Интеграция с Active Directory, а также с DNS

Есть ли возможность синхронизировать коллектор с AD (для авторизации пользователей), а также с зоной обратного просмотра DNS сервера для преобразования IP в hostname

У нас были мысли добавить аутентификацию пользователей какими-то внешними средствами, но пока отложили. Для разных платформ там все совсем по-разному, да и как выяснилось это практически никому не нужно.

По поводу разрешения ip адресов. В той версии которая сейчас в разработке, есть механизм вызова внешних скриптов. На диаграммах ip-адреса, но если ткнуть в этот адрес, то коллектор может запустить внешний сценарий и показать дополнительную информацию (whois и т.п.). Мы под Windows это вообще не тестировали, там это скорее всего будет не очень просто. Наверное, нужно будет доустанавливать программы host, whois и т.п.?

Возможно мы добавим еще какой-то механизм для разрешения адресов в имена хостов (номеров протоколов/портов в названия) прямо на диаграммах, но пока не очень понятно как это лучше сделать

Gremlin_groj's picture

Спасибо. Ждём. Тк когда хостов довольно много, не комфортно обращатся к DNS для "перевода"

Gremlin_groj's picture

Также хотел бы узнать о судьбе этой задачи

Хочу предостеречь тех, кто захочет получать PTR-записи к IP-адресам в таблицах: это не помогает! Запилил нужную функцию, получил следующее:
http://www.imageno.com/1hgwo8jfwuqhpic.html (скриншот)

Большая часть сайтов либо не имеет обратной записи, либо эта запись не несёт полезной информации.

Для "внешних" узлов иногда можно увидеть что-то полезное, но часто - да, не очень информативно. Я недавно описывал способ получать соответствие между доменом и ip адресом (перехватывая DNS-пакеты) - https://www.linux.org.ru/forum/admin/11332308 . Но в случае, когда на один ip адрес указывают несколько доменных имен просто сделать соответствие не получится.

Заглядывая внутрь некоторых протоколов, можно получить более подробную информацию (те же url из http), но как это связать c netflow, не очень понятно. В IPFIX есть поля, в которых можно передавать url, но сенсоры на PC такое вроде бы не умеют

А как вы запилили функцию? Резольвите адрес в имя где-то в скрипте? whois для адреса можно прикрутить? Часто он бывает полезнее

Функцию дописал в repview.html:


function getName(l, address) {
$.getJSON("http://api.statdns.com/x/" + address, function(result){
$.each(result, function(i, field){
$.each(field, function (j, item){
$("#ptr" + l).append(item['rdata']);
return false;
});
});
});
}


lbl = "" + json.data[i].key + "(" + bytesToSize(json.data[i].data) + ")";
getName(i, json.data[i].key);

api.statdns.com - публичный API для DNS запросов по HTTP. Если бы этот варант сработал, можно было бы поставить их продукт локально или интегрировать в ваш сервис.
https://github.com/fcambus/rrda

whois, наверное, можно таким же образом прикрутить.

Более или менее адекватный способ получать доменные имена из IP-адресов, как я считаю - взять какую-нибудь доступную базу доменных имён, например из sarg-а, "отлукапить" IP-адреса и из получившегося списка "доменное имя::IP-адрес" выводить доменные имена.
Понятно, что этот способ не покроет 100% всего интернета, но процентов 80 от пользовательских запросов, возможно, сможет определить (особенно популярные соц. сети, ютубы и т.д.). Правда, придётся следить за актуальностью базы данных, но зато профит можно будет получать за поддержку :)

А-а, вот как. Ну, в программе есть более общий способ - можно вызывать внешние утилиты и показывать результат их выполнения, выше уже писал. То есть можно запускать host, whois или свой скрипт, например

В любом случае, имея на руках только netflow и сервис преобразования ip в имя, отчеты будут не очень информативные. Для шаред хостингов, с одним ip на несколько доменных имен, вообще непонятно что нужно показывать. Все известные варианты разрешения?

Проблему можно решить радикально. Если есть доступ ко всему проходящему трафику, можно анализировать его сенсором, который умеет посылать коллектору дополнительную информацию (в IPFIX есть поля, в которых можно слать url'ы и прочее).

Но так умеют очень немногие коммерческие сенсоры, в open source PC-сенсорах ничего похожего не видел. То есть нужно как минимум в коллектор добавлять поддержку IPFIX и пользоваться сенсорами с расширенными возможностями. Этот путь кажется перспективным, но нужно делать, а это, конечно, очень сложно

dmesg