国外监控产品功能现状与发展趋势Features and Trends of Product of Monitor System上海市宝信软件股份有限公司陈峰摘要随着网络信息时代的发展,网络计算机与网络设备的监控、管理及其信息安全性问题,由各类监控产品(如Hostmonitor、Check&get、Ethereal)等软件进行自动远程监控。
通过介绍基于TCP连接的应用监控、检测WEB页面变化,展现了不同监测软件各自不同的检测方式及产品功能。
关键词网络监控监控比较主机监控Abstract: With the development of the information age network, network computers and network equipment monitoring, management, and information security issues。
Monitoring by the various types of products such as: (Hostmonitor, Check & get, Ethereal), such as remote monitoring and control software automatically。
TCP-based applications to connect to monitor, detect changes in WEB page, shows the different test methods and product features。
Keywords: Network Monitoring;Monitoring Compared;Host Monitoring网络监控软件是对互联网上特别是企业内部的计算机主机设备和网络设备进行有效监控和管理,其自动化程度高,可降低人力成本,通过网络进行监控变得越来越重要。
因此,软件市场根据不同的市场需求开发出了各类功能完善的监控产品。
1 监控产品功能概况网络监控产品主要使用ICMP协议的ping及trace命令探测主机、路由器和其他网络设备,检测基于TCP连接的一些应用,如FTP、News、WhoIs;检测基于UDP连接的一些应用,如TFTP、SNMP、Daytime等;用特定的探测方法检测,如POP3、IMAP、DNS、LDAP、 RADIUS服务;其他的还有HTTP 检测、SQL检测、CPU利用率检测等。
通过使用这些监控类型,管理员可以在故障发生第一时间内发现故障点,及时处理。
以Hostmonitor监控软件为例我们可以了解监控软件实施监控的具体架构(见图1 Hostmonitor监控架构图)。
图1 Hostmonitor监控架构图用户在无需安装软件的情况下,在设置RCI(Remote control Interface)后可通过WEBService或TelnetService远程登陆监控主机,经过监控数据集传递给用户监控设备当前的信息,监控对象有文件系统、应用程序、磁盘状态等,监控方式可分本地监控和远程监控。
远程监控需要安装客户端程序(Agent),对Windows、FreeBSD、Linux、Solaris等系统进行数据采集阈值判断,提供一个可靠、高效的检测,并生成Log Analyzer日志,便于今后故障分析。
其他监控软件监控架构与监控方式尽不相同。
2各功能监控实现分析比较与发展趋势2.1 网络通讯监控软件TCP/IP监测基于网络通讯协议,可以检测SCTP、TCP、UDP、ICMP、ARP、OSPF、GRE等。
Ethereal监控工具可以根据设置当前终端interface为本地网卡设备,以Capture Packets(抓包)方式进行数据分析检测。
如果未作Filter的情况下,监控工具会将所有与主机通讯协议的信息展现在页面中(见附图2 通讯信息检测图)。
图2 通讯信息检测图图2中显示源主机地址到目标主机使用的协议及其协议中的通讯信息。
我们可以通过一条信息得到下面具体设备的IP地址和MAC的地址信息,以及信息传递的十六进制码,用于分析当前这条通讯是否属于正常。
Hostmonitor监控工具通过TCP connect以端口方式检测网络协议是否正常运行。
主要检测SNMP (161)、POP(110)、IMAP(143)、DNS(53)、LDAP(389)、URL(80)等。
如检测对方主机Telnet方式是否正常,在Hostmonitor中设置网络主机地址+23端口,监控以线程方式循环执行telnet+ip+端口进行测试。
Ethereal与Hostmonitor监控工具比较相同点:○1两者都基于网络通讯协议TCP监控方式;○2监控对象都基于网络设备。
主要检测网络数据流是否正常。
不同点:○1Ethereal通过TCPDUMP方式对网络上的数据包进行截获分析,直接绑定物理网卡进行通讯数据监控。
对于网络维护或网络入侵者都是非常有用的网络监控方式。
○2Hostmonitor通过Telnet方式进行远程特定开放通讯端口访问检测。
以轮询方式监测对方公开端口运行是否正常,可简易、灵活地对监控方端口监控是否活动。
趋势分析:网络数据流及端口绑定检测,以截获数据流方式比对数据字典得到异常状态结果,清晰地将异常数据整合后反映给用户,是网络通讯监控的发展趋势。
2.2 WEB监控软件对于WEB页面信息监控,也有不少优秀的监控软件,其中Check&Get就是一款专门监控网页数据的工具。
Check&Get具有Bookmark-Properties功能:在监控树目录中,它具有自动存放、滚动报警功能。
在监控某一网站时首先添加网页标题在Bookmarks的一个子目录中(可自定义子目录)。
在随后的实时监控中有网页被篡改而报警时,此网页标题会滚动存储相关指定的AUTO-SELECT目录树中。
可以清晰地展现给用户知道,所监控网络信息的正常区域和报警区域。
而它使用TREEVIEW树形结构。
数据动态地存储在自定义的Bookmarks.bex库中。
由软件监控的Schedule(时间表)来激活数据的每次变化。
对静态页面字符、Link链接、Image监控功能:监控工具在你设置监控的URL 后,首先会去捕获WEB页面,可以设置捕获的WEB静态快照数量。
当WEB开始监控时,先下载首次WEB页面信息,生成静态页面文件在本地,页面生成静态的数据文件以特定的规范存储。
获取的监控数据会与第一次的静态存储数据进行规则比较,产生比对后的结果用来检测。
至于WEB页中一些滚动栏、信息贴士、动态信息等,每次获取的信息一定不同于上次,故需要调整为忽略,Check&Get 以块方式屏蔽比较。
块方式可以选择一个或一串字符开始,至一个或一串字符结尾为范围,还可以HTML脚本标签起始如:<table> …… </table>方式进行筛选。
在Filter子功能模块中筛选掉不需要监控的项目。
相反,也可以指定监控WEB中需要关心的项目,通过Keywords关键字监控发现指定的内容是否被修改。
(其数据流程图见图3 WEB监控流程图)图2 WEB监控流程图Check&Get中Report of Changes功能展现也非常有用,在报警过程时软件自动记录了此次静态快照,快照数据与上次监控获取数据进行规则比较。
如果比较中发现信息不同,监控软件会将变化数据以不同颜色描述在Report of Changes画面中,非常清晰地反映了错误信息,使用户可以一目了然的看到WEB页中那些内容被修改了,并且将修改的内容显示在银幕上供用户检查。
Hostmonitor以URL Reques方法来监控URL(IP:端口号)。
对于监控数据信息内容有三种方式:should contain 、should not contain 和use expression。
should contain是要求用户输入想要在页面中搜索的Strings内容;should not contain与should contain相反,要求用户输入不想要监视的Strings内容;use expression是用户可以用单引号或双引号中的Strings来包含需要监控的Strings值,比如:("Total" and "End Of Page"),URL Reques方式会去WEB页面中搜索"Total" 和"End Of Page"内容。
URL test中最后还包含了一项Check CRC方式(CRC计算方式主要的想法就是将一个文件看成一个被一些数字分割的很长的位字串,这里产生一个余数。
),此功能将得到一串被监控网页生成的CRC值,并且保留为初始值。
在轮询监控中下一次检测得到的CRC值与上次保留的值做比较。
在文件没有被篡改时生成的CRC值始终是一致的。
如果这两串值不一致就产生报警。
Check&Get与Hostmonitor中URL TEST比较两者相同点:○1对静态网页数据可以有效的监控;○2可通过用户对部分关键字进行筛选监控。
不同点:○1在Check&Get中监控WEB页面可以方便、灵活地筛选用户不想要的Strings内容,包括页面HTML tags内容,完全可以满足不同需要的监控要求。
而Hostmonitor在这方面有局限性,它只能对简单的几个字符筛选,而且不能实现HTML tags内容筛选。
○2对于动态页面监控Check&Get 完全可以屏蔽动态信息,而Hostmonitor只能对静态页面信息监控,对动态页面却只能望而却步;○3报警时Hostmonitor只能告知用户监控信息状态是bad或alive,在bad状态下需要用户自己链接到WEB页中人工检查变化位置。
而Check&Get人性化的Report of Changes完全以图表方式将异常信息呈现,让用户一目了然。
趋势分析:动态方式分析网页中数据异常,可设置检测网页变化级别,按照设定级别情况对网页快照数据进行静态备份,在发现异常时更能够跟踪主动段IP,进行实时检测,使WEB数据破坏损失降至最低,这将是将来WEB监控的发展趋势。
3 结语各类监控系统是针对当前企业服务器安全问题而诞生的产品,它可以高效地解决企业内部各种网络服务设备的监控问题,从而有效地降低人力成本,提高了网络设备监控的有效性。
在今后的软件科技发展中会有更多功能强大、人性化程度高、易于扩展的监控产品出现,能更好地为企业服务。
■(收稿日期:2009-05-25)。