在監(jiān)控網(wǎng)段中建立基線是網(wǎng)絡(luò)監(jiān)控中一個(gè)重要衡量標(biāo)準(zhǔn),沒(méi)有基線流量就沒(méi)有對(duì)比標(biāo)準(zhǔn)凌受,通過(guò)這種方法能發(fā)現(xiàn)導(dǎo)致問(wèn)題的流量變化阵子。在OSSIM平臺(tái)下通過(guò)嗅探數(shù)據(jù)包、進(jìn)行協(xié)議分析(通過(guò)Ntop實(shí)現(xiàn))以及提供sFlow/NetFlow監(jiān)控示例數(shù)據(jù)來(lái)收集這些數(shù)據(jù)胜蛉,系統(tǒng)中最常能夠保存1年的流量數(shù)據(jù)挠进。下面我給大家展示幾個(gè)實(shí)例。
你需要觀察網(wǎng)絡(luò)負(fù)載的歷史數(shù)據(jù)誊册,前提是啟用RRD plugin插件领突。
還可以選擇分布在不同VLAN中的Sensor,在統(tǒng)一的Web控制臺(tái)上查看多個(gè)網(wǎng)段的流量詳情,下面查看全年和半年的歷史流量數(shù)據(jù)案怯。
“95th Percentile”表示什么含義呢君旦?其實(shí)這是一種常見(jiàn)的帶寬計(jì)費(fèi)方式,按一定時(shí)間間隔(例如5分鐘),對(duì)帶寬占用進(jìn)行取值于宙,然后去掉最高的5%浮驳,剩下的95%帶寬就是你的網(wǎng)絡(luò)流量啦。如果你注意觀察這個(gè)單位在Cacti也經(jīng)常出現(xiàn)捞魁。除了流量我們還需要關(guān)注流向問(wèn)題至会,那些主機(jī)之間經(jīng)常通訊,通過(guò)一張圖一覽無(wú)余谱俭。
依據(jù)這張圖在網(wǎng)絡(luò)爆發(fā)蠕蟲(chóng)病毒時(shí)奉件,即使是你不抓包,通過(guò)數(shù)據(jù)包流向就能看出問(wèn)題昆著,非常方便县貌。
好了,有關(guān)OSSIM查詢歷史流量的內(nèi)容就簡(jiǎn)單介紹到這里凑懂,還有大量實(shí)用功能就隱藏在系統(tǒng)里煤痕,關(guān)鍵是你怎么用好她。
