[NAGIOS] - Sonde netstat
|
14-05-2014, 12h25
(Modification du message : 14-05-2014, 12h30 par Junky.)
Message : #1
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
[NAGIOS] - Sonde netstat
Bonjour,
Alors voici un bout de code pour Nagios (ou tout autres choses d'ailleurs). Le but est de checker le nombre de connexion par IP. Ce n'est pas une sonde ultime, mais elle peut remonter direct des tentatives de connections douteuses style ssh. Je vais l'améliorer par la suite afin qu'elle me remonte un excés de STATE: SYN_ACK. Voici le code: Code PYTHON :
Les conditions sont restreintes mais c'est pour les tests. Certains me diront surement: "Euh en faite elle ne remonte qu'une seul IP puis que tu 'sys.exit() si le state est != de 0. DOnc si dans ta liste il y en a d'autre Nagios ne t'averti pas... " Je répondrai: "Bah c'est une de trop donc si j'ai cette erreur je vais desuite investiguer donc je verrai de suite si y'en a d'autre.. " N'étant pas un grand codeur, je suis totalement preneur d'une optimisation quelconque. Junky, Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
14-05-2014, 12h30
(Modification du message : 14-05-2014, 12h32 par thxer.)
Message : #2
|
|
thxer
:(){ :|:& };: Messages : 382 Sujets : 60 Points: 162 Inscription : Feb 2013 |
RE: [NAGIOS] - Sonde netstat
Le top ça serait de rajouter une ptit include(); dans le header de nagios et que ton script génère un page_result.php au moins on aurait l'alerte sur la page d'accueil de nagios.
Genre : If true() : echo "<script> alert("x tentatives") </script>" ; else : echo "<!-- veille en cours -->" Sinon sympa. |
|
14-05-2014, 15h37
Message : #3
|
|
gruik
gouteur de savon Messages : 757 Sujets : 44 Points: 482 Inscription : Oct 2012 |
RE: [NAGIOS] - Sonde netstat
- au minimum il doit falloir rajouter l'option -n à netstat pour éviter les résolutions DNS et que la sonde perde du temps
- "souspicious ip" owi sousse, sébon xD - "Many connection", comme y'en a plusieurs disons "connections" - selon le cas exclure 127.0.0.1 peut s'avérer utile peut-être ? - le strip avant le splitlines ne sert à rien - on peut éviter les pop() avec un slicing - a la fin le else UNKNOWN_STATE sert à... rien ? ça peut pas arriver imo - egalement le "if conn[2] > 0: sys.exit()" est dans la boucle for, c'est donc ce dont tu parlais dans ton post, mais effectivement c'est très maladroit x) - on marque pas "warning" si le status est "critical" ^^ - STATE_UNKNOWN et STATE_DEPENDANT sont définis mais ne servent à rien je te propose : Code PYTHON :
#!/usr/bin/env python sinon la version awk sur une ligne bien dégueu, as usual : Code AWK :
netstat -tn | awk -F'[ \t:]+' '{tab[$6]++} END {ret=0;for(i in tab){if(tab[i]>10){s="WARNING";n=1};if(tab[i]>20){s="ALERT";n=2};if(tab[i]>10){printf("%s %s: %s connections\n",s,i,tab[i])}};exit(n)}'
Avant donc que d'écrire, apprenez à penser.
Selon que notre idée est plus ou moins obscure, l'expression la suit, ou moins nette, ou plus pure. Ce que l'on conçoit bien s'énonce clairement, et les mots pour le dire arrivent aisément. (Nicolas Boileau, L'Art poétique) |
|
14-05-2014, 16h58
Message : #4
|
|
Junky
Snorky Master Messages : 228 Sujets : 35 Points: 203 Inscription : Mar 2013 |
RE: [NAGIOS] - Sonde netstat
Ouah merci pour ta réponse gruik. En 15 lignes, j'viens d'apprendre plein de choses.
Je vais voir pour modifier ma sonde en fonction de la tienne. Oui il ne faut pas faire du copy/paste et c'est mieux de comprendre que de copier. En tt cas merci!! PS: en effet ton awk et juste dégueu. Mais il fait le taf... `What Else? Pour la sécurité, sous linux, le principal soucis est l'interface chaise/clavier
|
|
15-05-2014, 16h16
Message : #5
|
|
thxer
:(){ :|:& };: Messages : 382 Sujets : 60 Points: 162 Inscription : Feb 2013 |
RE: [NAGIOS] - Sonde netstat
Je trouve juste le awk énorme
|
|
« Sujet précédent | Sujet suivant »
|
Sujets apparemment similaires… | |||||
Sujet | Auteur | Réponses | Affichages | Dernier message | |
[Widget] Nagios for Awesome | Junky | 6 | 328 |
30-07-2014, 11h54 Dernier message: Junky |
Utilisateur(s) parcourant ce sujet : 1 visiteur(s)