Hallo zusammen,

mich würde interessieren wie ihr eure Netze managed, also beispielsweise Monitoring, Logauswertung, Changemanagment, Updatemanagment etc. in heterogenen Netzen löst.

Wird mit zunehmenden Anforderungen an Qualität, Verfügbarkeit, Performance und nicht zuletzt durch Compliance Anforderungen wie Basel II oder Sarbanes Oxley ja immer wichtiger. Ist definitiv ein rasant wachsender, riesiger Markt, deswegen wundere ich mich auch das man so wenig gute Vergleiche / Infos findet.

Und last but not least ists eine Paradedizplin für OpenSource, fast nirgends sind offene Schnittstellen und Erweiterbarkeit so wichtig wie in diesem Themenkomplex.

Bestrebungen wie offene Frameworks für Konfigurationstools die herstellerunabhängig nutzbar sind und die immer stärker werdende Verflechtungen der einzelnen Tools untereinander machen das ganze Thema zu einer spannenden Sache.

Mich interessiert vor allem welche Tools ihr in Kombination nutzt!


Inventarisierung
Verwaltung von Inventar und zugehörigen Verträgen, Garantien, etc. Clients und Server sollten automatisiert inventarisiert werden können.

I-DOIT (http://www.i-doit.de/)
IRM (http://irm.stackworks.net/)
H-Inventory (http://www.h-inventory.com/)
OSCI-NG (http://ocsinventory.sourceforge.net)
GLPI (http://www.glpi-project.org/)
Inventory (http://inventory.sourceforge.net/)
Tellu (http://koti.kontu.la/jsalonen/tellu/)
PBNJ (http://pbnj.sourceforge.net/)


Gerade die Kombination OSCI-NG + GLPI gefällt mir gut. I-DOIT ist auch nett und sehr flexibel.

Changemanagment
ZIPTIE (http://www.ziptie.org/)
Babel (http://babel.sourceforge.net)
CFENGINE (http://www.cfengine.org/)
BCFG2 (http://trac.mcs.anl.gov/projects/bcfg2)
ISISETUP (http://public.logintas.ch/public/IsiSetup)
NetDirector (http://www.netdirector.org)

http://en.wikipedia.org/wiki/Configuration_management



1) Netzwerkinfrastrukturmonitoring

Nagios (http://nagios.org)
Zabbix (http://www.zabbix.com)
ZenOSS (http://zenoss.com/)
OpenNMS (http://www.opennms.com)
http://www.jffnms.org
Hyperic (http://www.hyperic.com/)
Bixdata (http://www.bixdata.com/)
Octopussy (http://8pussy.org)
Spiceworks (http://www.spiceworks.com/)
moodss (http://moodss.sourceforge.net/)
Deep Network Analyzer (http://dnasystem.sourceforge.net/index.html)
NetXMS (http://www.netxms.org/)
Sentaurus (http://demarc.com/)
Opsview (http://www.altinity.com/)
Orion (http://npmv7.solarwinds.net/Login.asp)
Pandora (http://pandora.sourceforge.net)
OpenSIMS (http://opensims.sourceforge.net/)
BigSister (http://www.bigsister.ch/bigsister.html)
ASDIC (http://info.ping.se/wiki/Overview)
ARGUS (http://www.qosient.com/argus/)
ECDB (http://www.cmdb.info/)

Da sind einige Perlen dabei - hängt halt von den Anforderungen ab...


2) Zentralisierte Logauswertung
OSSIM (http://www.ossim.net/)
Sentaurus (http://demarc.com/)
OSSEC (http://www.ossec.net/)
SGUIL (http://sguil.sourceforge.net)
SQeRT (http://squert.sourceforge.net/)
SEC (http://kodu.neti.ee/~risto/sec/)

OSSIm gefällt mir verdammt gut - aber auch die anderen Projekte sind mehr als einen Blick wert...

In der Hoffnung auf hochwertige Antworten :)

mfg
cane

Nagios natürlich.
Es kann einfach alles und super leicht zu erweitern und es läuft auf allen Betriebssystemen. Einfach nur zum verlieben.

Zentrale logs sammeln läuft zur zeit unter Octopussy, dass gefällt mir aber nicht so gut. Wäre da für eine Empfehlung auch noch offen.

Nagios ist scon nett, hab ich auch schon groessere sachen mit gemacht aber kann keine Inventarverwaltung, keine Bandwith-Statistiken, keine gute zentrale Logauswertung ...

Bez. Logserver teste mal OSSIM easy per VMWare an - gefällt mir gut:
http://www.ossim.net/vmware.php

kann aber keine Echtzeitmitschnitte - da ist das o.g. SGUIL nett:
http://sourceforge.net/project/showfiles.php?group_id=71220

Installier dir den Client und teste hiergegen:
host: bamm.dyndns.org
port: 7734
user: demo

mfg
cane

Momentan verwenden wir hier Tellu, Nagios, Nagiosgraph und MRTG. Dazu noch eine handvoll selbstgeschriebene Scripte für Logauswertungen.

Das System hat diverse Nachteile - es ist gewachsen und in großen Teilen Stückwerk - das übliche Problem "man braucht schnell mal was" und hat keine lange Zeit zum forschen, ob es schon eine fertige Lösung gibt...

An Nagios gefällt mir persönlich der Funktionsumfang des Systems und sie (wie ich finde) einfache Konfiguierbarkeit (ja, es gibt Leute, die das anders sehen) und das ich quasi jeden beliebigen Test implementieren kann.

Für die Inventarisierung suchten wir damals ein Tool, welches in der Lage ist, ohne große Konfiguration und Handarbeit die grundlegende Datenbasis "von alleine" zu erfassen - die Wahl von Tellu war auch eher eine Bauchgeschichte, heute würde das evtl. anders ausfallen - wobei das System sehr mächtig ist und seine Arbeit auch gut erledigt. Die GUI ist an machen Stellen etwas gewöhnungsbedürftig (was den Workflow angeht), wenn man sich aber mal dran gewöhnt / "reingedacht" hat kann man sehr gut damit arbeiten...

Der Traum wäre nun denn noch natürlich, wenn sich die Datenbestände gegenseitig abgleichen würden - aber das wird glaube ich noch auf sich warten lassen müssen - im Endeffekt konfiguriert man so heute jedes System für sich und darf hoffen, dass man nirgendwo was vergessen hat...

Nagios ist schon nett, hab ich auch schon grössere sachen mit gemacht aber kann keine Inventarverwaltung, keine Bandwith-Statistiken, keine gute zentrale Logauswertung ...
Ja das Stimmt. Es ist ein reines Monitoring Tool und wenn es das könnte hätten andere ja gar keine Chance mehr ;)



Bez. Logserver teste mal OSSIM easy per VMWare an - gefällt mir gut:
http://www.ossim.net/vmware.php
Grafisch sieht es auf jedenfall gut aus und die Roadmap verspricht viel. Was ich jetzt auf die Schnelle gesehen habe, dass der Snort Logfile Agent nicht mehr funktioniert (In der Roadmap der Plugins durchgestrichen). Das es in den Components aber aufgeführt ist verwirrt mich jetzt aber ein bisschen. Könnte sich mal näher anschauen, aber da es nicht Echtzeit ist...



kann aber keine Echtzeitmitschnitte - da ist das o.g. SGUIL nett:
http://sourceforge.net/project/showfiles.php?group_id=71220

Installier dir den Client und teste hiergegen:
host: bamm.dyndns.org
port: 7734
user: demo
Erstmal Danke, aber irgendwie bin ich auf die schnelle nicht mit klar gekommen. Ich habe zwar meine Verbindung gesehen, aber ich habe mal ein bisschen was auf den Host gehauen und er hat es nicht gemerkt :( Kann aber denke mal sein, das der Server nicht direkt am Netz hängt sondern hinter einem Router(?).

Achsooo für Snort benutzen wir, Testweise, momentan BASE.


Momentan verwenden wir hier Tellu...
Das Tellu, sieht aber recht Nett aus. Dadrüber habe ich mir aber ehrlich gesagt noch nie Gedanken gemacht. Wie das bei uns geregelt ist, sag ich hier mal lieber nicht :D

Ist ein wenig OT, aber kennt ihr eine gute Alternative zu logwatch? Eure Systeme sind mehr für große Netzwerke, nicht? Ich bräuchte was für nur einen Server.

logwatch zeigt leider nur bekannte Logeinträge an; so gehen einem manche Fehlemeldungen durch die Lappen.

Grafisch sieht es auf jedenfall gut aus und die Roadmap verspricht viel. Was ich jetzt auf die Schnelle gesehen habe, dass der Snort Logfile Agent nicht mehr funktioniert (In der Roadmap der Plugins durchgestrichen). Das es in den Components aber aufgeführt ist verwirrt mich jetzt aber ein bisschen. Könnte sich mal näher anschauen, aber da es nicht Echtzeit ist...



Erstmal hallo an alle, danke fuer den freundlichen input, bin durch die vielen referrer auf den thread aufmerksame geworden.

Sorry falls das verwirrend ist, die durchgestrichenen Elemente sind solche die "funktionieren", der Rest muss nocht programmiert werden.

Ich wuerde cane auch gerne schnell antworten, wir arbeiten gerade an dem Echtzeitmitschneiden, unter http://ossim_host/ossim/control_panel/event_panel.php bei 0.9.9rc4 ist das zu testen. Feedback ist wilkommen.

Verzeit bitte meine ortographie fehler, habe nicht viel uebung im deutsch schreiben :).

@dkarg

Nice 2 know,
ich werd OSSIM warscheinlich implementieren und mit einer ausgewachsenen Monitoring-Lösung wie Nagios oder Zenoss verbinden.

Wenn ich Fragen hab komm ich mal auf dich zu - vielleicht wird das ne groessere Sache und dann bin ich gerne bereit für gute Antworten zu investieren. Es hat auch schon eine Zeitschrift Interesse angemeldet...

Schick mir doch einfach mal deine Email-Addy als private Nachricht, wenns für dich einfacher ist können wir auch EN oder FR kommunizieren :)

mfg
cane

Nachdem ich dem thread nochmal durchgelesen habe wuerde ich gern noch ein paar gedanken beisteuern:

Als inventarisierungs software gefaellt mir persoenlich OSCI-NG sehr gut, benutze es zusammen mit ossim bei kunden und werde versuchen die datenbanken so gut wie moeglich zu sinkronisierung um eine interessante integration zu bekommen.

Als NMS habe ich Zabbix, OpenNMS, Pandora, BigSister un Nagios benutzt. OpenNMS hat mir sehr gefallen, vor allem die automatische network discovery funktioniert(e) sehr gut, aber das ganze Java war am ende zuviel.
Nagios ist und wird wahrscheinlich fuer mich NMS of choice bleiben, habe auch einiges damit vor.

Zum thema logauswertung bin leider biased, werde aber versuchen so neutral wie moeglich zu schreiben.
Erstens, der mix ist etwas verwirrend. OSSEC ist fuer mich etwas mehr ein HIDS mit integrity checks (bin uebrigens hoch begeistert davon), SGUIL kannte ich als event monitor und SEC ist mir als correlations script bekannt.
Ich persoenlich wuerde ein paar neue kategorien erstellen: hids (Osiris hinzu nehmen), Prelude auch in betracht ziehen als logauswertungs software und hybrid ids, und OSSIM als eben das, SIM.

Den rest habe ich leider nicht ausprobiert.

Da in dem original post ueber kombination die frage ist, hoffe ich das die folgenden zeilen nicht als spam verstanden werden sonde als ein beitrag dazu von meinem blickpunkt aus:

In OSSIM nehmen wir Nagios (frueher OpenNMS) als input fuer monitoring, verwalten Nessus scans und reports um mit derem output gegen Snort attacken zu correlieren, benutzen seit kurzen die info aus OSVDB um attacken als wichtig oder unwichtig zu markieren wenn sie gegen bestimmte OSs oder Services gehen, p0f um aenderung an betriebssystemen festzustellen, arpwatch fuer dasselbe mit MAC addressen und pads fuer services. Natuerlich kommt auch alles ins inventory. Aus diesem inventory heraus wird dann Nagios zurueck konfiguriert werden und nebenbei einige andere sachen in sachen Risk und Compliance gemacht.

Gruss,

Dominique

In meinen Booksmarks habe ich noch ein Inventory Programm gefunden
habe es aber nie ausprobiert

zCI Computer Inventory System (http://zci.sourceforge.net/)

Statusupdate :)

Für Inventarverwaltung setze ich OSCI-NG und GLPI ein.

OSCI-NG hat Cleints für Windows und Linux die jeden Rechner per Cronjob prüfen und eventuelle Änderungen an den Server senden. In GLPI übernehme ich die daten per Knopfdruck - dort wird dann die Zuweisung zu Benutzern, Serviceverträgen etc. geregelt.

Ist die einfachste und trotzdem eleganteste Lösung die ich gefunden habe :)

mfg
cane

Statusupdate :)

Für Inventarverwaltung setze ich OSCI-NG und GLPI ein.

OSCI-NG hat Cleints für Windows und Linux die jeden Rechner per Cronjob prüfen und eventuelle Änderungen an den Server senden. In GLPI übernehme ich die daten per Knopfdruck - dort wird dann die Zuweisung zu Benutzern, Serviceverträgen etc. geregelt.

Ist die einfachste und trotzdem eleganteste Lösung die ich gefunden habe :)

mfg
cane
Hast du zufaellig einen link fuer OSCI-NG? Ich finde da nichts drueber.

Danke! && MfG bert2002

steht doch in #1 (http://www.linuxforen.de/forums/showpost.php?p=1520527&postcount=1)

moin :)

Ich bin auf das bereits genannte osiris gestossen, weil es Kernel Modul Aenderungen entdeckt [0], ausserdem gefaellt mir die mgmt Console.

@Pierre_S logcheck probiert?



Gruss 403


0) "mod_kmods: monitor kernel extensions or services", Allerdings nur vom Userspace aus.

Hallo zusammen,

ich habe hier durch zufall diesen Thread gefunden.
Und da ich eh auf der Suche nach einem Inventar Programm bin, dachte ich stellste nach so einer tollen zusammenstellung von cane nochmal die frage was den am besten ist, wenn ich es über meinen Client-PC laufen lasse?

Habe WindowsXP und will alle Rechner die im Netzwerk sind aufgelistet haben, mit allen Hardware, Software (inkl. Lizensen) und Peripherie Geräten.

Was würdet Ihr mir da empfehlen?

gruss
nixi

"das beste" per se gibt's nicht - Da wird Dir nur testen übrigbleiben, welches denn für Dich am sinnvollsten ist.

hmm, das habe ich befürchtet.
Benötigen alle oben aufgelisteten Programme eine Datenbank oder einen Webserver??

Am liebsten wäre mir eins, wo ich keinen Webserver oder so zusätzlich installieren muss.
Fallen da alle oben genannten weg oder besteht hoffnung?

AFAIK ist für alle ein Webserver notwendig.

Alternativ gibt's Excel, Access und Konsorten. Je nach Umfang ist das auch ausreichend - über wie viele zu erfassende Elemente reden wir denn?

Doofe an Excel, Access und Konsorten ist nur, dass ich alles per hand eingeben muss.

Ich möchte mit dem Programm jedoch immer auf dem laufendem sein, so das ich auch sehe, wenn sich was ändert.
Muss natürlich auch Geräte manuell hinzufügen können, weil Notebooks sind selten hier im netz, nur draußen unterwegs.
Brauche aber im Prinzip nur eine Liste wo alle Rechner aufgelistet sind und wo drin steht, welcher Rechner welche Software mit welcher Lizens hat.
Beschrenkt das die o.g. Softwareempfehlungen? xD

Doofe an Excel, Access und Konsorten ist nur, dass ich alles per hand eingeben muss.
Das mußt Du bei den meisten - es gibt nur wenige, die einen automatisierten Client haben.

Neben einem Webserver brauchst Du i.a. auch einen Datenbankserver - für XP also meist am beisten eine XAMP-Umgebung.

Spaß machen die ganzen Produkte aber nur, wenn sie auf ordentlichen Servern laufen...

aso, dann teste ich das mal über meinen debian server..

Was noch fehlt, wäre noch Groundwork - ist (auch) eine Grafische Oberfläche für Nagios (für alle, denen Nagios zu kompliziert ist) :

http://www.groundworkopensource.com/

Also ich finde diesen Tread gut - endlich mal eine Liste von Programmen, die man schon immer gesucht hat.

Servus miteinander!
Erstmal großen dank an all für die vielen Vorschläge und Meinungen!

Ich suche momentan nach guten Monitoring und Logging - Tools für VoIP...
Könnt ihr mir da was empfehlen???
Gibt es eigentlich ein tool, mit dem ich die Bandbreite noch auf Worstcase testen kann??

Vielen Dank schonmal ;)

Was genau willst Du denn monitoren?
Welche VoIP Protokolle werden verwendet?
Welche Software / hardware kommt für VoIP zum Einsatz?

mfg
cane

Naja öhm...
will überprüfen können wie die bandbreite bei VoIP gesprächen beeinflusst wird / wie viel sie ausgelastet ist. Und bei fehlermeldungen o. warnungen eben ein log erstellen.

Protokolle? äh ich schätze mal des standardprogramm:
snmp, sip, rtp, rtcp, H.323, usw...
Natürlich auch TCP/IP für die Bandbreite allgemein.

(oder hab ich da iwas verpasst????)
achja: ich bin relativ neu auf dem gebiet VoIP (hätte man vll vorher sagen sollen)

Aber Danke :)

will überprüfen können wie die bandbreite bei VoIP gesprächen beeinflusst wird / wie viel sie ausgelastet ist. Und bei fehlermeldungen o. warnungen eben ein log erstellen.

Das solltest Du auf deinem Switch / den Routern auslesen können sofern diese managed sind.
Hast Du QoS / Traffic Shaping für VoIP eingerichtet?

mfg
cane

nein habe ich nicht, soweit ich da informiert bin... :confused:

Aber ich müsste doch sowas trotzdem auch netzintern mit nem tool auf nem client monitoren können??? vll über die netzwerkkarte, oder so...

Woher weiß der Client denn wie stark die WAN Verbindung ausgelastet ist?
Außerdem ist nicht nur die bandbreite sondern auch Jitter relevant für die Qualität von VoIP Telefonaten...

mfg
cane

mh ja ich weiß, das auch noch packetloss rate und End-to-End-Delay wichtig ist.
Und stimmt des mit dem Client war irgendwie ne ****** idee :-/

Sorry wenn ich mich da grad arg doof anstell :(

Wenn Du einen vernünftigen Tipp haben willst beschreibe:

- welche und wieviele VoIP Clients mit welchen Protokollen zum Einsatz kommen
- wie die VoIP Infrastruktur aussieht
- wie die Netzwerktopologie aussieht
- welche Netzwerkkomponenten mit welcher bandbreite verwendet werden

mfg
cane