argus用法.docx
- 文档编号:18150032
- 上传时间:2023-08-13
- 格式:DOCX
- 页数:16
- 大小:24.88KB
argus用法.docx
《argus用法.docx》由会员分享,可在线阅读,更多相关《argus用法.docx(16页珍藏版)》请在冰点文库上搜索。
argus用法
ARGUS
Section:
MaintenanceCommands(8)
Updated:
10November2000
IndexReturntoMainContentsPrinterFriendlyVersion
NAME
argus-auditrecordgenerationandutilizationsystem
SYNOPSIS
argus[options][filterexpression]
COPYRIGHT
Copyright(c)2000-2006QoSient,LLCAllrightsreserved.
DESCRIPTION
ArgusisanIPtransactionauditingtoolthatcategorizesIPpacketswhichmatchthebooleanexpressionintoaprotocol-specificnetworktransactionmodel.Argusreportsonthetransactionsthatitdiscovers,astheyoccur.
Designedtorunasadaemon,argusgenerallyreadspacketsdirectlyfromanetworkinterface,andwritesthetransactionstatusinformationtoalogfileoropensocketconnectedtoanargusclient(suchasra
(1)).Arguscanalsoreadpacketinformationfromtcpdump
(1),snoop
(1)orNLANR'sMoatTimeSequenceHeaderrawpacketfiles.Arguscanalsobeconfiguredtowriteitstransactionlogstostdout.
Argusprovidesaccesscontrolforitssocketconnectionfacilityusingtcp_wrappertechnology.Pleaserefertothetcp_wrapperdistributionforacompletedescription.
OPTIONS
-b
Dumpthecompiledpacket-matchingcodetostdoutandstop.Thisisusedtodebugfilterexpressions.
-BOnlybindtothespecifiedIPaddress(remoteaccessmustbeenabledbyanon-zeroport).
-dRunargusasadaemon.ThiswillcauseargustodothethingsthatUnixdaemonsdoandreturn,iftherewerenoerrors,withargusrunningasadetachedprocess.
-D
-e
-hPrintanexplanationofallthearguments.
-FUseconffileasasourceofconfigurationinformation.Optionssetinthisfileoverrideanyotherspecification,andsothisisthelastwordonoptionvalues.
-i
-J Generatepacketpeformancedataineachauditrecord.
-M
-mDon'tprovideMACaddressesinformationinargusrecords.
-OTurnoffBerkeleyPacketFilteroptimizer.Noreasontodothisunlessyouthinktheoptimizergeneratesbadcode.
-pDonotsetthephysicalnetworkinterfaceinpromiscuousmode.Iftheinterfaceisalreadyinpromiscuousmode,thisoptionmayhavenoeffect.Dothistoauditonlythetrafficcomingtoandfromthesystemargusisrunningon.
-P
-rReadfromtcpdump
(1),snoop
(1)orNLANR'sMoatTimeSequenceHeader(tsh)packetcapturefiles.Ifthepacketcapturefileisatshformatfile,thenthe-toptionmustalsobeused.Arguswillreadfromonlyoneinputpacketfileatatime.Ifthe-roptionisspecified,arguswillnotputdownalisten
(2)tosupportremoteaccess.
-RGenerateargusrecordssuchthatresponsetimescanbederivedfromtransactiondata.
-S
-tIndicatethattheexpectedpacketcaptureinputfileisaNLANR'sMoatTimeSequenceHeader(tsh)packetcapturefile.
-USpecifythenumberofuserbytestocapture.
-w -XClearexistingargusconfiguration.Thisremovesanyinitializationdonepriortoencounteringthisflag.Allowsyoutoeliminatetheeffectsofthe/etc/argus.conffile,oranyargus.conffilesthatmayhavebeenloaded. expression Thistcpdump (1)expressionspecifieswhichtransactionswillbeselected.Ifnoexpressionisgiven,alltransactionsareselected.Otherwise,onlytransactionsforwhichexpressionis`true'willbedumped.Foracompleteexpressionformatdescription,pleaserefertothetcpdump (1)manpage. SIGNALS Arguscatchesanumberofsignal(3)events.ThethreesignalsSIGHUP,SIGINT,andSIGTERMcauseargustoexit,writingTIMEDOUTstatusrecordsforallcurrentlyactivetransactions.ThesignalSIGUSR1willturnondebugreporting,andsubsequentSIGUSR1signals,willincrementthedebug-level.ThesignalSIGUSR2willcauseargustoturnoffalldebugreporting. ENVIRONMENT $ARGUSHOME-ArgusRootdirectory $ARGUSPATH-Argus.confsearchpath(/etc: $ARGUSHOME: $HOME) FILES /etc/argus.conf-argusdaemonconfigurationfile /var/run/argus.#.#.pid-PIDfile EXAMPLES Runargusasadaemon,writingallitstransactionstatusreportstooutput-file.Thisisthetypicalmode. argus-d-e`hostname`-woutput-file IfICMPtrafficisnotofinteresttoyou,youcanfilteroutICMPpacketsoninput. argus-woutput-file-ipandnoticmp Argussupportsbothinputfilteringandoutputfiltering,andargussupportsmultipleoutputstreams,eachwiththeirownindependantfilters. IfyouareinterestedintrackingIPtrafficonly(inputfilter)andwanttoreportICMPtrafficinoneoutputfile,andallotherIPtrafficinanotherfile. argus-woutfile1"icmp"-woutfile2"noticmp"-ip Auditthenetworkactivitythatisflowingbetweenthetwogatewayrouters,whoseethernetaddressesare00: 08: 03: 2D: 42: 01and00: 00: 0C: 18: 29: F1.Withoutspecifyinganoutput-file,itisassumedthatthetransactionstatusreportswillbewrittentoaremoteclient.Inthiscasewehavechangedtheportthattheremoteclientwillusetoport430/tcp. argus-P430etherhost(0: 8: 3: 2d: 42: 1and0: 0: c: 18: 29: f1)& AuditeachindividualICMPECHOtransaction.YouwoulddothisgatherRoundTripTimedatawithinyournetwork.Writetheoutputtooutput-file. argus-R-woutput-file"echo"-icmp AuditallNFStransactionsinvolvingtheserverfileserverandincreasethereportingintervalto3600seconds(toprovidehighdatareduction).Writetheoutputtooutput-file. argus-S3600-woutput-fileudpandport2049& AUTHORS CarterBullard(carter@) Argus.conf文件参数讲解 1.ARGUS_DAEMON=yes //以后台进程形式运行argus,等价于-d 2.ARGUS_MAX_INSTANCES=1 //设置argus运行实例的个数,等价于命令行-I 3.ARGUS_SET_PID=yes //产生一个文件保存argus运行的进程ID号,文件保存在/var/run,等价于命令-c 4.ARGUS_PID_FILENAME=/var/run/argus.pid //设置保存进程ID号的文件目录和文件名,等价于-n[pid_file] 5.ARGUS_MONITOR_ID=`hostname` //设置监听的ID,可以是IP地址,等价于-e *6.ARGUS_ACCESS_PORT=561 //设置实时远程客户访问端口,便于收集数据。 等价于-P *7.ARGUS_BIND_IP="127.0.0.1" //如果开启了远程客户访问功能,要让argus绑定一个IP,默认绑定任意IP。 等 价于-B 8.ARGUS_INTERFACE= //设定argus监听的网络接口,默认argus会打开系统中它遇到的第一个合适接口, 等价于-i 9.ARGUS_OUTPUT_FILE=/full/path/file/name"filter" //设定argus输出的日志文档位置,argus可以最多支持5个不同文件输出,每个 文件输出都可以有不同的filter规则,等价于-w 10.ARGUS_GO_PROMISCUOUS=yes //设定argus是否处于混杂模式,以便于监听所有它所能监听到的数据。 如果只 想监听某一特定系统的网络行为时,例如HTTP或DNS服务,你可以把这个选 项屏蔽。 等价于-p 11.ARGUS_FLOW_STATUS_INTERVAL=60 //设定argus报告网络数据的时间间隔,默认是60秒报告一次,等价于-S 12.ARGUS_MAR_STATUS_INTERVAL=300 //设定argus周期性报告自己健壮情况的时间间隔,报告的内容包括网络接口状 态,总的包数和字节数,丢包率和基于流的统计。 等价于-M 13.ARGUS_DEBUG_LEVEL=0 //设置argus是否产生debug信息,默认值为0,等价于-D *14.ARGUS_GENERATE_RESPONSE_TIME_DATA=no //设置argus是否从数据中产生回复时间和RTT,默认不产生,等价于-R 15.ARGUS_GENERATE_JITTER_DATA=no //设置argus是否从每个流的基本信息中产生出数据包抖动信息,默认不产生, 等价于-J 16.ARGUS_GENERATE_MAC_DATA=no //设置argus是否在其审计数据中提供MAC地址,默认不提供。 等价于-m 17.ARGUS_CAPTURE_DATA_LEN=0 //设置argus是否从数据流中捕获一定数量的用户数据字节,默认不捕获。 等价 于-U 18.ARGUS_FILTER_OPTIMIZER=yes //设置argus是否利用libpcap的数据包过滤优化功能,默认开启此功能。 等价于 -O 19.ARGUS_FILTER="" //设置argus的过滤规则,默认不设置。 无等价命令 *20.ARGUS_PACKET_CAPTURE_FILE="/var/log/argus/packet.out" //argus可以从tcpdump()命令的输出文件中读入数据包信息,本参数指定输入 的tcpdump()文件的路径,等价于-r。 可以先用argus–rtcpdumpfile–wargusfile 命令从tcpdump生成的文件中读入数据,并生成对应的argus数据文件;然后用 ra–rargusfile命令把生成的argus数据文件显示到终端。 二、ra的用法和参数介绍 1、Ra负责从stdin,argus输出文档或者远程argus服务器中读入argus数据, 根据过滤规则过滤掉它读入的数据,然后在终端输出argus数据或者把数据写入argus数据文档。 rarc是ra命令的配置文档,路径是 FC6下: /usr/share/doc/packages/argus-client/support/Config/rarc FC4下: /usr/src/argus-clients-2.0.6/support/Config/rarc Ra的句法格式是: ra[raoptions][-filter-expression] ra的默认输出格式是: timeprotosrchostdirdsthost[count]status dir表示传输方向,有以下几种: --transactionwasNORMAL,ssh应用是这种符号 |-transactionwasRESET o-transactionTIMEDOUT. ? -directionoftransactionisunknown. 2、参数介绍 (1)-a: 在数据处理的最后输出记录处理的总统计结果。 (2)-A: WhengeneratingASCIIoutput,printtheapplicationbytecounts. 当产生ASCII输出时,输出计算的应用字节数。 (3)-b: 把编译好的数据包匹配代码显示到终端,然后程序终止。 用于debug过滤规则表达式。 (4)-c: 输出流的源和目的地的数据字节和数据包的数量 *(5)-C[host: ] 指出数据的来源是远程的CiscoNetflow记录,并为远程的CiscoNetflowrecordsource指明一个主机IP和端口号。 这个命令会使ra打开一个UDP的socket,绑定给定的IP和端口,尝试从该socket读入CiscoNetflowrecord。 缺省端口号是9995,可以用-P改变。 (6)-d 从捕获的用户数据缓冲区中输出指定的字节数, 格式如下: -d32print32bytesfromthesrcanddstbuffer -ds24print24bytesfromthesrcbuffer -dd16print16bytesfromthedstbuffer -ds32: d8print32bytesfromthesrcbufferand8bytesfromthedstbuffer (7)-D 若程序编译通过了调试输出的功能的话,将在stderr中根据level的值输出debug信息。 Level的值为1-8,值越高,输出的debug信息越详细。 (8)-E 如果在命令行的最后使用了过滤规则表达式,这个选项会让ra 把被过滤规则过滤掉的那些数据包写入 (9)-F 使用 相同,从conffile中读入的配置信息将覆盖掉之前的任何配置信息。 conffile的格 式和rarc的格式类似 (10)-g: 输出argus记录的时间间隔,以秒为单位。 精确度由-p选项控制 (11)-G: 输出argus记录的开始和持续时间。 (12)–h: 输出对各参数的解释 (13)–n: 不把主机IP和端口号转成域名,-nn将不转换协议号 (14)-p 根据 即秒后的显示位数 (15)-q: 让ra不输出数据记录的内容。 可以和-T,-a选项一起使用来支持行为 聚合,但却不输出每个输入的数据。 (16)-r ra从file中读入数据。 ‘-’表示stdin输入,由于该命令可以带很多参数,所以最后一定
- 配套讲稿:
如PPT文件的首页显示word图标,表示该PPT已包含配套word讲稿。双击word图标可打开word文档。
- 特殊限制:
部分文档作品中含有的国旗、国徽等图片,仅作为作品整体效果示例展示,禁止商用。设计者仅对作品中独创性部分享有著作权。
- 关 键 词:
- argus 用法