《开源OSSIM企业运维疑难问题解析》
《Troubleshooting OSSIM Enterprise Network Maintenance》
时光荏苒、日月如梭。如今看到2008年写的技术文章到现在已经10年了,在此期间每周我都会把工作中遇到的各种技术问题总结下来。写博客是一种向外界传递个人观点和兴趣的一种方式,而兴趣是写作动力源泉,多年来坚持不懈的创作,换来了丰厚的回报。2019年我的全新技术专著即将上市。
图书简介:
本书上下册共22章,历经两年时间精心创作而成。该书重点讲述了SIEM与网络安全态势感知技术、OSSIM部署、系统安装维护技巧、OSSIM工作原理、传感器设置、插件处理、事件过滤、可视化报警、OSSIM数据库、***检测系统、漏洞扫描评估系统、中间件、日志采集与关联分析技术、资产管理、流量监控和高可用管理、OSSIM前端汉化技术、抓包分析与压力测试等OSSIM平台相关的疑难杂症处理方法,精选了安全运维人员在安装、使用、开发过程中会遇到的进千个疑难杂症,进行详细的解答,本书撰写形式新颖,采用针对性很强的问答方式并附有直观性的插图,阅读趣味性强,特别适合初中级OSSIM工程师参考学习。
李晨光 作品
入 门 篇 目 录
Q015 为什么在浏览器中无法显示由Google地图绘制的AlienVault IP信誉数据?
Q018已在OSSIM系统中添加OTX key,为何仪表盘上没有显示?
Q019 将已申请的OTX key,导入OSSIM 系统中,为何提示连接失败?
Q023 如何利用OSSIM系统内置的威胁情报识别网络APT***事件?
Q024. 简述OpenSOC组成结构及主要功能,OpenSOC和OSSIM之间的区别是什么?
Q025. Apache Metron是新生代的OpenSOC吗?部署难度大吗?
Q032. 如何保证OSSIM Server和Sensor之间发送数据的安全性?
Q035堡垒机的syslog日志能否转发至OSSIM统一存储?
Q038.OSSIM平台属于CPU密集型(计算密集型)还是I/O密集型系统?
Q040.OSSIM平台有几类系统用户,分别用来启动哪些进程或服务?
42.安装OSSIM Server组件时是否包含了Sensor组件?
50 OSSIM server和sensor角色可以互换吗?
51.OSSIM是基于Debian Linux开发,能否安装在其他Linux发型版上,例如RHAS、CentOS、SuSe Linux?
52 交换机镜像模式能中利用OSSIM分析多大的流量?如将服务器加装万兆网卡,能否分析万兆流量?
54 Ossim能检测到DDOS***吗?能记录DDos***日志?
55.Vmware vsphere 对vswitch 设置混杂模式 、Hype V上设置镜像,跟在物理交换机上做SPAN 三者功效一样吗?
59 OSSIM采用什么语言开发?,若要进行二次开发,需选用何种类型的开发人员?
62 Ossim能用于APT和ShellCode高级***检测?
70.Ossim在阿里云的网络下部署,snort可以抓到整个网络内的流量吗?
76为什么只能看到OSSIM服务器自身产生的流量,捕获不到局域网其他机器的流量?
Q084 OSSIM安装简单能方便实现可视化数据分析,是否意味着对操作人员的素质要求降低?
Q087终端控制台上如何区分OSSIM Server还是Sensor?
91 如何查找/var/log/apache2/access.log这个日志文件正在使用的进程号?
095. OSSIM USM企业版提供了虚拟机镜像下载,能否安装在物理服务器中?
100.执行alienvault-update升级后,致使原来的配置被覆盖,为什么呢?
101.执行alienvault-update命令升级之后的缓存文件如何清除?
104.OSSIM 5.X使用Debian Linux 3.2内核,为什么不升级到4.0内核呢?
105 Admin登陆WebUI权限过大,实际应用中需要受限,OSSIM如何处理这种场景需求?
107.安装OSSIM时能识别硬盘但无法识别网卡该如何处理?
Q110.在下列拓扑中,为何在WebUI页面中显示的SensorIP地址会变成路由器的e0口地址?
Q111在物理服务器上安装OSSIM,为什么写入grup数据,会遇到找不到sda设备的情况?
Q112.OSSIM初装是仅配了单网卡,后期添加双网卡用于分析镜像流量该如何操作?
Q113安装OSSIM需要选用多核还是单核CPU?CPU核心数量是越多越好吗?
Q116.在IBM服务器x3400 M3上安装OSSIM,现在新加一块2T的硬盘在RAID阵列中为什么无法识别?
Q120.虚拟机下安装OSSIM结束后,系统重启,进入到下面图示的界停滞如何处理?
Q122.当OSSIM安装完成之后如何设置WebUI初始化设置向导?
Q125. 在OSSIM配置向导中出现无法找到网段内的服务器报错该如何处理?
Q126.若实现不重装系统再次调出WebUI初始化设置向导,如何操作?
Q127.在Hyper-V 3.0中安装OSIM5.4 时到Suricata配置过程中卡住了如何处理?
Q128.混合方式安装OSSIM 5.x发现Sensor状态为Down,为什么?
Q130.Dell PowerEdge R420安装OSSIM5的安装技巧
Q131. 为什么在虚拟机系统中安装OSSIM,当启动系统时出现rng-tools Plymouth 启动报错failed?
Q134. OSSIM系统中IPMI服务有什么作用?为什么虚拟机启动OSSIM时会遇到IPMI服务启动失败的问题?
Q135.若要混合式安装OSSIM,在下图中,需选择那一项?
Q138.通过虚拟机安装ossim时,网卡初始设置为NAT模式,后来改成桥接模式后导致网络不通为什么?
Q140.刚装好的系统为什么OSSIM收集到的都是本地日志?
Q142.如何在Ossim 的 rescue mode 模式下操作?
Q143.ossim安装在物理联想服务器上,为什么写grup时总提示找不到sda?
Q145.Vware虚拟机环境中,如何为OSSIM安装Vmware Tools增强工具?
Q148.Vmware ESXi虚拟机环境中安装OSSIM应注意哪些内容?
149.在宿主机为CentOS系统中安装Vmware workstation 12虚拟机后,再安装OSSIM为什么不适合?
157.OSSIM中的update(更新)和upgrade(升级)有何区别?
160.通过浏览器访问OSSIM Server时输入用户,密码后提示口令错误如何处理?
161.若在ossim服务器上启用SELinux服务后果如何?为什么?
163.通过OSSIM v4.3能直接升级到OSSIM v5.4吗?
165.OSSIM系统中server.log日志文件有何作用?如遇此文件膨胀到10+GB该如何处理?
167.OSSIM升级过程中,指令upgrade和update有什么区别?
169.开源OSSIM系统所使用的文件系统有什么特点?有什么局限性?
171.为什么在OSSIM3.1系统上输入ossim-update升级后OCS模块消失?
172.在OSSIM消息中心为什么总显示internet连接中断?
173.ossim系统里的软件包中包含“amd64”字样,表示什么含义?
176.Ossim系统当使用update升级后的deb文件位于何处?
183.系统反应迟钝,WebUI刷新数据很慢,此时SSH连接很卡,如何排查?
184如何记录WebUI中SQL查询日志信息的情况?这些内容就在何处?
187.服务器状态为DOWN,是什么原因导致,故障日志记录在何处?
198如何用xshell、secureCrt远程登录OSSIM
200.当使用apt-get install 安装软件过程中强行中断安装,下次再执行安装脚本是报告数据库错误,如何解决?
201.通过apt-get install 安装程序时遇到“Could not get lock /var/lib/dpkg/lock”提示,这是由于什么原因造成?如何解决?
202.Ossim系统中/var/run目录下的pid文件有何作用?
207.如何查看当前登录ossim系统的用户session ID?
208首次安装OSSIM,登陆WebUI后提示“Operation was not completed due to a database error”一般是什么原因?
211 当定期执行脚本当使用”crontab –e”编辑时,无法退出编辑环境如何处理?
213.如何查询/var/目录下2级子目录的大小,并且按升序(数据从小到大)排列?
214.在OSSIM Server中将单个主机名映射到多个IP可以吗?
216.Debian(Jessie8)GUI(GNOME)允许Root登录/自动登录并安装X-window环境?
221.删除OSSIM系统里的文件时,磁盘空间不释放如何处理?
227.OSSIM4.5之前的老版本出现WinScp无法登录OSSIM系统改如何处理?
231.在OSSIM安装最后阶段为什么停在那里不动?系统里发生了什么情况?
241.在OSSIM WebUI login.php界面中,在登录验证前对用户名和密码如何进行加密的?
242.OSSIM登录界面中如何实现用户session登录验证的安全?
244.Ossim Web站点根目录位置由什么配置文件定义路径在何处?
245.OSSIM系统每次启动为什么显示”apache2 [warn] NameVirtualHost *:80 has no VirtualHosts“?
246.Apache出现“Could not reliably determine the server’s fully qualified domain name”提示如何处理?
247./usr/lib/apache2/modules/下的模块mod_wsgi.so有什么作用?
249.Ossim中PCIDSS和ISO 27001代表什么含义?
253.如何在Server/sensor中发现隐藏的进程或端口?
263如果分布式OSSIM系统的Sensor出现问题将影响那些模块的工作?
264.对于高度复杂的OSSIM平台而言采用了什么技术来实现各个子模块之间消息的高速传输?
266.配置文件/etc/ossim/ossim_setup.conf记录了哪些内容?有什么作用?
269.OSSIM中的检测器(Detector)包含哪些内容?
272.OSSIM中的SPADE(统计包异常检测引擎)起到什么作用?
273.OSSIM 代理(Agent)采用什么语言开发,作用是什么?
276.修改了OSSIM Server配置文件config.xml后如何重新启动引擎?
278.OSSIM USM和Sensor安装模式他们安装包有哪些区别?
279.简述ossim Server和Sensor通讯端口及作用。
280.Ossim系统是把收集来的数据都统一存储到数据库里吗?
283.如何把文件拷贝到ossim平台上?如何把ossim里的文件拷出?
290. 当Ossim系统安装后,如何知道安装了哪些Ossim包或alienvault包呢?
292.Ossim Server启动的关键服务有哪些?如何启动?
298.Ansible默认使用什么协议管理传感器?这样设计的优点是什么?
299.SSH和Ansible服务在OSSIM中起到什么作用?
302传感器的作用是什么?其功能范围包括哪些内容?如何查看传感器状态?
303.当传感器鼓掌时状态会打叉,此时能否查询传感器上加载插件的状态吗?
305.如何实现将Docker容器进行OSSIM传感器,以实现将容器放在任何客户端系统中?
309.为了在OSSIM的Web中显示谷歌地图,需要在Ossim服务器上连接***,还是客户机上连接***?
310如何让ansible来获取远程主机运行时间,在线用户平均负载信息?
312如何添加、删除sensor?为何有时候会删除失败的情况?
314.OSSIM采用何种技术解决各种网络安全设备日志格式及描述内容不统一的问题?
319.在Apache插件中如何定义Apache访问日志的正则?举例说明插件匹配过程?
321.下图中所示的“Data Sources”列出的数据源能否自己添加?如何添加?添加的数据源如何看到效果?
322.如何将plugins中location定义的文件写入两个文件中?
327.OSSIM采集插件分为几大类,采集插件通过什么协议采集数据?
328.插件进程ossim-agent被手动停止后之后为何会自己重启?
329.在OSSIM 传感器中SNORT和suricata插件能同时启用吗?
330.SIEM控制台事件查看视图有几种观察模式?各有什么区别?
332.在SIEM控制台事件的表单中显示“N/A”表示什么意思?
335.OSSIM控制台中出现“AV-FREE-FEED”开头的报警,表示什么含义?
340.SIEM控制台下的这个事件数量记录在什么数据库的什么表中?
344.在SIEM日志显示中常出现0.0.0.0的地址代表什么含义?
345使用OSSIM时,在SIEM控制台发现一些事件的源、目的地址为0.0.0.0
346.用OSSIM监控多个VLAN的服务器时为什么不能显示FQDN名?
355.OSSIM中将报警alarm事件几类,分别表示什么含义?
360.如何通过Metasploit工具触发Alarm报警?
361.如何通过Ossim+Metasploit发掘Windows XP的Ms08-067漏洞?
368.OSSIM后台数据库能否可切换为Oracle或MongoDB吗?
369.采用SecureCRT访问数据库出现乱码是什么原因?
370采用phpmyadmin访问数据库时为什么会出现乱码?
371.在下图所示中,开机时Mysql数据库启动失败failed由什么原因造成?
372.如何在OSSIM服务器上访问数据库?常用命令包含哪些内容?
374.OSSIM中的SQLite数据库有什么作用?如何访问?
377.OSSIM5中运行多少Mysql数据库实例?各有什么作用?
382.当Ossim 4.x系统数据库发生损坏如何重建数据库
389.MySQL出现""Access denied for user 'roo'@'localhost' (using password:YES)提示如何处理?
392.Ossim 中的数据库能否从server 中剥离出来运行在独立的服务器上?
393.Ossim数据库里event数据表和acid_event表中的数据有什么区别?
394.为什么使用“mysql –u root –p pass”命令进入系统后可以使用grant授权而使用ossim-db进入数据库,授权无效呢?
395. Ossim 系统中出现“MySQL :ERROR 1040:Too many connections”情况如何处理?
399在调试MySQL时出现” access denied for user 'root'@'localhost' using password yes”报错该如何处理?
400.在使用ossim-db命令时出现mysql“Access denied for user 'root'@'localhost'”的问题如何解决呢?
404.Mysql进程占用CPU过高的时候,该从哪些方面下手进行优化?
409.OSSIM后台数据库MySQL负载高居不下如何处理?
410.如何用MySQL Workbench分析MySQL数据库?
411.OSSIM系统大量使用XML技术来存储数据,XML有何优势?
413.如何对原有表进行增、删、改操作?
416.如果负载过大在OSSIM 系统中出现“MySQL :ERROR 1040:Too many connections”情况如何处理?
424.开源OSSIM系统中WebUI中Active Event Window(days)表示什么含义,该值设定为多大合适?
429.如何在OSSIM数据库中查询OSSIM系统配置路径、端口、式样及用户配置信息?
430.如何在OSSIM数据库中查询查询自定义报表类型及调用PHP文件路径?
431.如何在OSSIM数据库中查询仪表盘类型参数定义,引用图片位置?
436.查询从事件中提取数据,包括data_payload等
437.如何统计acid_event表中sudo事件报警数量?
提高篇
Q001.Snort检测规则存储在何处?如果一旦触发规则snort将会产生几种动作类型?
Q002.Snort2.9版本中主要有哪些预处理插件,各有什么功能?
Q006.当snort检测到匹配的数据包时,有几种处理方式?
Q008.Snort如何检测Chargen/echo DOS***?
Q009.如何应用snort的Packet logger模式将捕获到的信息,记录到磁盘某目录下?
Q014如何将MySQL中的snort报警通过Web方式展示?
Q015.OSSIM 的PHP IDS组件采用什么方法来接收和分析数据?
Q017.请解释下图中Snort规则中msg、content、threshold、reference等选项的含义。
Q018.OSSIM中如何管理引用类型(REFERENCE type)?
Q019.外部引用REFERENCE在OSSIM安全事件管理中起到什么作用?
Q020.OSSIM5中的Suricata支持PF_Ring吗?
Q026.sid-msg.map和gen-msg.map有什么区别?
Q027.OSSIM4.12检测器中snort状态是DOWN,而suricata是UP这种状态正常吗?它们能同时为UP状态吗?
Q028.在Snort的配置文件sid-msg.map有何作用?
Q030如何找出/var/log/suricata目录下24小时内访问过的日志并且找到后立即删除?
Q031.在/etc/snort/rules/local.rules文件添加了条规则,为何不生效呢?
Q037.Suricata由几个线程和模块组成?OSSIM采用了何种模块输出模式?
Q040.当suricata检测到可以数据包时,会以二进制格式将其存储到文件,文件名叫什么?通过什么程序读取它?
Q041.经过多个HTTP代理服务器后的IP将会隐藏(记录代理服务器的IP),suricata通过什么参数来记录真实客户机的IP?
Q042.让suricata记录所有http日志该如何修改配置文件?
Q045.如何将suricata的告警信息输出到syslog文件中?
Q046.数据包在suricata检测引擎(detect-engine)中是如何匹配的?
Q048.在一台8核的OSSIM服务器上如何改善Suricata处理性能?
Q049.在高速复杂网络环境中如何提高Suricata规则检测时的数据分片传输效率?
Q050.在suricata的stream引擎中对数据包重组需要占用CPU资源,为了避免无限制的重组数据包,应该修改什么参数对其进行限制?
Q051. 能在OSSIM上收到suricata警报,但不能在WebUI上收到为什么?
Q052.系统有两块网卡,一块用作admin管理接口,一块用作嗅探网卡,这个配置保存在什么配置文件中?
Q053.suricata的日志文件suricata.log保存在什么路径下?该路径由什么配置文件来定义?
Q054.OSSIM下Suricata 5工作模式是AF_PACKET还是PF_RING?
Q055.OSSIM下的suricata工作在什么抓包方式?
Q057.如何更新AlienVault NIDS规则和签名?
Q064..在Ossim中Suricata与snort有何区别?
Q065..如何启用新的ET(Emergin Threats)规则?
Q068.将iptables和***检测软件的集成是如何实现?
Q071.OSSEC Agent主要由哪些进程组成各有什么作用?
Q072.简述Ossec server/agent工作流程及其关键进程的作用。
Q072.如何实现通过ODBC方式远程访问OSSIM Server的Mysql数据库?
Q075.OSSEC Server重新安装之后 Agent需要重新安装吗?
Q077.OSSIM 中HIDS控制状态里有Client-syslog、Agentless、Debug三项处于没运行和停用状态,这样正常吗?
Q079.Ossec Server端通过什么技术将策略文件分发到agent?
Q080.由于磁盘空间满,造成OSSEC进程停止故障分析案例。
Q081.画出分布式环境下OSSEC和Agent通讯的数据流图
Q082.一条高风险警报与事件ID=30042,它表示什么含义?
Q084.如何在Debian Linux上安装OSSIM代理?
Q085.Linux下安装ossec agent报错如何解决?
Q089.OSSIM的资产扫描模块的界面中怎么没有nmap扫描的按钮?
Q090.如何在Windows 8环境下安装OSSEC Agent?
Q091.负责控制OSSEC Agent的配置文件位于何处?
Q092.出现OSSEC Agent无法连接服务器该如何处理?
Q093.Windows 2012 如何安装Ossec Agent?
Q094.在windows 7/8/2012 上安装ossec agent需要客户端上关闭防火墙吗?
Q097.WebUI中OSSEC调用规则的后台文件位于何处?
Q098.如何监听ossec-server和agent之间的数据通讯?
Q099.安装Ossec Agent时,所生成的EXE二进制文件,是用什么代码写的?
Q100。Windows平台上OSSEC Agent已安装,但在OSSIM Server中没有接收到日志怎么解决?
Q102.如何读懂/var/log/suricata/目录下JSon文件内容?
106.当OSSIM利用OpenVas扫描到漏洞之后,能否自动修复漏洞?
109.CVE、CNCVE 、NVD、OSVDB、BugTraq 、SecurityFocus表示什么含义?
113.OpenVAs脚本采用什么语言编写?请描述脚本加载过程?
117.OpenVas的扫描器openvas-scanner调用的私钥证书文件位于何处?
118.OpenVas 服务器端有几个主要模块,它们之间工作流程如何?
119.OpenVAs扫描器出现“Failed”报错提示表示什么含义?
123.更新了威胁数据库后,为什么在WebUI中查询不到最新日期的威胁库数据?
124.采用Nessus 与openvas扫描效果有什么区别?
125.OSSIM使用OpenVAS扫描系统,可为何还保留Nessus?
126.使用alienvault-update命令对系统升级之后出现Openvas无法正常工作怎么解决?
128.漏洞扫描时出现“Failed to authenticate”验证失败问题如何解决?
133.用alienvault usm能检测出heartbleed漏洞吗?
134.OpenVAS输出报告中用哪几种颜色对漏洞进行分类,各表示什么含义?
第十四章 Memcache、RabbitMQ与Redis协同工作
137.Memcached和memcache分别表示什么含义?
140.OSSIM中memcached缓存服务是多线程还是单线程?
149.OSSIM中的RabbitMQ如何开启Web管理后台?
150.OSSIM为何要引入Redis内存数据库?采用key/value存储?
151.OSSIM Server使用RabbitMQ有何优势?
163.OSSIM的基于日志的报警如何实现?OSSIM中的syslog和OSSEC上传的日志文件之间有什么关联?
171.如何将WebUI菜单中的Raw Logger替换为ELK?
174.如何通过Snare把Windows事件转发至Linux日志采集服务器?
175.如何用Syslog-Slogger测试syslog服务器?
183.将Windows日志转换为syslog日志的工具有哪些?
187.如何将Windows日志转换syslog?有哪些工具可以实现?
188.如何利用evtsys工具采集Windows日志并转发到syslog服务器?
190.加密的日志能由Sensor收集并由Server分析吗?
191.如何将Squid的访问日志 access.log 转发到OSSIM?
192.OSSIM接收日志时才有的是syslog协议还是rsyslog协议?它们主要区别是什么?
193.syslog和rsyslog协议能在一台机器上同时使用?
194.如何用Rsyslog将日志发送到不同的日志收集器中?
196.怎么让Linux客户机通过syslog 发送日志到Ossim Server?
199.OSSIM USM系统中如何从WebUI界面中导出日志?
215.Risk & Priority & Reliability三种在关联分析时有何关联?
216.在仪表盘中Risk显示的Risk Metric的C、A值表示什么含义?
217.网络评估在给主机风险评估的Risk的C、A值会发生哪些变化?这种变化反映出什么问题?
220.如何映射同一***模式下snort和ossec产生的重复报警?
224.SIEM控制台是如何将不同数据源的事件进行聚合处理的?
226.OSSIM关联分析引擎分为几种类型?可靠性和风险值在里面起到了什么作用?
229.为什么说可信度Reliability的值是动态变化的?
230.内网一台邮件服务器资产值设定为5,Priority和Reliability的默认值设置为3,试问这台服务器Risk值为多少?
232.能否将企业版 OSSIM自带的规则导入到开原版中使用?
233.Ossim 的关联分析引擎是否能处理第三方安全产品的日志?
237.如何WebUI中查看OSSIM操作系统类型和安装软件分类?
240.资产扫描有6个选项 代表了不同级别,级别越高,扫描速度越快,每种选项表示什么含义?
242.资产扫描时为什么会出现扫描的操作系统和实际操作系统版本不一致的情况?
243.为什么我扫描192.168.1.0/24网段内的资产可结果包含10.0.0.0/24网段的机器呢?
247 若要实现总部可以看到所有分公司的资产和事件,分公司只能看到自己的资产和事件,怎么操作?
255.如何将OSSIM产生的告警转发到iTop的CMDB?
258.Itop安装过程中出现“ITop is read-only iTop is temporarily frozen,please wait… ”系统提示,如何处理?
260.当调整了Nagios配置文件后,如何检验配置是否正确?
261.在Ossim中monit与Nagios服务有什么区别?
262.RRDtool代表什么含义在OSSIM中起到什么作用?
268.添加Nagios监控主机后,打开WebUI界面报错该如何处理?
270.Ntop与SNMP检测网络流量相比有什么优势?Ntop流量采集方式有什么特点?
271.网络中数据包大小的变化的背后隐藏了哪些玄机? Ntop如何统计流量的变化?
272.用Ntop分析网络数据时,需要在交换机上设置端口镜像吗?
274.在Ntop中通过什么功能来识别本地主机在网络中提供的服务?
275.在Ossim系统中多传感器的情况下如何选择Ntop的默认传感器?
276.打开Ntop时出现“Sensor not available”提示如何处理?
279.分布式Sensor中设置多块网卡,在使用Ntop时提示“Sensor not available please select for the above dropdown”该如何处理?
280在NTOP设置Loca Network Traffic Map时出现下面的错误提示如何处理?
282.当蠕虫爆发时,其流量协议以及数据包大小分布上都会发生哪些异常Ntop如何感知这些变化?
283.如何监控OSSIM Server和Sensor的磁盘、网络、系统进程、Postfix?
286.监控系统显示的时间和网络设备里的时间对应不上如何解决?
287.重启netflow 为什么没有service netflow restart这条命令?
288.OSSIM服务器中的Netflow模块,由几个工具组成分别有什么作用?
290.Netflows数据流存储路径在什么配置文件中定义?修改配置后没生效如何处理?
293.在OSSIM分布式系统中Netflow数据存储在Server端,还是Sensor端?
295.上图中“LIST LAST 500 SESSIONS、TOP 10 SRC IPS、TOP 10 DST IPS”等参数表示什么含义?
297.NetFlow数据是以UDP协议传输还是TCP协议?
298.NetFlow采集数据,需要在交换设备上设置端口镜像吗?
299.相对于基于Payload的恶意代码检测方法而言,NetFlow的检测方法有何优势?
300.OSSIM平台通过NetFlow采集的数据存放在什么位置?
304.Netflow数据集能显示到Web UI的仪表盘吗?如何操作?
305.在分布式部署OSSIM环境中多个Sensor之间如何区别来自不同Sensor的Netflow数据?
306.OSSIM平台上利用NetFlow收集路由器流量会对路由器正常工作造成影响吗?
307.OSSIM平台上将NetFlow数据与Google地图结合有什么优点?
310.NetFlow能否检测到SYN flooding***?
311.NetFlow流量采集通讯端口采用TCP还是UDP?
321.OSSIM5.4的Web UI菜单调用源码位于何处?
326.若希望安装一套中文的OSSIM,可以在界面选择语言是选择ChineseTraditional中文(繁体)呢?
327.WebUI汉化后的界面,如使用IE10浏览器应该如何选择编码方式才能显示中文?
332.在WebUI操作中如果出现上传文件超过500KB,提示需要修改什么文件?
333.如何查看PHP中安装了哪些扩展模块?如何查询PHP版本信息?
334.Windows环境下使用什么工具编辑 php文件?需要注意些什么?
335.SecureCRT远程连接到OSSIM系统直接修改汉化PHP代码,在浏览器显示都是乱码?
345..如何添加菜单?
346.如何添加仪表盘配置项中新增字段?
347.OSSIM系统中的ADODB包有什么作用?其配置文件在什么位置?
348.在OSSIM WebUI仪表盘里,雷达图主要表现手机数据源的传感器收集事件的数量,问题是在这个雷达图中,可以描述多少个不同的Sensor?
349.在下图所示的雷达图中可描述多少个不同的sensor?
350.下图中出现的generating report,please wait…的文字在哪儿修改?
352.如何将Loading Widget修改成中文字符呢?
354.如何修改WebUI仪表盘的名称,如下图红圈内的字符?
355.下图中的Alarm数据每隔300秒刷新一次,如何修改刷新时间?
357.源码中<meta http-equiv="Content-Type" content="text/html:charset=UTF-8">表示什么含义?
360.jquery插件中的/usr/shre/ossim/www/js/geo_autocomplete.js脚本有什么作用?
361.脚本jquery.dynatree.js有什么作用?发生故障会影响WebUI的那些功能?
369.如何测试系统的IOPS(Input/Output Per Second)?
370.当OSSIM服务器产生大量sockets连接时,如何查看全局统计信息?
381.如何利用Apache自带工具ab测试OSSIM 响应速度
391.Ossim是否可以扩展整合ganglia、zabbix等其他流行监控软件数据?
399.若在千兆网络环境中存储30天完整抓包数据,需要多大硬盘空间?
403.如何用tshark工具实现以每秒间隔,统计 IP 地址 192.168.120.78 的封包、字节数量?
406如何嗅探所有40009端口的数据包?如何知道TCP 40009由什么进程在监听?
409.SecureCRT远程连接到OSSIM进行抓包,如何显示从网卡eth0获取的,除了TCP 22端口之外的全部流量?
411.如何利用Traffic Capture功能远程排除网络故障?
412.在使用OSSIM WebUI下的Traffic Capture功能时提示“This traffic capture is empty”如何处理?
413.分布式OSSIM系统中,在分析远程某个网段的数据包时,捕获的pcap文件存储在什么位置?
414.Traffic Capture分析数据包时如何对协议进行过滤?
415.Traffic Capture数据包捕获的时间范围是多少?
417.如何写一条基于端口的流量过滤,如显示目的TCP端口为22的数据包?
如何写一条基于主机(IP)的流量过滤,显示源IP地址为192.168.150.10的数据包?
如何写一条基于主机(IP)的流量过滤,显示IP地址为192.168.150.10的数据包?
如何写一条基于协议和端口的流量过滤,显示来源为UDP或TCP,并且端口号在3000至5500范围内的数据包?
如何写一条过滤规则来显示来源IP地址为10.7.2.12,但目的地不是10.200.0.0/16的数据包?