Argus cũng là một công cụ giúp thực hiện thu thập và phân tích luồng dữ liệu trong các hệ thống NSM, nó là sản phẩm của CERT-CC. Argus bắt đầu được sử dụng vào năm 1989, trở thành bộ phân tích luồng dữ liệu mạng thời gian thực đầu tiên của thế giới. Đến năm 1991, Argus chính thức được hỗ trợ bởi CERT, và từ đó Argus có bước phát triển nhanh chóng cho đến năm 1995 khi nó được công bố công khai.
Argus xác định chính bản thân nó như là một giải pháp luồng hoàn toàn bao gồm nhiều luồng dữ liệu, nhưng thay vào đó, nó sẽ cung cấp một cái nhìn có hệ thống toàn diện về tất cả lưu lượng
nhiều đặc điểm như các giải pháp phân tích luồng IPFIX khác, nhưng nó lại có công cụ phân tích thống kê và kỹ thuật phát hiện/cảnh báo riêng (khác so với các giải pháp khác).
Kiến trúc của Argus
Mặc dù Argus được đóng gói trong bộ công cụ Security Onion, nhưng điều quan trọng là phải hiểu được quy trình làm việc chung đằng sau việc thu thập và xác minh dữ liệu. Phần này trình bày kiến thức về việc triển khai Argus và cách thức mà các thành phần của nó làm việc với nhau để thực hiện phân tích luồng dữ liệu.
Nếu triển khai độc lập, Argus sẽ bao gồm hai phần chính nằm trong hai gói. Thành phần thứ nhất được gọi là "Argus" chung, có nhiệm vụ ghi lại lưu lượng dữ liệu thu được vào ổ đĩa qua một giao diện mạng của một thiết bị nào đó. Thành phần này có thể ghi dữ liệu vào ổ đĩa để truyền đi liên tục hoặc duy trì một kết nối socket đến máy chủ an toàn trung tâm để có thể truyền dữ liệu đi liên tục. Thông thường thành phần này sẽ nằm trên một cảm biến và sẽ truyền dữ liệu về một máy chủ nhật ký trung tâm.
Thành phần thứ hai của Argus là Argus Client (Máy khách Argus). Thành phần này, khi triển khai một cách chính xác, sẽ đọc từ các tệp tin nhật ký, thư mục, hoặc một kết nối socket liên tục để phân tích thời gian thực. Ngoài chức năng thu thập dữ liệu từ các bộ sinh bên ngoài, các công cụ của máy khách còn phục vụ như là công cụ phân tích chính trong suốt thời gian sử dụng Argus. Và do vậy, cần phải có các công cụ máy khách trên tất cả các thiết bị dùng Argus để phân tích luồng.
Đặc điểm
Argus có nhiều tính năng được xây dựng hơn so với hầu hết các công cụ phân tích luồng khác. Khi triển khai Argus độc lập, nó vẫn có thể làm nhiều việc khác ngoài truy vấn luồng cơ bản và thống kê. Ví dụ, một phần của dữ liệu ứng dụng có thể được lấy ra bằng cách thu thập dữ liệu luồng IPFIX và đưa vào trong Argus, nên nó có thể thực hiện một số các nhiệm vụ như lọc dữ liệu dựa trên HTTP URL.
Thu thập dữ liệu cơ bản
Thu thập dữ liệu trong các công cụ phân tích luồng khác nhau có thể tương tự nhau, nhưng cú pháp truy vấn và khả năng tạo ra số liệu thống kê của các công cụ là khác nhau. Ngay từ đầu, Argus có một cú pháp truy vấn cơ bản, nhưng độ phức tạp của cú pháp cũng dần tăng lên.
Công cụ hữu ích nhất trong bộ công cụ Argus Client là ra. Công cụ này cung cấp các phương tiện ban đầu cho việc lọc và duyệt dữ liệu thô được thu thập bởi Argus. Ra phải có khả năng truy cập vào một tập dữ liệu để hoạt động. Các thông tin này có thể được cung cấp thông qua một tệp tin Argus từ các tùy chọn -r, từ đầu vào chuẩn, hoặc từ một nguồn cấp dữ liệu từ xa. Có thể tham khảo các thư mục lưu trữ cho các tệp tin Argus trong /nsm/sensor_data/<interface>/argus/.
cat /nsm/sensor_data/<interface>/argus/<file> | ra -w - - ip and host 67.205.2.30 | racluster -M rmon -m proto -s proto pkts bytes