Ubuntu 16.04 安裝ntopng

將 Switch 之流量，以Port Mirror方式監視網路流量

網卡ens192即為Port Mirror的Port，將enp 192 設為up，IP可設或是不設。

可以使用tcpdump設測試是否有封包進來

 # wget http://apt-stable.ntop.org/16.04/all/apt-ntop-stable.deb
 # dpkg -i apt-ntop-stable.deb
 # apt-get clean all
 # apt-get update
 # apt-get install ntopng                         安裝ntopng
 # systemctl start ntopng.service            啟動ntopng 

使用瀏覽器開啟 http://< ntopng IP>:3000 
第一次預設燈入帳號admin 密碼 admin     

系統提示第一次登入，更改admin的密碼

即可看到Dashboard

PS. 要記得將Interfaces指定為Port Mirror的網卡，才收得到網路流量。

VNXe 1600 IOPS 測試使用Oracle Orion

測試環境
ESXi                5.5
gues OS:         ubuntu 16.04

Datasotre:       主機內接SAS  Disk  v.s.  VNXe 1600 v.s 內接SSD Disk

sda          SASII Disk *4 (Raid 5)
sdc          vnxe 1600  (Raid 5)               
sdd          內接NVMeSSD硬碟           




# mkfs.ext4 /dev/sdc1
# mkfs.ext4 /dev/sdd1
# mkdir /vnx-lun  /ssd-lun

# gzip -d orion_linux_x86-64.gz

執行時可能會發生libaio.so.1這Library沒有
# ./orion_linux_x86-64
./orion_linux_x86-64: error while loading shared libraries: libaio.so.1: cannot open shared object file: No such file or directory

安裝libaio.so.1

# apt-get install libaio1

編輯要測試的Disk,分別為內接硬碟、VNXe、內接SSD

# cat internal.lun vnxe1600.lun ssd.lun
/dev/sda1
/dev/sdc1
/dev/sdd1

# ./oracle_linu_x86_64 -run oltp -testname vnxe1600

Oracle Orion 測試結果:

IOPS 部份-

VNXe 1600 RAID 5 IOPS與內接SSD差不多，大概都有18萬左右。

Latency部份-

PS. 1. VNXe1600 內有兩顆200G SSD為Cache

       2. VNXe1600 及 內接SSD 僅切出Lun，沒有資料在內。

Ubuntu 16.04 LTS Audit 設定

 auditctl    (控制系統核心的稽核功能，其中包含新增與刪除稽核項目)

 ausearch  (條件式查詢稽核的記錄內容)

 aureport  (稽核報告清單檢視)

# apt-get install auditd audispd-plugins

# auditctl -l

No rules 

# useradd kitty

# passwd kitty

Enter new UNIX password:

Retype new UNIX password:

passwd: password updated successfully

# ausearch -f /etc/passwd

# cat /etc/passwd | grep kitty

kitty:x:1001:1001::/home/kitty:

設定特定User kitty 存取的audit

# auditctl -a exit,always -F arch=x86_64 -S open -F auid=1001

# auditctl -l

-w /etc/passwd -p wa

-a always,exit -F arch=b64 -S open -F auid=1001

以帳號kitty登入，並執行下列指令

$ mkdir 123

$ top

# ausearch --start today --loginuid 1001 > /tmp/kitty.audit

# vi /tmp/kitty.audit

監控特定目錄/var/www/html/public
-w /var/www/html/public/ -p wa -k WebPageChange

在/usr/share/doc/auditd/examples目錄下有幾個國際規範範例
capp.rules.gz
lspp.rules.gz
nispom.rules.gz
stig.rules.gz

以設定CAPP規範為例
# cp /usr/share/doc/auditd/examples/capp.rules.gz /etc/audit
# gzip -d  /etc/audit/capp.rules.gz


# auditctl -R /etc/audit/capp.rules
或是
# cp /etc/audit/capp.rules  audit.ruels
# systemctl restart auditd                       重啟auditd服務
## auditctl -l
-a always,exit -F arch=b32 -S stime,settimeofday,adjtimex -F key=time-change
-a always,exit -F arch=b64 -S adjtimex,settimeofday -F key=time-change
-a always,exit -F arch=b32 -S clock_settime -F a0=0x0 -F key=time-change
-a always,exit -F arch=b64 -S clock_settime -F a0=0x0 -F key=time-change
-w /etc/localtime -p wa -k time-change
-w /etc/group -p wa -k identity
-w /etc/passwd -p wa -k identity
-w /etc/gshadow -p wa -k identity
-w /etc/shadow -p wa -k identity
-w /etc/security/opasswd -p wa -k identity
-a always,exit -F arch=b32 -S sethostname,setdomainname -F key=system-locale
-a always,exit -F arch=b64 -S sethostname,setdomainname -F key=system-locale
-w /etc/issue -p wa -k system-locale
-w /etc/issue.net -p wa -k system-locale
-w /etc/hosts -p wa -k system-locale

Audit Report的簡單使用
# ausearch -ua 1001 -i                                                     在Audit Log上屬於uid 1001的User紀錄
# aureport --start 12/22/2018 00:00:00 --end 12/28/2018 00:00:00      一段時間內的Summary Report
#