氣質網管 up!: 2010

2010年12月29日星期三

寄 mail 自動轉簡訊(mail to sms) 2010.12.29

寄 mail 自動轉簡訊(alert mail to sms) 2010.12.29

．一般來說，做為網管都知道要監控設備，並在有異常時發出alert信．
　可是問題就來了，誰會24小時收信？在這空檔時該怎麼辦？
　針對這個問題，剛好有找到幾個解決方案，可在收到信時變成簡訊：
　1.Hotmail
　2.mail2000
　3.智邦url mail

一、Hotmail:
　　它有免費的收到信轉成簡訊的功能，但支援中華電信及台灣大哥大，
　　功能免費，可是簡訊費用會從你的手機費用扣掉，而且簡訊費滿貴的．
　　好處是alert信不多時，等於賺到這個功能。
　　缺點是一旦啟用這功能，任何收到的信都會自動轉寄到你的手機裡！
　　首先你要有個hotmail信箱，接著登入後，到選項\更多選項...

接著到下方的閱讀電子郵件\新郵件的行動通知

第一次用時，會要求認證，照著方式認證即可。

認證成功後，再重新點新郵件的行動通知，就會出現設定。

通常如果主機沒有很多，會選所有郵件都通知(都通知到簡訊)，
不過主機多的話，就可選第四項，建立分類的規則，如下圖。

hotmail的簡訊功能沒有很多，大致上是這樣。不過實際測試得知要等約30秒才有簡訊

發出來。

二、mail2000:
　　需要先購買企業信箱後再購買簡訊點數後才能寄簡訊．
　　它的好處是可依主旨裡的關鍵字來判斷要寄給誰，
　　當你的信非常多時，會非常好用。
　　(mail2000簡訊功能並不能試用，所以要購買要先問清楚)

三、智邦url mail:
　　功能差不多同上。
　　(url mail簡訊功能並不能試用，所以要購買要先問清楚)

四、總結：
　　如果主機不多，用Hotmail即可。主機一多，建議使用mail2000或智邦，
　　因為你自己可依重要性選擇要送簡訊給誰，或依權責寄給該負責人，
　　然後再自動分類信件，簡化很多工作。而且hotmail除了簡訊很貴之外，
　　看簡訊的內容要打指令哦(我這邊沒有列出來)
　　另外有一家公司sms4mail.com ，有提供ping 主機寄簡訊的服務，有興趣
　　的人可詢問看看，我自己是用不到，所以沒特別的去了解它。

~END~
　　

　

2010年12月26日星期日

windows 即時監控檔案變化(Windows Real-time File Monitor) 2010.12.26

檔案即時監控(Windows Realtime File Monitor) 99.12.26
．關鍵字：文件河,bmail,監控目錄變化修改刪除,檔案稽核,即時監控

‧本篇文章與檔案監控(file audit) 那篇的出發點並不一樣，在於檔案稽核只是用來
　紀錄誰存取過，重心在於File Server。但是檔案即時監控的目的在於監控線上
　網站(如iis web)的檔案是否被修改過，並在一瞬間發alarm警告信，讓網管員可以
　把傷害降到最低。

測試環境：
-------------------------------------------
windows 2008 R2 英文試用版
　　(來源:microsoft)

文件河即時檔案監控軟體
　　 (作者及來源:http://semify.blogbus.com/)

bmail.exe 寄信元件(client)
　　(作者及來源: http://www.beyondlogic.org/solutions/cmdlinemail/cmdlinemail.htm )

請將bmail.exe 跟文件河放在一起
-------------------------------------------

1.文件河沒有安裝檔，所以解壓縮後，要把捷徑設在啟動或排程裡，
　否則並不會監視。

2.通常會用到３個功能：
　　a.監控資料夾,排除資料夾
　　b.看log
　　c.執行.exe .bat檔 (文件河沒有mail元件，所以要用bmail)

3.一開始什麼都沒有，所以按左邊的添加，把要監控的資料夾加進來。
　以下圖為例，我是新增一個c:\test 　來監控。

4.要監控什麼動作是在下圖的選單中設定的。

5.在選單設置\高級監視設置裡則可設定　要排除監控的資料夾。

6.設定好之後，按一下左上方的系統監視，之後要是有修改
　就會跳出如下圖的訊息。

7.雖然設定到這裡一切看似ok，但alarm警告卻沒有主動告知網管人員。

所以文件河的作者加入了一個功能：當發生警告時,執行某個執行檔，並傳入參數。

於是我寫了一個批次檔，讓文件河傳入被修改的檔案名稱，並寄出信件。

a.請在文件河的目錄裡加一個sendMail.bat，內容如下

bmail -s "192.168.99.99" -f source@source.com -t target@target.com

-h -a "subjectXXX" -b "XXXserver File had Changed:" %1___ %2

-s 是指mailserver 主機ip 　-f 寄件者　-t 是收信者　-h -a 是信件主旨

-b 是信件內容　　%1 是指第１筆傳入參數　%2是指第２筆

(如果你的Mail server 不需特別認證，寄件者有時可隨便取)

b.接著程序或文件位置選sendMail.bat ，調用參數打 <file>(要空1格)<datetime>

　如下圖

c.接著就可試著刪除一筆檔案，看看有沒有寄信。

8.簡而言之，是這樣：

　a.文件河監控到文件被修改，執行sendMail.bat <file> <datetime>

　b.sendMail.bat 將<file> 指定給%1 ,將<datetime>　指定給%2

　c.bmail.exe 寄信

9.請注意bmail.exe 只是client寄信元件，角色如outlook，

　仍需要安裝mail server 才能寄信。

10.文件河的功能大致上是這樣，另外在文件河的目錄下可看到log檔。

11.有時會同時寄出２封信，因為刪除檔案含修改+刪除。

12.在免費軟體上，文件河算是功能最完整的一個軟體，

　但若是大企業，應該購買專業監控軟體來做監控及防禦才對。

　因為文件河只能做通知而已。

~END~

windows 檔案監控(file monitor)與稽核機制(file audit)(下) 2010.12.26

windows 檔案監控(file monitor)與稽核機制(file audit)(下) 99.12.26

二、windows 內建檔案監控機制(File Monitor,File Auditor)
前一段落講到FSA 的用法，裝成功後雖然好用，log不會爆掉，
不過一般網管通常在有人反應時才會查log內容，查的機率機率很少，
不想花錢買軟體，這時候就可使用內建的稽核機制。

測試環境：
‧windows 2003 standard with sp2 中文版

‧本機安全性原則
‧Log Parser 2.2
---------------------------------------------------------

1.首先要到系統管理工具的本機安全性原則，
將本機原則\稽核原則\稽核物件存取，設為成功。
意思是只要刪除成功，修改成功，讀取成功．．等，
都會紀綠在log裡。

注意：若是你的電腦要加入網域，可能就無法私自修改本機安全性原則，
只能從網域控制站裡的群組原則修改。再來就是權限要夠大。

2.重開機後，就是設定你要監控的文件夾。
在要監控的資料夾按滑鼠右鍵選內容，
到安全性\進階\稽核裡，把要被監控的使用者加進來，
不過通常是everyone。

．設定要監控的項目。
．如果只是要監控刪除項目，只要寫入及刪除項目打勾即可，不用全部打勾。

3.接下來你就試試看新增一個檔案，然後到log檔裡看看內容如何。

4.都確定開始紀錄後，過一段時間後，看log檔增加多大，再將log檔設很大一點。
事件檢視器裡的log檔放在C:\WINDOWS\system32\config 裡，
iis等log 則是在各自的目錄裡。

--------------------------
第一次用的人一定會說：這要看到什麼時候阿!
--------------------------

4.所以要再裝log parser 2.2 ，專門解析log用。
(微軟都幫你想好了，請至微軟網站下載並安裝並執行)

5.這是一個簡單的語法：
logparser "SELECT * INTO report2.txt From Security
意思是　從安全性事件中顯示所有欄位的資料，匯進report2.txt 裡

下圖是我的report2.txt內容，最上方就是欄位名稱，要用的時候注意大小寫。

6.因為這樣做不了什麼事，所以要改成

logparser "SELECT * INTO report2.txt From Security WHERE EventID = 560 AND Message like '%DELETE%' "

意思是　列出　事件id=560 且訊息內容含DELETE 的紀錄，並且顯示所有欄位

7.如果覺得資料量還是太多，可改成

logparser "SELECT TimeGenerated, SourceName, EventCategoryName, Message INTO report.txt From Security WHERE EventID = 560 AND Message like '%DELETE%' "

只顯示部份欄位
(一開始無法知道欄位名稱，所以才要打SELECT * 來知道欄位的內容)

8.WINDOWS 內建監控大概就是這樣。

注意事項：
1.要注意WINDOWS 版本不同，結果可能不同。
2.WINDOWS 2008 server加了較多的稽核項目。
3.log 要開大一點，但是可能會拖垮速度。
4.如果要做到隨時監控並mail回報，就要寫程式了。
5.log parser 滿好用的，另闢文章講解。
6.檔案即時監控另闢文章講解。

2010年12月12日星期日

windows 檔案監控(file monitor)與稽核機制(file audit) 教學(上) 2010.12.26

要在windows 上做檔案監控(即新增、刪除、修改的紀錄)，
可安裝付費軟體 scriptLogic File System 或啟用稽核機制。

一、付費軟體 scriptLogic File System Audit (FSA)

因為該軟體手冊已講的很詳細，所以這裡會挑重點講。

軟體環境：
windows 2003 server with sp2
sql server 2005 express sp3
sql server 2005 management studio express sp3
(註：我裝sql server 2008 r2 express 時，FSA 都裝失敗)

1.sql server 及 FSA 都裝完後，執行FSA 的Database Wizard，Create New Database

如果你想改變資料庫位置，則可如下圖所示，輸入位置，否則就是下一步。

再來就是設定如何連接資料庫，
跟你剛剛安裝SQL Database有很大的關聯。
這裡要特別注意的是，
Sql Server Instance 通常是主機\SQLEXPRESS
如下圖就是win2003\SQLEXPRESS 。key錯是無法連的。
(在SQL server Management Studio 看得到)
再來就是輸入 sa 的密碼

注意：SQL SERVER INSTANCE 要手KEYIN 進去，
用Browser 選的會有問題。

2.在創造好新資料庫後，執行Agent Configuration Console

點I Agree後會要求你選擇license File，選 evaluation 。

選Add File Server

點Add

輸入要監控的主機名稱或ip ，我是使用本機電腦名稱

權限不足畫面(請用網域Admin 或本機高權限帳號)

正確畫面。

直接下一步

都ok後就會出現此畫面

3.開啟報表 Report Configuration Console
一開始選擇Create New Report。
ReportName可依自己取個容易讀的名稱，
其它都是連接資料庫的參數。
註：Databse Server 請注意是主機\instance ，例如 win2003\SQLEXPRESS2

預設是監控　設定前的所有分享資料夾，所以之後若要監控要再加進來。
下圖則是報表。(按Refresh會更新此報表的更新會慢個1分鐘左右。)
此軟體最好用的地方就在右邊，可依users或paths 來篩選，
這樣很快就能查到誰在亂刪除檔案了。
另外我的測試結果，只要有人連進去什麼都不做再關閉連線，也會有一筆紀錄存在。

2010年12月7日星期二

網管入門之網路架構2

網管入門之網路架構2：
網路設備概略

Hub ：
早期的hub 可以看做只是把網路線連接起來而已，就像是把好幾對電話線分接出來一樣。
只要有一台電腦發封包，所有電腦都會收到。這很容易造成網路效能降低，幸好那時候
網路應用沒有現在那麼眾多，有些企業還是在dos時期。

Switch：
因為hub 不適合電腦眾多的企業，所以出了Switch ，意即可將封包自動切換到正確的
網路孔，而不用每次都廣播。另外可分網段(vlan)，將電腦分群組確實隔開來。
(這時期有些廠商就將hub改善，變成switch hub，但無法做網路管理)

router：
router 有別於hub 及switch ，是用來做"路由"用，簡單講就是找路徑，
一般舊型的router是跟modem 機接在一起，在廣大的網路裡找尋正確的傳送路徑。

上述產品做到最後，都有整合型的產品，例如L3 swtich，同時有switch及router的功能。

------------------------------------------------------------
關於hub ：
hub 對現今而言，看起來是很爛的產品，不過因為hub會廣播所有封包，
所以有時可接在要竊聽的線路上，監控那條線路的流量。

關於switch：
在台灣，cisco 公司所推出的switch一直是佔有率第一名，品質確實沒話說，
另外跟很多書籍都只介紹cisco的產品也有關。
其它還有3com、Enterasys等大廠的設備在競爭。

-------------------------------------------------------------

FireWall防火牆：
防火牆主要的功能是依規則阻擋封包。早期的防火牆是ip-port型的設備，
只有ip及port可做設定，例如只能設定192.168.2.1 允許到 192.168.2.2:80 。
後來有些變成網域型的，或proxy型的防火牆。另外還有vpn 、 dmz 等功能。

防毒閘道器：
最主要是裝在對外線路上，使用透通的方式的連接。依廠商的能力可
過濾http網頁病毒、ftp 病毒、mail　病毒。國內廠商如trend igsa 、abicom。

頻寬負載器：
連接多條對外線路(如adsl)，自動選擇對外路徑以平均分配頻寬的設備，
可以依權重(如第一條線路是固定ip，重要性就設大一點)、依頻寬大小、
依次數(例如每連接5次，就跳另一條線)等等。

以上是一個網路應有的基本設備，在內部還有san、iscsi等技術的相關設備。

2010年12月6日星期一

網管入門之網路架構1

初章：網路架構概略

本章是概略區分一間企業應該有的架構，另外本章都是dia所畫出的簡圖，實際上的圖案應以貴公司的設備為準。另外細節會分章節來講

以下的時期是我自己分類的。
第一個時期(草創時期)：
資訊部門剛發展時的架構，有一些pc及一些主機server，它們由Switch (或hub) 接在一起，
彼此互通。這個時期的最大缺點就是pc和主機位在同一區段，ip亂設或廣播封包太多都會一起影響。

第二個時期(連結交換時期)：

後來電腦變多，加入了核心伺服器(core Swtich)：

跟switch比起來，core Swtich 擁有"路由"的功能，以及超快速的處理能力。

因為電腦變的更多，所以有了切網段(Vlan)的區分。

(只有網管型的Switch 才能切vlan)

下圖畫的很簡單，但實際上可能是台北－台中－高雄部門這麼多。

(預算充足的人還會有雙備援)

第三個時期(安全防護時期)：

　切網段(vlan)雖然減少廣播封包，但其實pc跟server 還是互通的，缺少了安全性。即pc可當跳板入侵server 。而且server通常是固定ip，如果是對外的更可以直接被攻擊。

所以新的防火牆發展了DMZ架構，對Server而言，企業內pc跟internet pc都視同不可信任的電腦。這個架構主要使用nat技術(假ip轉真ip)，來隱藏server的真實ip，減少被攻擊的機會。

　　如下圖所示：把web網頁主機和資料庫分成2台主機後，只給web主機真實ip。這時候，駭客除非攻破web主機，否則根本無法知道DB主機在哪裡，進而大大增加安全度。

這個架構的缺點是主機越來越多，另外在fireWall防火牆裡，要多加很多條in,out,nat等設定。

預算充足的人還會添加防毒牆Security Gateway(如trend IGSA)

第四個時期(備援與監控時期)：

　　通常一間企業電腦有上千台以後，便會加裝頻寬負載分配器，從一條對外的線，改成n條的對外線路，讓對外資料流平均分配各個線路，以加大整體的頻寬(實際上單台上網的速度並沒有變快)。而且因為每條線路的ip其實都不一樣，還必須實施multi-Homing的功能，讓頻寬負載器告知目前的server在哪一條線路。另外還可能必須將dmz區段移到頻寬負載器來，才能知道對外ip－對內ip之間的流量情形。工程算滿大的，故我把它當作一個時期。

預算充足的人，還會買頻寬流量監控器來統計流量的情形。裝在防火牆外部的，是用透通方式來統計對外流量；裝在core switch裡，則是透過net flow等技術收集intranet流量。

2010年12月5日星期日

Google Earth 6 教學 2010.12.5

Google 地球 6 教學 99.12.5
----------------------------------------

今天星期天無意中發現Google Earth 出現了第6版，看廣告是加了
樹木的模版，所以就下載來看看。有些功能其實在Google Map裡就有了。

一、前往http://www.google.com/earth/index.html
　　點"下載Google 地球 6.0版"