ossim中網絡卡設定注意事項
《unix/linux網路日誌分析與流量監控》一書中告訴大家如何通過alienvault-center 方式修改,另外有關ossim中設定網絡卡過程中還需要注意3個問題:
1)為什麼手工修改ossim主機位址,eth0網絡卡ip後其它服務啟動錯誤?
當ossim server
安裝完畢,通過命令列或配置檔案修改命令的方式是錯誤的,
因為只修改網絡卡的
ip位址,但其它程序依然在以前的位址上監聽,所以系統就會報錯。
例如,在安裝伺服器是配置ip為
10.0.2.20
,安裝完畢發現
ip不合適,又手工用
ipconfig
修改了eth0 ip
位址,但是用是發現出現,
error!unable to launch remote network scan: can't connect with frameworkd (10.0.2.20:40003)報錯
,就屬於這種原因。
2).混雜模式的網絡卡需要設定靜態ip位址嗎?
首先需要知道網絡卡處於混雜模式(
promiscuous mode
)代表什麼含義。混雜模式(
promiscuous mode
)是指一台機器能夠接收所有經過它的資料流,而不論其目的位址是否是它,但到了交換機的時代,就出現了新的問題,當拿到一台交換機,插上網線的這個埠,預設情況下並不能收集到所有的資料。這時
,就算將網絡卡設定為混雜模式也無法監聽到所有資料報(接到的只是給本身
ip的資料和廣播資料)。
那麼在交換網路中實現資料監聽的方式之一是設定交換機的
span。再
回到我們的問題上來,給混雜模式的網絡卡設定
ip就如同畫蛇添足。
檢視網絡卡是否支援混雜
(promisc)
模式 # ifconfig eth0
設定支援
promisc
# ifconfig eth0 promisc
正常工作的網絡卡的正常工作模式為
multicast
,混雜模式為:
promisc multicast
取消網絡卡混扎模式
#ifconfig eth0 -promisc
3).完成ossim系統安裝部署試驗,最少需要幾塊網絡卡?
對於這個問題我們需要有上面解答的基礎,在一塊網絡卡的情況下,而且是流量不大(小於
50%標準容量),完全可以模擬所有
ossim
試驗,這款網絡卡指定
ip是為了便於管理和收集日誌,設定為混雜模式是為了監聽網路資料報流量。在條件允許的情況下建議管理口和監聽口分別由不同的網絡卡擔任。
OSSIM安裝注意事項
1.如何選擇ossim版本 siem 安全資訊和事件管理 是軟體和服務的組合,是安全資訊管理和安全事件管理的融合體。siem可以管理企業it資源產生的安全資訊 包括日誌 告警等 進行統一的實時監控誤操作行為進行監控 審計分析 調查取證 出具各種報表報告。ossim就是開源版的siem,對大型企業有商...
gitignore設定注意事項
有的時候,有必要將某個檔案 資料夾放在git目錄下,但又不想提交或者關心他們有git版本有什麼區別時,在git工作區的根目錄下建立乙個特殊的.gitignore檔案,然後把要忽略的檔名填進去,git就會自動忽略這些檔案。想看下面配置 1.在專案根目錄下建立檔案.gitignore,不是在.git資料...
key buffer size設定注意事項
1.單個key buffer的大小不能超過4g,如果設定超過4g,就有可能遇到下面3個bug 2.建議key buffer設定為物理記憶體的1 4 針對myisam引擎 甚至是物理記憶體的30 40 如果key buffer size設定太大,系統就會頻繁的換頁,降低系統效能。因為mysql使用作業...