32、网络监控与入侵预防系统全解析

网络监控与入侵预防系统全解析

商业网络管理系统中的流量收集

在商业网络管理系统（NMS）领域，几乎每个提供商业 NMS 的供应商都会为其系统配备流量收集模块。不过，深入研究他们的文档会发现，绝大部分供应商仅建议将流量收集功能部署在与简单网络管理协议（SNMP）和系统日志（Syslog）功能相同的服务器上。但随着流量数据量的不断增长以及数据保留时长的增加，流量收集服务很容易使原本繁忙的系统不堪重负。而且，由于大多数流量收集服务对数据库的依赖性很强，在修复出现故障的流量收集服务器时，人们常常会将定期清除数据作为“其他故障排除方法均无效时”的最后手段。因此，在大多数组织中，NetFlow 或其相关服务很快就会被迁移到独立的服务器和数据库中。

商业产品在应用的“外观和感觉”方面通常会投入更多精力。例如，当为 NetFlow 添加设备接口时，接口名称通常会从接口的描述值中读取，图表的最大带宽初始值会根据接口的吞吐量值或路由器的“带宽”指标（如果已设置）来确定。图表中常常会包含应用程序名称、工作站名称，甚至用户 ID，并且从一开始就能深入查看目标端口值和数据速率，这正是用户通常希望获取的信息。总体而言，大多数商业产品无论是在初始应用设置还是添加设备时，操作都相对简便。

系统日志数据挖掘与监控工具

各类系统的日志中蕴含着大量有价值的数据，我们可以使用命令行工具对这些数据进行“挖掘”，以找出有助于解决特定问题的信息。同时，日志警报功能也非常实用，它能让我们在问题早期主动发出警报。

Dshield 项目是一个值得关注的资源，即便你不向其贡献数据，它也能为你提供快速的“互联网天气报告”，以及有关恶意流量（按端口和协议分类）的趋势信息，帮助你了解“互联网气候