. rrdtoolをビルドしてインストールします <pre> # cd rrdtool-1.6.0 # ./configure # make # make install </pre> 3. snmpgetコマンドを使えるようにします <pre> # yum install net-snmp-utils net-snmp # service snmpd start </pre> 4. ラウンドロビンデータベースを作成します <pre> /opt/rrdtool-1.6.0/bin/rrdtool create dojo.rrd --start N DS:eth0_in:COUNTER:600:U:U DS:eth0_out:COUNTER:600:U:U RRA:AVERAGE:0.5:1:600 RRA:AVERAGE:0.5:6:700 RRA:AVERAGE:0.5:24:775 RRA:AVERAGE:0.5:288:797 RRA:MAX:0.5:1:600 RRA:MAX:0.5:6:700 RRA:MAX:0.5:24:775 RRA:MAX:0.5:288:797 </pre> 5. snmpgetでネットワークインタフェースの情報を取得できるように```/etc/snmp/snmpd.conf```に下記を追記します <pre> view systemview included .1.3.6.1.2.1.2 </pre> ※追記した後はsnmpdを再起動しましょう 1. 統計情報のデータをデータベースに記録するコマンドをcrontabに登録して5分ごとに実行します - 「update」の後にはdojo.rddのパスを記述しましょう - 「ifInOctets」及び「ifOutOctets」の後には監視したいインタフェースのインデックス番号を記述しましょう <pre> */5 * * * * /opt/rrdtool-1.6.0/bin/rrdtool update /root/dojo.rrd N:`snmpget -c public -v 1 -Oqv localhost interfaces.ifTable.ifEntry.ifInOctets.2`:`snmpget -c public -v 1 -Oqv localhost interfaces.ifTable.ifEntry.ifOutOctets.2` </pre> インタフェースのインデックス番号は、下記コマンドで確認できます <pre> # snmpwalk -c public -v 1 localhost ifDescr IF-MIB::ifDescr.1 = STRING: lo IF-MIB::ifDescr.2 = STRING: eth0 ← eth0を監視する場合は2を記述する IF-MIB::ifDescr.3 = STRING: virbr0 IF-MIB::ifDescr.4 = STRING: virbr0-nic </pre> ※crontabへの登録後はcrondを再起動しましょう 6. データベースに登録した統計情報のデータをグラフにします <pre> /opt/rrdtool-1.6.0/bin/rrdtool graph dojo_de0-hourly.png -t "Hourly Bandwidth" --start -3600 DEF:inoctets=dojo.rrd:eth0_in:AVERAGE DEF:outoctets=dojo.rrd:eth0_out:AVERAGE AREA:inoctets#00FF00:"eth0 IN" LINE1:outoctets#0000FF:"eth0 Out" </pre> 7. dojo_eth0-hourly.pngにグラフが出力されていたら成功です <pre> eog dojo_de0-hourly.png </pre> # HACK#82 ntopによるリアルタイムネットワーク監視 ## 概要 - ntopを使用してリアルタイムなネットワーク監視を実現する - 現在は、非リアルタイムなデータ通信からリアルタイムなデータ通信が主流に変わってきている - ネットワークに不具合がないかをリアルタイムに監視する必要がある ## 背景 過去のネットワークの利用方法は、メールやデータ転送などデータ送受信の短い時間の間だけネットワークを利用する非リアルタイムなデータ通信が主流だった 現在のネットワークの利用方法は、ストリーミングやTV会議など長い時間頻繁にデータの送受信を行うリアルタイムなデータ通信が主流となっている そのため、ネットワークに長時間障害が発生したときの悪影響も大きくなっている そこで、ネットワークの監視もリアルタイムに行って、迅速に障害を発見する必要がある ## 前提知識 ntopはネットワーク上でどのコンピュータがどこと通信しているのかをひと目で把握できる高機能なツールである リアルタイムなネットワーク監視を実現するためには、すべてのパケットをキャプチャしなければならないため、ネットワークインタフェースがプロミスキャスモードである必要がある 下記でntopによるリアルタイムにネットワークを監視する方法を解説する ただし、ntopは様々な機能追加がされ、2013年にntopngに変わっているので、ntopngを用いた監視方法を解説する ## 確認方法:TODO ### ntopngインストール 書籍に記載されている`ntop`は2013年に`ntopng`へ変わりました。<br> [ntopはntopngへ変わっている](http://designetwork.hatenablog.com/entry/2016/01/25/ntop%E3%81%AFntopng%E3%81%AB%E5%A4%89%E3%82%8F%E3%81%A3%E3%81%A6%E3%81%84%E3%82%8B) ntopngをインストールするためにはEPELリポジトリが必要なので、ない場合は下記で追加してください。 <pre> # yum install epel-release </pre> そして、ntopngをインストールするためのntopのリポジトリを作成します。 <pre> # vim /etc/yum.repos.d/ntop.repo [ntop] name=ntop packages baseurl=http://www.nmon.net/centos-stable/$releasever/$basearch/ enabled=1 gpgcheck=1 gpgkey=http://www.nmon.net/centos-stable/RPM-GPG-KEY-deri [ntop-noarch] name=ntop packages baseurl=http://www.nmon.net/centos-stable/$releasever/noarch/ enabled=1 gpgcheck=1 gpgkey=http://www.nmon.net/centos-stable/RPM-GPG-KEY-deri </pre> その他必要なパッケージをインストールします。 <pre> # yum install redis hiredis </pre> #### hiredisがインストールできない場合 この後、`ntopng`をインストールしてみてもらえば分かると思いますが、`hiredis`がないとntopngはインストールできません。 インストールできなかった場合は下記のように`wget`を使って直接rpmをダウンロードしてインストールします。 <pre> # wget http://www6.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/hiredis-0.10.1-3.el6.art.x86_64.rpm # wget http://www6.atomicorp.com/channels/atomic/centos/6/x86_64/RPMS/hiredis-devel-0.10.1-3.el6.art.x86_64.rpm # rpm -ivh hiredis-0.10.1-3.el6.art.x86_64.rpm # rpm -ivh hiredis-devel-0.10.1-3.el6.art.x86_64.rpm </pre> ntopng等必要なパッケージをインストールします <pre> # yum install pfring n2disk nprobe ntopng ntopng-data nbox </pre> しかし、ここで以下のようなエラーが出ることがあります。 <pre> (前略) エラー: パッケージ: nprobe-7.4.170202-5334.x86_64 (ntop) 要求: zeromq >= 4.0.0 インストール: zeromq-2.2.0-4.el6.x86_64 (@epel) zeromq = 2.2.0-4.el6 (以下略) </pre> これは「nprobe」をインストールするには「zeromq」のバージョンが4.0.0以降である必要があると言われています。 上の状態では現在バージョンは「2.2.0-4.el6」になっています。バージョンが足りない場合は以下のサイトから最新のバージョンのtarballを入手してインストールしてください。 <pre> # cd /etc/yum.repos.d/ # wget https://copr.fedoraproject.org/coprs/saltstack/zeromq4/repo/epel-6/saltstack-zeromq4-epel-6.repo # ll 合計 40 (前略) -rw-r--r-- 1 root root 334 3月 28 13:51 2017 saltstack-zeromq4-epel-6.repo </pre> 上記レポジトリが追加されたら、再度yumで「zeromq」をインストールしてみてください。 インストールが完了したら再度「nprobe」パッケージをインストールしてみてください。 これでうまくいくはずです。 「zeromq」が更新されない時は一度「erase」で削除してからインストールしてください。 ここまできたらredis serverとntopngを起動します。 <pre> # service redis start # service ntopng start </pre> ntopngはデフォルトで3000番ポートを使用します。<br> 起動に成功したら、3000番ポートがLISTENされていることを確認します。 <pre> # netstat -tanp | grep LISTEN ・・・ tcp 0 0 0.0.0.0:3000 0.0.0.0:* LISTEN 24213/ntopng ・・・ </pre> 確認できたら`http://[サーバIPアドレス or FQDN]:3000/`へアクセスします。 初回ログインID/パスワードは`admin/admin`です ![ntopng01](https://cloud.githubusercontent.com/assets/25141393/24180769/3a76d9ba-0efa-11e7-821a-8773d89c15c1.PNG) 右上のInterfaceというところで`eth0`などに変更するといろいろな情報を見れます。 ![ntopng02](https://cloud.githubusercontent.com/assets/25141393/24180777/46b9bce2-0efa-11e7-875a-4f9e9f9d8685.PNG) Webインタフェースを確認して頂ければわかると思いますが、書籍に記載されているntopよりもかなり進化しよりわかりやすくネットワークを監視できるようになりました。 現在もこのソフトウェアはメンテナンスされており、今後のアップデートも期待できるので、実運用で利用できるケースがあればぜひ活用していきましょう。 以下公式サイト - http://www.ntop.org/ # HACK#83 ネットワークトラフィックの監査 ## 概要 - Argusを用いて、すべてのパケットのログを取って、ネットワークの障害を解析する - ネットワーク上を流れる全てのデータを記録すれば解析が容易になるが、データを保存するために膨大なディスク容量を必要とする ## 背景 ネットワークの障害を解析するためには、その材料となるものが必要である 例えば、ネットワーク上を流れる全てのデータを記録(パケットキャプチャ)する方法が考えられるが、情報量が膨大になるため現実的でない そこで、パケットそのものではなく、ログを取ることで現実的な情報収集ができる ## 前提知識 Argus(Audit Record Generation and Utilization System)は、トランザクションロギングツールである トランザクションログとは、一連の処理が成功したか失敗したかを記録したものである 下記でArgusを用いたネットワークの障害解析について解説する ## 確認方法 Argusはクライアント/サーバー方式のソフトウェアです。 Argus はデータを収集する daemon(サーバー) とデータを解析する client(クライアント) が対になっていて、それぞれ別個にインストールする必要があります。 サーバーが出力したログファイルはクライアントソフトでしか読み込むことができないので、サーバー側の端末には両方入れておくと良いでしょう。 まずはサーバー側にサーバ用Argusをインストールしましょう。 <pre> # wget http://qosient.com/argus/src/argus-latest.tar.gz (←「latest」は最新のバージョン) # yum -y install libpcap-devel ← 必要となるライブラリ # tar -xf argus-latest.tar.gz # cd argus-X.X.X.X # ./configure && make # make install </pre> そして、サーバー用の設定ファイルがあるのでそれをコピーしましょう。 <pre> # cp argus-X.X.X.X/support/Config/argus.conf /etc </pre> それが完了したら、次はサーバー側とクライアント側両方にクライアント用Argusをインストールしましょう。 <pre> # wget http://qosient.com/argus/src/argus-clients-latest.tar.gz (←「latest」は最新のバージョン) # tar -xf argus-clients-latest.tar.gz # cd argus-clients-X.X.X.X # ./configure && make # make install </pre> これで準備は完了です。では実際にサーバ側でArgusのdaemonを動かして試してみましょう。 <pre> server# argus -i eth0 -w /tmp/argus.log </pre> インターフェースを指定せず、argusコマンドを使用した場合、virbr0を示すため argusコマンドを利用する際には必ずインターフェースを指定しましょう。 監視を終了したい場合は「Ctrl」+「C」で終了しましょう。 すると、指定したディレクトリ「/tmp/argus.log」ファイルが作成されていると思います。 では下記のコマンドを入力して、取得したログを確認してみましょう。 <pre> server# ra -r /tmp/argus.log StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytes State 10:28:18.166599 e unkno* 88:57:ee:f7:13:6c -> ff:ff:ff:ff:ff:ff 3 192 INT 10:28:19.425072 e ipv6-* fe80::e0c0:aaff:f*.0x0085 -> ff02::1.0x0000 2 284 NRS 10:28:24.166483 e unkno* 88:57:ee:f7:13:6c -> ff:ff:ff:ff:ff:ff 3 192 REQ 10:28:25.427791 e ipv6-* fe80::e0c0:aaff:f*.0x0085 -> ff02::1.0x0000 2 284 NRS 10:28:27.106229 eU tcp 192.168.1.125.52008 -> 192.168.1.32.monit* 1 74 REQ 10:28:27.106260 e icmp 192.168.1.32.0x0a03 -> 192.168.1.125.0x0000 1 102 URHP* 10:28:30.166408 e unkno* 88:57:ee:f7:13:6c -> ff:ff:ff:ff:ff:ff 3 192 REQ 10:28:31.431859 e ipv6-* fe80::e0c0:aaff:f*.0x0085 -> ff02::1.0x0000 2 284 NRS 10:28:32.105384 e arp 192.168.1.125 who 192.168.1.32 2 102 CON 10:28:36.166286 e unkno* 88:57:ee:f7:13:6c -> ff:ff:ff:ff:ff:ff 3 192 REQ 10:28:36.986271 e igmp 192.168.1.1 -> 224.0.0.1 1 60 INT 10:28:36.986869 e A igmp 192.168.1.63 -> 224.0.0.252 1 60 INT 10:28:36.987280 e A igmp 192.168.1.63 -> 239.255.255.250 1 60 INT 10:28:37.052222 e A igmp 192.168.1.115 -> 224.0.0.251 1 60 INT (以下略) </pre> また取得したログは下記のようにさまざまな形に加工して表示することができる。 #### 例1: 指定したホストからの通信を確認 <pre> server# ra -r /tmp/argus - "host 192.168.1.32" [root@localhost argus-clients-3.0.8.2]# ra -r /var/log/argus/argus.out - "host 192.168.1.32" StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytes State 10:28:27.106229 eU tcp 192.168.1.125.52008 -> 192.168.1.32.monit* 1 74 REQ 10:28:27.106260 e icmp 192.168.1.32.0x0a03 -> 192.168.1.125.0x0000 1 102 URHP* 10:28:32.105384 e arp 192.168.1.125 who 192.168.1.32 2 102 CON 10:28:39.034243 eU tcp 192.168.1.125.52010 -> 192.168.1.32.monit* 1 74 REQ 10:28:39.034273 e icmp 192.168.1.32.0x0a03 -> 192.168.1.125.0x0000 1 102 URHP* 10:28:44.033788 e arp 192.168.1.32 who 192.168.1.125 2 102 CON 10:29:01.801295 e udp 192.168.1.32.53420 <-> 192.168.100.254.domain 2 170 CON 10:29:30.817154 e udp 192.168.1.32.52650 <-> 192.168.100.254.domain 2 170 CON 10:30:41.666712 e udp 192.168.1.32.ntp <-> 45.76.218.213.ntp 2 180 CON 10:30:46.666751 e arp 192.168.1.32 who 192.168.1.1 2 102 CON 10:31:11.666825 e udp 192.168.1.32.ntp <-> 116.58.172.182.ntp 2 180 CON 10:31:19.502834 e arp 192.168.1.32 who 192.168.1.1 2 102 CON 10:32:26.667364 e udp 192.168.1.32.ntp <-> 118.152.218.130.ntp 2 180 CON 10:32:31.667448 e arp 192.168.1.32 who 192.168.1.1 2 102 CON (以下略) </pre> #### 例2:ソースアドレスでまとめる + 最も通信量の多い順に並び替え <pre> server# racluster -r /tmp/argus.log -m saddr -w - | rasort -m bytes -s saddr bytes pkts SrcAddr TotBytes TotPkts 192.168.1.1 173376 532 fe80::e0c0:aaff:f* 79226 545 88:57:ee:f7:13:6c 53312 833 192.168.1.145 27428 228 192.168.1.115 19414 124 192.168.1.29 14277 81 fe80::89f2:a85a:d* 13600 131 192.168.1.125 9466 54 fe80::7d5d:c464:e* 8244 68 192.168.1.32 7927 79 fe80::5881:bcc:93* 7718 71 192.168.1.20 5902 77 fe80::74b1:f217:7* 5844 44 fe80::f476:c379:e* 5234 43 (以下略) </pre> このように必要に応じてログの取得方法を変えることができます。 ですが、このままではただサーバー側だけで完結してしまっています。クライアント/サーバー方式を採用しているので、もちろんクライアント側でできることはあります。 クライアントはサーバーが出力するログを読み込むことができます。ただし、サーバーに置かれているファイルを読み込むことはできません。 ではどのようにするのかといったところをこれから説明します。 まず、サーバー側の設定ファイルを編集しましょう。 <pre> server# vim /etc/argus.conf (前略) # The primary purpose for this feature is to multicast argus records to # a number of listeners on an interface, but it is not limited to this # purpose. The multicast TTL is set to 128 by default, so that you can # send records some distance. # # Commandline equivalent -w argus-udp://host:port # ARGUS_OUTPUT_STREAM=argus-udp://192.168.1.XXX:561 (← 自ホストのIP) (以下略) </pre> 「ARGUS_OUTPUT_STREAM」という項目を編集しましたが、この項目は簡単にいうと「UDPで指定のポートにログを送信する」という意味なります。 保存したら、以下のコマンドでArgusサーバーを立ち上げましょう。 <pre> server# argus -i eth0 ArgusAlert: 28 Mar 17 11:41:23.273730 started ArgusAlert: 28 Mar 17 11:41:23.278809 ArgusGetInterfaceStatus: interface eth0 is up </pre> そして、次にクライアント側で以下のコマンドを打ちましょう。 <pre> client# ra -S 192.168.1.XXX (← サーバー側のIP) StartTime Flgs Proto SrcAddr Sport Dir DstAddr Dport TotPkts TotBytes State 11:42:30.095334 e unkno* 88:57:ee:f7:13:6c -> ff:ff:ff:ff:ff:ff 3 192 REQ 11:42:32.246489 e ipv6-* fe80::e0c0:aaff:f*.0x0085 -> ff02::1.0x0000 2 284 NRS 11:42:32.495499 e tcp 192.168.1.125.52068 -> 192.168.1.32.monit* 11 1093 CON (以下略) </pre> このように、リアルタイムでログが出力されるのがわかると思います。 「ra」コマンドのオプション「-S」は指定したホストの561番ポートに出力されるログを取得するコマンドになります。 Argusはデフォルトで561番ポートを使用するので、ポート番号の指定は特に必要ありません。 もし上手くいかない場合はiptablesの設定、もしくはきちんとサーバーが立ち上がっているか確認してみましょう。 サーバーが立ち上がっているかどうかは以下で確認することができます。 <pre> # nmap -p 561 192.168.1.32 Starting Nmap 5.51 ( http://nmap.org ) at 2017-03-28 11:48 JST Nmap scan report for 192.168.1.32 Host is up (0.00041s latency). PORT STATE SERVICE 561/tcp open monitor MAC Address: 08:00:27:A6:EA:29 (Cadmus Computer Systems) Nmap done: 1 IP address (1 host up) scanned in 0.27 seconds </pre> 「STATE」がopenになっていれば立ち上がっています。 このように、クライアント側でサーバー側のログをリアルタイムで閲覧することができるので、サーバー側にログインせずとも簡単にログの監視を行うことができます。 ### まとめ Argusの機能はこれだけではありません。 他にも様々なログの出力や監視方法があるので、興味があれば下記のサイトを参考にして色々試してみください。 http://www.qosient.com/argus/index.shtml http://nsmwiki.org/index.php?title=Argus # HACK#84 ネットワークノードの探索 ## 概要 - SNMPを使用して、スイッチに接続されているノード一覧を取得する - IPアドレスが厳密に管理されていないと、ARPテーブルだけによるノード場所の特定は困難である ## 背景 通信障害が起きた場合の通信相手、ワーム(自身を複製して他のシステムに拡散する性質を持ったマルウェア)の発生源、IDS(不正侵入検知システム)が侵入を検知した場合などノードの特定はあらゆる場面で必要となる 複数のノードがスイッチに接続されている場合にあるノードがどのポートに接続されているかを特定するためには、ARPテーブルでMACアドレスを確認すればよい しかし、IPアドレスが厳密に管理されていなかったり、スイッチが多段接続されていたりするとノードの特定は非常に困難になる そこで、スイッチのSNMP機能を使用してネットワーク機器の監視を行う ## 前提知識 SNMP(Simple Network Management Protocol)は、ルータ、スイッチ、サーバなどTCP/IPネットワークに接続された通信機器に対し、ネットワーク経由で監視、制御するためのアプリケーション層プロトコルである ※SNMPを利用するためには、監視対象の危機がSNMPに対応している必要がある ## 確認方法:TODO # HACK#85 iptablesを利用したネットワーク統計 ## 概要 - ファイアウォールにルールを定義して、ネットワークトラフィックの統計情報を収集する - HACK#84で述べた通り、SNMPには非対応の機器があり、全ての機器のトラフィックの統計をとれるとは限らない ## 背景 SNMPによるネットワークの監視は、監視対象がSNMPに対応していることが条件なので、環境によってはネットワークを監視して、統計情報を取得することが不可能な場合がある その場合は、ファイアウォールを活用することでネットワークの統計情報を取得することができる Linux上でファイアウォールを構築していれば、「Netfilter」の統計機能によってネットワークトラフィックを計測することが可能になる ## 前提知識 Netfilterの統計機能を利用するためには、まず、独自にネットワークトラフィックを集計するためのチェイン①を定義する 次に、インバウンドトラフィックとアウトバウンドトラフィックを計測するためのチェイン②③をそれぞれ作成し、両方にマッチした場合は最初に作成したチェイン①にジャンプするようにする 最後にFORWARDチェインに監視対象のコンピュータのネットワークトラフィックにマッチした場合に、インバウンド、アウトバウンドそれぞれをチェイン②③にジャンプするようにする 上記によって、インバウンドとアウトバウンド両方のトラフィック量がチェイン①に加算される 下記でiptablesコマンドを用いたチェインの定義方法を示す ## 確認方法:TODO

    Import from clipboard

    Paste your markdown or webpage here...

    Advanced permission required

    Your current role can only read. Ask the system administrator to acquire write and comment permission.

    This team is disabled

    Sorry, this team is disabled. You can't edit this note.

    This note is locked

    Sorry, only owner can edit this note.

    Reach the limit

    Sorry, you've reached the max length this note can be.
    Please reduce the content or divide it to more notes, thank you!

    Import from Gist

    Import from Snippet

    or

    Export to Snippet

    Are you sure?

    Do you really want to delete this note?
    All users will lose their connection.

    Create a note from template

    Create a note from template

    Oops...
    This template has been removed or transferred.
    Upgrade
    All
    • All
    • Team
    No template.

    Create a template

    Upgrade

    Delete template

    Do you really want to delete this template?
    Turn this template into a regular note and keep its content, versions, and comments.

    This page need refresh

    You have an incompatible client version.
    Refresh to update.
    New version available!
    See releases notes here
    Refresh to enjoy new features.
    Your user state has changed.
    Refresh to load new user state.

    Sign in

    Forgot password

    or

    By clicking below, you agree to our terms of service.

    Sign in via Facebook Sign in via Twitter Sign in via GitHub Sign in via Dropbox Sign in with Wallet
    Wallet ( )
    Connect another wallet

    New to HackMD? Sign up

    Help

    • English
    • 中文
    • Français
    • Deutsch
    • 日本語
    • Español
    • Català
    • Ελληνικά
    • Português
    • italiano
    • Türkçe
    • Русский
    • Nederlands
    • hrvatski jezik
    • język polski
    • Українська
    • हिन्दी
    • svenska
    • Esperanto
    • dansk

    Documents

    Help & Tutorial

    How to use Book mode

    Slide Example

    API Docs

    Edit in VSCode

    Install browser extension

    Contacts

    Feedback

    Discord

    Send us email

    Resources

    Releases

    Pricing

    Blog

    Policy

    Terms

    Privacy

    Cheatsheet

    Syntax Example Reference
    # Header Header 基本排版
    - Unordered List
    • Unordered List
    1. Ordered List
    1. Ordered List
    - [ ] Todo List
    • Todo List
    > Blockquote
    Blockquote
    **Bold font** Bold font
    *Italics font* Italics font
    ~~Strikethrough~~ Strikethrough
    19^th^ 19th
    H~2~O H2O
    ++Inserted text++ Inserted text
    ==Marked text== Marked text
    [link text](https:// "title") Link
    ![image alt](https:// "title") Image
    `Code` Code 在筆記中貼入程式碼
    ```javascript
    var i = 0;
    ```    		 
    var i = 0;
    :smile: :smile: Emoji list
    {%youtube youtube_id %} Externals
    $L^aT_eX$ LaTeX
    :::info
    This is a alert area.
    :::

    This is a alert area.
    Versions and GitHub Sync
    Get Full History Access

    • Edit version name
    • Delete

    revision author avatar     named on  

    More Less

    Note content is identical to the latest version.
    Compare
      Choose a version
      No search result
      Version not found
    Sign in to link this note to GitHub
    Learn more
    This note is not linked with GitHub
     

    Feedback

    Submission failed, please try again

    Thanks for your support.

    On a scale of 0-10, how likely is it that you would recommend HackMD to your friends, family or business associates?

    Please give us some advice and help us improve HackMD.

     

    Thanks for your feedback

    Remove version name

    Do you want to remove this version name and description?

    Transfer ownership

    Transfer to
      Warning: is a public team. If you transfer note to this team, everyone on the web can find and read this note.

        Link with GitHub

        Please authorize HackMD on GitHub
        • Please sign in to GitHub and install the HackMD app on your GitHub repo.
        • HackMD links with GitHub through a GitHub App. You can choose which repo to install our App.
        Learn more  Sign in to GitHub

        Push the note to GitHub Push to GitHub Pull a file from GitHub

          Authorize again
         

        Choose which file to push to

        Select repo
        Refresh Authorize more repos
        Select branch
        Select file
        Select branch
        Choose version(s) to push
        • Save a new version and push
        • Choose from existing versions
        Include title and tags
        Available push count

        Pull from GitHub

         
        File from GitHub
        File from HackMD

        GitHub Link Settings

        File linked

        Linked by
        File path
        Last synced branch
        Available push count

        Danger Zone

        Unlink
        You will no longer receive notification when GitHub file changes after unlink.

        Syncing

        Push failed

        Push successfully