MRTG在IIS 6.0上实现入侵检测功能(3)

　　3.使用indexmaker生成报表首页:

　　perl indexmaker caacnetwork.cfg>c:\Inetpub\wwwroot\MRTG\index.htm

　　4.运行MRTG:

　　perl MRTG --logging=caacnetwork.log caacnetwork.cfg

　　访问c:\Inetpub\wwwroot\MRTG\index.htm检查MRTG是否可以正常工作，生成统计图形。

　　5.将MRTG 配置为系统服务

　　使用windows 2003 resource kit中的Instsrv.exe和srvany.exe。首先安装win2003 rerouse kit

　　将srvany.exe拷贝到c:\MRTG\bin 目录

　　1.添加srvany.exe为服务

　　instsrv MRTG "c:\MRTG\bin\srvany.exe"

　　2. 配置srvany:

　　在注册表HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\MRTG中，添加一个parameters子键。在该子键中添加以下项目：

　　Application的字串值，内容为c:\perl\bin\perl.exe ---该值为perl程序目录。

　　AppDirectory的字串值，内容为c:\MRTG\BIN\ ----该值为MRTG程序目录。

　　AppParameters的字串值,内容为MRTG --logging=caacnetwork.log caacnetwork.cfg。

　　3.管理工具---服务中，找到MRTG服务，启用服务。

　　MRTG就可以全天监视制定主机的网络信息了。

　　五，具体配置SNMP计数器

　　尽管微软提供了SNMP的计数器，但是我发现它对一些应用程序支持有些问题，然而，MRTG却能从很多的应用程序中得到消息。但是我们通过Windows Management Instrumentation (WMI) 也能得到包括所有的计数器的性能信息。同SNMP不同的是，微软在WMI下了很大的时间和金钱。比如：我想得到关于线程和进程的信息，我可以使用以下的脚本轻易实现：

　　Set oWService=GetObject("winmgmts:\\localhost\root\cimv2")

　　Set colItems=oWService.ExecQuery("SELECT * FROM Win32_PerfFormattedData_PerfOS_System",,48)

　　For Each Item in colItems

　　Param1=Param1 + Item.Processes

　　Param2=Param2 + Item.Threads

　　Uptime=Item.SystemUptime

　　Next

　　WScript.Echo Param1

　　WScript.Echo Param2

　　WScript.Echo Uptime &" seconds"

　　WScript.Echo "LocalHost"

　　Another problem I had was getting detailed or custom web statistics through either SNMP or WMI. To solve that, I used Microsoft's LogParser tool to run custom queries from a simple batch file:

　　@for /f "tokens=1,2,3,4* delims=/ " %%i in ('date /t') do @set year=%%l&& @set month=%%j&& @set day=%%k

　　@set logfile=c:\windows\system32\LogFiles\%1\ex%YEAR:~2,2%%month%%day%.log

　　@If Exist %logfile% (

　　@logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 400AND sc-status<500)

　　AND TO_TIMESTAMP(date, time) >SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q

　　@logparser "SELECT COUNT(*) FROM %logfile% WHERE (sc-status>= 500AND sc-status<600)

　　AND TO_TIMESTAMP(date, time) >SUB(SYSTEM_TIMESTAMP(), TO_TIMESTAMP('5','m'))" -q

　　) ELSE (

　　@Echo %logfile%

　　@Echo 0

　　)

　　@Echo Unknown

　　@Echo %1

　　因为微软的日志记录工具也非常强大，和MRTG的计数器配合使用，在加上免费的入侵检测系统Snort，效果会更好。

　　六，最后

　　在你自定义的完你的计数器完成之后，通过图行化的状况就可以轻易的找出入侵者。可以在网站http：//snmpboy.msft.net看到在Windows 2003 server中的snmp更多的信息。