Wenn die Server eh schon mit Zabbix überwacht werden, kann man damit auch gleich die Integrität von wichtigen Dateien checken. Dies hilft z.B. beim entdecken von Angriffen auf das System durch RootKits, welche oft Dateien manipulieren um sich selbst zu verstecken.
Einfach diese XML Datei herunterladen und via die Importfunktion zu Zabbix hinzufügen, danach direkt den Host oder das Standardtemplate damit verlinken.
Weitere Vorschläge für zu überwachende Dateien sind sehr willkommen!
Windows Treiber für Systeme die auf XEN laufen, kann man auf http://www.meadowcourt.org/downloads/ herunter laden. Die Treiber sind unter der GPL veröffentlicht und recht aktuell.
Ich konnte trotz einem amd64 Kernel nur die x86 Version installieren, danach sind aber alle Geräte im Gerätemanager erkannt worden und es läuft gefühlt etwas schneller.
Mit Linux Bordmitteln habe ich nie herausgefunden wie sehr die Festplatte(n) in meinen Linux-Boxen ausgelastet sind. Das nervt wenn man den Flaschenhals eines Servers finden möchte oder einfach ein Performance-Problem da ist..
Das selbe muss sich Nigel Griffiths von IBM auch gedacht haben, als er nmon entwickelt hat.
Mit nmon lassen sich diverse Parameter, wie z.B. Netzwerk I/O, Harddisk I/O, CPU und Memory utilisation usw. live ansehen und soagr protokollieren.
Die protokollierten Daten lassen sich später mit einem, leider in Excel verwirklichten, Tool auswerten und in Form von gutaussehenden Tortendiagrammen darstellen.
Alles in allem ist nmon ein sehr mächtiges und hilfreiches Tool, fünf Sterne von mir :)
Wer gerne weiss was auf seinem System abgeht, der wird ‘snoopy’ lieben. ‘snoopy’ logt jeden exec aufruf auf dem System, auf dem er installiert ist. Viel komplizierter – allerdings auch mit mehr Funktionen – geht das auch mit GrSecurity (grsec), das hatte ich vorher im Einsatz und bin deshalb überrascht, wie einfach das mit ‘snoopy’ geht.
Installiert wird ‘snoopy’ auf debian mit aptitude:
$ sudo aptitude install snoopy
so, und alle Prozesse die ab jetzt starten, werden ganz genau geloggt, und zwar nach /var/log/auth.log.
Wenn ein Benutzer auf dem System nun einen ‘ls’ macht, sieht das so aus:
Nov 12 17:19:45 server snoopy[14307]: [simon, uid:1000 sid:13821]: ls --color=auto
So, und wenn jetzt einer in Dein System einbricht, wird schön alles geloggt, was er macht. Nur, wenn der Einbrecher root werden kann, oder sonst einen Trick findet, kann er die Logs natürlich auch manipulieren, deshalb empfiehlt sich ein WriteOnly Logserver.
Viel Glück :)