applicationlayer

스노트 서버에 두개이상의 NIC를 모니터링해야 할때 리눅스의 bonding기능을 사용하여  하나의 sensor로 관리할 수 있다.

@@ eth1, eth2 를 묶는 상황

==master ifcfg추가

#vi /etc/sysconfig/network-scripts/ifcfg-bond0

DEVICE=bond0

ONBOOT=yes

USERCTL=no

#mac정보 등록하지말것

==slave가 될 ifcfg수정

#vi /etc/sysconfig/network-scripts/ifcfg-eth1

DEVICE=eth1

HWADDR=11:11:11:11:11:11

ONBOOT=yes

USERCTL=no

MASTER=bond0

SLAVE=yes

DHCP_HOSTNAME=localhost

TYPE=Ethernet

#vi /etc/sysconfig/network-scripts/ifcfg-eth2

DEVICE=eth2

HWADDR=11:11:11:11:11:12

ONBOOT=yes

USERCTL=no

MASTER=bond0

SLAVE=yes

DHCP_HOSTNAME=localhost

TYPE=Ethernet

==modprobe.conf 수정

#vi /etc/modprobe.conf

#아래추가

alias bond0 bonding

options bond0 mode=3 miimon=100

==모듈적재

#modprobe bonding

==모듈확인

#lsmod |grep bonding

네트워크 재시작

#service network restart

확인해보자

#ifconfig

bond0     Link encap:Ethernet  HWaddr ===

          UP BROADCAST RUNNING PROMISC MASTER MULTICAST  MTU:1500  Metric:1

          RX packets:3356331948 errors:0 dropped:1237 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:0

          RX bytes:1833559479666 (1.6 TiB)  TX bytes:0 (0.0 b)

eth0      Link encap:Ethernet  HWaddr ===

          inet addr:192.168.25.238  Bcast:192.168.25.255  Mask:255.255.255.0

          UP BROADCAST RUNNING MULTICAST  MTU:1500  Metric:1

          RX packets:109870 errors:0 dropped:0 overruns:0 frame:0

          TX packets:57559 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:10922558 (10.4 MiB)  TX bytes:46141080 (44.0 MiB)

          Interrupt:162 Memory:f4000000-f4012800

eth1      Link encap:Ethernet  HWaddr ===

          UP BROADCAST RUNNING PROMISC SLAVE MULTICAST  MTU:1500  Metric:1

          RX packets:2905684886 errors:0 dropped:1221 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:1732421175495 (1.5 TiB)  TX bytes:0 (0.0 b)

          Interrupt:170 Memory:f2000000-f2012800

eth2      Link encap:Ethernet  HWaddr ===

          UP BROADCAST RUNNING PROMISC SLAVE MULTICAST  MTU:1500  Metric:1

          RX packets:450647062 errors:0 dropped:16 overruns:0 frame:0

          TX packets:0 errors:0 dropped:0 overruns:0 carrier:0

          collisions:0 txqueuelen:1000

          RX bytes:101138304171 (94.1 GiB)  TX bytes:0 (0.0 b)

          Interrupt:178 Memory:f8000000-f8012800

##snort 시작옵션

snort -i bond0 ....

출처: 한컴 공식 개발문서

스크립트 관련 설정:

1. 도구 -> 환경설정 -> 기타 -> 스크립트 실행 확인

2. 도구 -> 매크로 -> 스크립트 매크로 보안 설정

웹에서 hwp호출예제

<html>
 <script language="jscript">
  var App = new ActiveXObject("HWPFrame.HwpObject.1");  
  function OnChangeCharShape() {
   App.HAction.Run("SelectAll");
   App.HAction.GetDefault("CharShape"
     , App.HParameterSet.HCharShape.HSet);
   App.HParameterSet.HCharShape.FaceNameHangul = "궁서체";
   App.HParameterSet.HCharShape.FaceNameLatin = "궁서체";
   App.HParameterSet.HCharShape.FaceNameHanja = "궁서체";
   App.HParameterSet.HCharShape.FaceNameJapanese = "궁서체";
   App.HParameterSet.HCharShape.FaceNameOther = "궁서체";
   App.HParameterSet.HCharShape.FaceNameSymbol = "궁서체";
   App.HParameterSet.HCharShape.FaceNameUser = "궁서체";
   App.HParameterSet.HCharShape.Height = 4000;
   App.HParameterSet.HCharShape.TextColor = 16737792;
   App.HParameterSet.HCharShape.UnderlineType = 1;
   App.HParameterSet.HCharShape.ShadowType = 1;
   App.HAction.Execute("CharShape"
     , App.HParameterSet.HCharShape.HSet);
   App.HAction.Run("Cancel"); 
  }
 </script language="jscript">
 <body>
  <button onclick="OnChangeCharShape()">  글자 모양 변경 </button>
 </body>
</html>

#####스노트 perfmon 옵션실행#####################################

vim /etc/snort/snort.conf

주석제거

preprocessor perfmonitor: time 30 file /var/snort/snort.stats pktcnt 10000

디렉터리 생성

mkdir /var/snort/

스노트 재시작

###################################################################

#####munin설치 & 설정######################################################

rpm -Uvh http://dl.fedoraproject.org/pub/epel/5/i386/epel-release-5-4.noarch.rpm

yum -y install munin

yum -y install munin-node

vim /etc/munin/munin-node.conf

내용수정

  st_name snort;snort01          <-- 이름을 지정

  allow ^AAA\.AAA\.AAA\.AAA$  <-- 모니터링용 서버의 IP주소(AAA.AAA.AAA.AAA)

vim /etc/munin/munin.conf

내용추가

  [snort;snort01]

   address BBB.BBB.BBB.BBB   <-- 감시할 서버의 IP주소

    use_node_name yes

#########snort 관련 플러그인 등록 ###################################

ln -s /usr/share/munin/plugins/snort_* /etc/munin/plugins/

서비스 재시작

service httpd restart

service munin-node restart

crontab에 등록하여 1분에 한번씩 실행. 일반적인경우 이벤트 발생시 문자가 2번오게 되있지만 이벤트 개수나 시스템환경에 따라 스크립트 실행시간이 길어질경우를 고려해 조건을 느슨하게 설정하였다.

이벤트당 쿼리가 최대 8개가 들어감;; 생각 좀 더해보면 많이 줄일 수 있을거 같다.

#!/bin/bash 

for ( alert대상 sid범위)

do

sql0="select sig_name from signature where sig_sid='${sig_sid}';" sid조회하여 패턴명 추출

sig_name=`/mysql/bin/mysql -usnort snort -N -e "${sql0}"`

if [ -n "${sig_name}" ]

then

sql1="select sig_id from signature where sig_sid='${sig_sid}';" sig_id추출

sig_id=`/mysql/bin/mysql -usnort snort -N -e "${sql1}"`

sql2="select timestamp from event where signature='${sig_id}' order by cid desc limit 1;" 최신 이벤트발생 시간 추출

last_timestamp=`/mysql/bin/mysql -usnort snort -N -e "${sql2}"`

if [ -n "${last_timestamp}" ]

then

sql3="select floor(unix_timestamp(current_timestamp)-unix_timestamp('${last_timestamp}'));" 현재시간과 비교

time_range=`/mysql/bin/mysql -usnort snort -N -e "${sql3}"`

if [ ${time_range} -lt 90 ] 90초 이내 일경우 

then 문자메시지 내용을 만들자

echo "detected!" 

sql4="select cid from event where signature='${sig_id}' order by cid desc limit 1;"

cid=`/mysql/bin/mysql -usnort snort -N -e "${sql4}"`

sql5="select ip_src from iphdr where cid='${cid}';"

ip_src=`/mysql/bin/mysql -usnort snort -N -e "${sql5}"`

sql6="select ip_dst from iphdr where cid='${cid}';"

ip_dst=`/mysql/bin/mysql -usnort snort -N -e "${sql6}"`

sql7="select concat(inet_ntoa('${ip_src}'),'->',inet_ntoa('${ip_dst}'));"

msg_string=`/mysql/bin/mysql -usnort snort -N -e "${sql7}"`

echo " ${sig_name} : ${msg_string}"

SMS전송API "[SNORT][$sig_name]$msg_string"

fi

fi

fi

done

http://blueamor.tistory.com/609

내꺼

루트에서

/mysql/bin/mysql_safe &

종료

/mysql/bin/mysqladmin shutdown -p

허용

activation.sls.microsoft.com 443

65.52.98.231

go.microsoft.com 80

64.4.11.160

잘나와있다
http://www.lug.or.kr/m/bbs/view.php?bo_table=download&wr_id=245&page=13

드롭률 감소

로그량이 많을땐 barnyard가 진리다

윈도우를 재부팅한다-_-

test.html

구글에서 제공하는 게이지차트를 사용해서 원격 서버의 트래픽을 그래프로 출력할 수 있다.
위 소스는 인터넷검색을 통해 받았으며 랜덤함수를 사용하여 그래프가 동적으로 변한다. 이부분만 수정하면 된다.
예)
  setInterval(function() {
    data.setValue(0, 1, Number(getHttprequest('snmpproc.php?id=cpu&snmpserver=<?=$servername?>')));
    chart.draw(data, options);
  }, 10000);
  setInterval(function() {
    data.setValue(1, 1,Number(getHttprequest('snmpproc.php?id=network&snmpserver=<?=$servername?>')));
    chart.draw(data, options);
  }, 10000);
  setInterval(function() {
    data.setValue(2, 1,Number(getHttprequest('snmpproc.php?id=tcp&snmpserver=<?=$servername?>')));
    chart.draw(data, options);
  }, 10000);
  setInterval(function() {
    data.setValue(3, 1,Number(getHttprequest('snmpproc.php?id=udp&snmpserver=<?=$servername?>')));
    chart.draw(data, options);
  }, 10000);

cpu load
.1.3.6.1.2.1.25.3.3.1.2

snmp관련
http://www.4te.co.kr/91
http://www.chonnom.com/bbs/board.php?bo_table=B19&wr_id=84&page=7
http://www.chonnom.com/bbs/board.php?bo_table=B20&wr_id=115

http://www.nanha.com/index.php?p=b/view&n=776&b=dft

google chart가 IE에서 제대로 보이지 않아 앞으로 chrome을 기준으로 테스트하기로 했다.ㅠ

conf ui 의 체크박스, 텍스트박스는 변경시 xmlhttprequest를 사용하여 변경시키므로 화면이 리플레쉬 되지 않는다 . 리스트박스까지 깔끔하게 적용하려면 ajax를 좀 공부해야할듯