linux常用的监控工具 <转>

1、CACTI 工具，主要用于监控服务器网卡流量，系统硬件状态等，主要是对SNMP协议熟悉，而且会PERL与XML时候这个工具非常强大。默认就只有监控网卡流量、和一些硬盘空间的模板。还要配合RRDTOOL一起使用。

2、NAGIOS工具，主要用于监控服务器系统各个进程的的状态以及使用内存CPU的情况，不需要自己写脚本，就能够运行。但是不能够监控网卡流量。如果出现情况可以给我发邮件，很及时，工具非常友好。当然也可以监控群集系统与节点。当然也可以使用插件以图形的方式查看。

3、查看apache日志工具，awstats，要比其他的工具强悍很多，也可以对轮训的日志进行查看，不需要我们手工合并日志。

4、tripwire工具，监控文件系统是否改。缺点是只能在单机上使用，不便于在机器多的放使用（最安全的方式是把tripwire数据库刻录到光盘上，就是再高明的黑客也不能写光盘把（指一次性写光盘））。每天运行一下，就可以知道系统的那些文件被改变过或者是修改过。aide工具是tripwire工具的替代品，可以集中式管理。功能更加强大，但是不好配置，比较麻烦。同样也可以发邮件到指定的邮箱。

5、LINUX自带的IPTABLES，虽然是个包过滤防火墙，如果规则写好，对于抗击攻击，入侵都有一定的帮助。

6、查看系统日志工具，logwatch和logcheck工具，这两个工具基本上做同样的事情，把最新的日志信息发送到指定的邮箱或者指定的系统用户。但是好像有点细微的差别，就是logwatch会明确的指出那些用户登录过，系统的硬盘空间是多少以及crontab中运行的任务。logcheck只输出非法登录的用户与与登录成功的用户，要自己仔细的去查看。这个只是我自己的观察得出的不一定准确。如：

Oct3109:59:57localhostsu(pam_unix)[23330]:sessionopenedforuserrootbytest(uid=500)

7、chkrootkit工具，是用来监测系统是否被安装了rootkit。黑客既有可能更改chkrootkit命令。最好的办法是把该命令远程备份或者是刻录到光盘里面。运行命令提示如下：

Checking`amd'...notfound

Checking`basename'...notinfected

Checking`biff'...notfound

Checking`chfn'...notinfected

Checking`chsh'...notinfected

Checking`cron'...notinfected

Checking`crontab'...notinfected

Checking`date'...notinfected

Checking`du'...notinfected

Checking`dirname'...notinfected

Checking`echo'...notinfected

Checking`egrep'...notinfected

Checking`env'...notinfected

Checking`find'...notinfected

Checking`fingerd'...notfound

Checking`gpm'...notinfected

Checking`grep'...notinfected

这个说明是正常的，如果不是类似的提示，哈哈恭喜你，你赶快去买彩票把，估计500就等着你了。

8、rkhunter工具，主要检测主机内是否有木马，蠕虫等病毒。当然可检测后门程序rootkit了，同时可以发邮件给自定的邮箱。建议每天晚上跑一下还是值得的。运行该工具命令后，如果出现：

/usr/bin/find[OK]

/usr/bin/GET[Warning]

/usr/bin/groups[Warning]

/usr/bin/head[OK]

/usr/bin/id[OK]

/usr/bin/kill[OK]

/usr/bin/killall[OK]

/usr/bin/last[OK]

/usr/bin/lastlog[OK]

/usr/bin/ldd[Warning]

红色的警告信息，请仔细检测是否已经中招了。我发现如果你的系统更新过他也会警告你，主要原因是与他的资料库的信息不相符，所以报警，一定要仔细查看了。

以上工具相互配合使用才能够达到一个预期效果。是你的系统更加安全。