LINUX 常用的监控系统工具

fsm11

1、CACTI 工具，主要用于监控服务器网卡流量，系统硬件状态等，主要是对SNMP协议熟悉，而且会PERL与XML时候这个工具非常强大。默认就只有监控网卡流量、和一些硬盘空间的模板。还要配合RRDTOOL一起使用。看看我的网卡流量图：



2、NAGIOS 工具，主要用于监控服务器系统各个进程的的状态以及使用内存CPU的情况，不需要自己写脚本，就能够运行。但是不能够监控网卡流量。如下图：
   


上面是我的部分监控，如果出现情况可以给我发邮件，很及时，工具非常友好。当然也可以监控群集系统与节点。当然也可以使用插件以图形的方式查看。

3、查看apache日志工具，awstats，要比其他的工具强悍很多，也可以对轮训的日志进行查看，不需要我们手工合并日志。

4、tripwire工具，监控文件系统是否改。缺点是只能在单机上使用，不便于在机器多的放使用（最安全的方式是把tripwire数据库刻录到光盘上，就是再高明的黑客也不能写光盘把（指一次性写光盘））。每天运行一下，就可以知道系统的那些文件被改变过或者是修改过。aide工具是tripwire工具的替代品，可以集中式管理。功能更加强大，但是不好配置，比较麻烦。同样也可以发邮件到指定的邮箱。

5、LINUX自带的IPTABLES，虽然是个包过滤防火墙，如果规则写好，对于抗击攻击，入侵都有一定的帮助。

6、查看系统日志工具，logwatch和logcheck工具，这两个工具基本上做同样的事情，把最新的日志信息发送到指定的邮箱或者指定的系统用户。但是好像有点细微的差别，就是logwatch会明确的指出那些用户登录过，系统的硬盘空间是多少以及crontab中运行的任务。logcheck只输出非法登录的用户与与登录成功的用户，要自己仔细的去查看。这个只是我自己的观察得出的不一定准确。如：
  Oct 31 09:59:57 localhost su(pam_unix)[23330]: session opened for user root by  test(uid=500)

7、 chkrootkit 工具，是用来监测系统是否被安装了rootkit。黑客既有可能更改chkrootkit命令。最好的办法是把该命令远程备份或者是刻录到光盘里面。运行命令提示如下：
Checking `amd'... not found
Checking `basename'... not infected
Checking `biff'... not found
Checking `chfn'... not infected
Checking `chsh'... not infected
Checking `cron'... not infected
Checking `crontab'... not infected
Checking `date'... not infected
Checking `du'... not infected
Checking `dirname'... not infected
Checking `echo'... not infected
Checking `egrep'... not infected
Checking `env'... not infected
Checking `find'... not infected
Checking `fingerd'... not found
Checking `gpm'... not infected
Checking `grep'... not infected
这个说明是正常的，如果不是类似的提示，哈哈恭喜你，你赶快去买彩票把，估计500就等着你了。
8、rkhunter工具，主要检测主机内是否有木马，蠕虫等病毒。当然可检测后门程序rootkit了，同时可以发邮件给自定的邮箱。建议每天晚上跑一下还是值得的。运行该工具命令后，如果出现：
/usr/bin/find                                            [ OK ]
    /usr/bin/GET                                             [ Warning ]
    /usr/bin/groups                                          [ Warning ]
    /usr/bin/head                                            [ OK ]
    /usr/bin/id                                              [ OK ]
    /usr/bin/kill                                            [ OK ]
    /usr/bin/killall                                         [ OK ]
    /usr/bin/last                                            [ OK ]
    /usr/bin/lastlog                                         [ OK ]
    /usr/bin/ldd                                             [ Warning ]
红色的警告信息，请仔细检测是否已经中招了。我发现如果你的系统更新过他也会警告你，主要原因是与他的资料库的信息不相符，所以报警，一定要仔细查看了。
  以上工具相互配合使用才能够达到一个预期效果。是你的系统更加安全。



本文来自ChinaUnix博客，如果查看原文请点：http://blog.chinaunix.net/u/26978/showart_411215.html