[gelöst] Checks auf negative Ereignisse

    Diese Seite verwendet Cookies. Durch die Nutzung unserer Seite erklären Sie sich damit einverstanden, dass wir Cookies setzen. Weitere Informationen

    • [gelöst] Checks auf negative Ereignisse

      Ich würde gerne auf einem Server überwachen, dass bestimmte Ports nicht von außen erreichbar sind. Sobald diese erreichbar sein sollten, will ich eine Warnung durch Bloonix erhalten. Über die Standard-Checks lässt sich da nicht realisieren, da die sich immer melden, wenn etwas nicht erreichbar ist. Gibt es Ideen, wie ich die negative Überwachung hin bekomme, also nur im positiven Fall benachrichtigt werde?
    • Mit Linux.NetstatPort.Check Port definieren und eine Warnung konfigurieren bei Established != 0 . Das Script kann nicht zwischen "außen" oder anderen Netzwerken unterscheiden - sollte aus den internen Netzen über diesen Port Datenverkehr laufen, wirst du über einen gewissen Zeitraum das normale Aufkommen monitoren müssen und den Schwellwert entsprechend anpassen z.B. Warning bei Established > 500.

      Eine weitere Alternative, die mir gerade einfällt, wäre das logging mit netfilters und die Verwendung des Plugins Logfile.Check.


      Die Regeln könnte wie folgt aussehen:


      iptables -A INPUT -s !10.0.0.0/8 -p tcp --dport 80 -m state --state NEW -j LOG --log-prefix "Externer Zugriff " --log-tcp-sequence --log-tcp-options --log-ip-options




      L4 Protocol, Port Nummer und source ip musst du an deine Umgebung anpassen. Die Logs sind kernel Meldungen und landen bei einer Standard syslog config in /var/log/kern.log. Dieses kannst du dann mit dem Plugins Logfile.Check nach "Externer Zugriff" durchsuchen und Alarme nach N Aufkommen zuschicken lassen.

      Dieser Beitrag wurde bereits 1 mal editiert, zuletzt von LukiTJ ()