《開源OSSIM企業運維疑難問題解析》
《Troubleshooting OSSIM Enterprise Network Maintenance》
時光荏苒、日月如梭。如今看到2008年寫的技術文章到現在已經10年了,在此期間每週我都會把工作中遇到的各種技術問題總結下來。寫博客是一種向外界傳遞個人觀點和興趣的一種方式,而興趣是寫作動力源泉,多年來堅持不懈的創作,換來了豐厚的回報。2019年我的全新技術專著即將上市。
圖書簡介:
本書上下冊共22章,歷經兩年時間精心創作而成。該書重點講述了SIEM與網絡安全態勢感知技術、OSSIM部署、系統安裝維護技巧、OSSIM工作原理、傳感器設置、插件處理、事件過濾、可視化報警、OSSIM數據庫、***檢測系統、漏洞掃描評估系統、中間件、日誌採集與關聯分析技術、資產管理、流量監控和高可用管理、OSSIM前端漢化技術、抓包分析與壓力測試等OSSIM平臺相關的疑難雜症處理方法,精選了安全運維人員在安裝、使用、開發過程中會遇到的進千個疑難雜症,進行詳細的解答,本書撰寫形式新穎,採用針對性很強的問答方式並附有直觀性的插圖,閱讀趣味性強,特別適合初中級OSSIM工程師參考學習。
李晨光 作品
入 門 篇 目 錄
Q015 爲什麼在瀏覽器中無法顯示由Google地圖繪製的AlienVault IP信譽數據?
Q018已在OSSIM系統中添加OTX key,爲何儀表盤上沒有顯示?
Q019 將已申請的OTX key,導入OSSIM 系統中,爲何提示連接失敗?
Q023 如何利用OSSIM系統內置的威脅情報識別網絡APT***事件?
Q024. 簡述OpenSOC組成結構及主要功能,OpenSOC和OSSIM之間的區別是什麼?
Q025. Apache Metron是新生代的OpenSOC嗎?部署難度大嗎?
Q032. 如何保證OSSIM Server和Sensor之間發送數據的安全性?
Q035堡壘機的syslog日誌能否轉發至OSSIM統一存儲?
Q038.OSSIM平臺屬於CPU密集型(計算密集型)還是I/O密集型系統?
Q040.OSSIM平臺有幾類系統用戶,分別用來啓動哪些進程或服務?
42.安裝OSSIM Server組件時是否包含了Sensor組件?
50 OSSIM server和sensor角色可以互換嗎?
51.OSSIM是基於Debian Linux開發,能否安裝在其他Linux髮型版上,例如RHAS、CentOS、SuSe Linux?
52 交換機鏡像模式能中利用OSSIM分析多大的流量?如將服務器加裝萬兆網卡,能否分析萬兆流量?
54 Ossim能檢測到DDOS***嗎?能記錄DDos***日誌?
55.Vmware vsphere 對vswitch 設置混雜模式 、Hype V上設置鏡像,跟在物理交換機上做SPAN 三者功效一樣嗎?
59 OSSIM採用什麼語言開發?,若要進行二次開發,需選用何種類型的開發人員?
62 Ossim能用於APT和ShellCode高級***檢測?
70.Ossim在阿里雲的網絡下部署,snort可以抓到整個網絡內的流量嗎?
76爲什麼只能看到OSSIM服務器自身產生的流量,捕獲不到局域網其他機器的流量?
Q084 OSSIM安裝簡單能方便實現可視化數據分析,是否意味着對操作人員的素質要求降低?
Q087終端控制檯上如何區分OSSIM Server還是Sensor?
91 如何查找/var/log/apache2/access.log這個日誌文件正在使用的進程號?
095. OSSIM USM企業版提供了虛擬機鏡像下載,能否安裝在物理服務器中?
100.執行alienvault-update升級後,致使原來的配置被覆蓋,爲什麼呢?
101.執行alienvault-update命令升級之後的緩存文件如何清除?
104.OSSIM 5.X使用Debian Linux 3.2內核,爲什麼不升級到4.0內核呢?
105 Admin登陸WebUI權限過大,實際應用中需要受限,OSSIM如何處理這種場景需求?
107.安裝OSSIM時能識別硬盤但無法識別網卡該如何處理?
Q110.在下列拓撲中,爲何在WebUI頁面中顯示的SensorIP地址會變成路由器的e0口地址?
Q111在物理服務器上安裝OSSIM,爲什麼寫入grup數據,會遇到找不到sda設備的情況?
Q112.OSSIM初裝是僅配了單網卡,後期添加雙網卡用於分析鏡像流量該如何操作?
Q113安裝OSSIM需要選用多核還是單核CPU?CPU核心數量是越多越好嗎?
Q116.在IBM服務器x3400 M3上安裝OSSIM,現在新加一塊2T的硬盤在RAID陣列中爲什麼無法識別?
Q120.虛擬機下安裝OSSIM結束後,系統重啓,進入到下面圖示的界停滯如何處理?
Q122.當OSSIM安裝完成之後如何設置WebUI初始化設置嚮導?
Q125. 在OSSIM配置嚮導中出現無法找到網段內的服務器報錯該如何處理?
Q126.若實現不重裝系統再次調出WebUI初始化設置嚮導,如何操作?
Q127.在Hyper-V 3.0中安裝OSIM5.4 時到Suricata配置過程中卡住瞭如何處理?
Q128.混合方式安裝OSSIM 5.x發現Sensor狀態爲Down,爲什麼?
Q130.Dell PowerEdge R420安裝OSSIM5的安裝技巧
Q131. 爲什麼在虛擬機系統中安裝OSSIM,當啓動系統時出現rng-tools Plymouth 啓動報錯failed?
Q134. OSSIM系統中IPMI服務有什麼作用?爲什麼虛擬機啓動OSSIM時會遇到IPMI服務啓動失敗的問題?
Q135.若要混合式安裝OSSIM,在下圖中,需選擇那一項?
Q138.通過虛擬機安裝ossim時,網卡初始設置爲NAT模式,後來改成橋接模式後導致網絡不通爲什麼?
Q140.剛裝好的系統爲什麼OSSIM收集到的都是本地日誌?
Q142.如何在Ossim 的 rescue mode 模式下操作?
Q143.ossim安裝在物理聯想服務器上,爲什麼寫grup時總提示找不到sda?
Q145.Vware虛擬機環境中,如何爲OSSIM安裝Vmware Tools增強工具?
Q148.Vmware ESXi虛擬機環境中安裝OSSIM應注意哪些內容?
149.在宿主機爲CentOS系統中安裝Vmware workstation 12虛擬機後,再安裝OSSIM爲什麼不適合?
157.OSSIM中的update(更新)和upgrade(升級)有何區別?
160.通過瀏覽器訪問OSSIM Server時輸入用戶,密碼後提示口令錯誤如何處理?
161.若在ossim服務器上啓用SELinux服務後果如何?爲什麼?
163.通過OSSIM v4.3能直接升級到OSSIM v5.4嗎?
165.OSSIM系統中server.log日誌文件有何作用?如遇此文件膨脹到10+GB該如何處理?
167.OSSIM升級過程中,指令upgrade和update有什麼區別?
169.開源OSSIM系統所使用的文件系統有什麼特點?有什麼侷限性?
171.爲什麼在OSSIM3.1系統上輸入ossim-update升級後OCS模塊消失?
172.在OSSIM消息中心爲什麼總顯示internet連接中斷?
173.ossim系統裏的軟件包中包含“amd64”字樣,表示什麼含義?
176.Ossim系統當使用update升級後的deb文件位於何處?
183.系統反應遲鈍,WebUI刷新數據很慢,此時SSH連接很卡,如何排查?
184如何記錄WebUI中SQL查詢日誌信息的情況?這些內容就在何處?
187.服務器狀態爲DOWN,是什麼原因導致,故障日誌記錄在何處?
198如何用xshell、secureCrt遠程登錄OSSIM
200.當使用apt-get install 安裝軟件過程中強行中斷安裝,下次再執行安裝腳本是報告數據庫錯誤,如何解決?
201.通過apt-get install 安裝程序時遇到“Could not get lock /var/lib/dpkg/lock”提示,這是由於什麼原因造成?如何解決?
202.Ossim系統中/var/run目錄下的pid文件有何作用?
207.如何查看當前登錄ossim系統的用戶session ID?
208首次安裝OSSIM,登陸WebUI後提示“Operation was not completed due to a database error”一般是什麼原因?
211 當定期執行腳本當使用”crontab –e”編輯時,無法退出編輯環境如何處理?
213.如何查詢/var/目錄下2級子目錄的大小,並且按升序(數據從小到大)排列?
214.在OSSIM Server中將單個主機名映射到多個IP可以嗎?
216.Debian(Jessie8)GUI(GNOME)允許Root登錄/自動登錄並安裝X-window環境?
221.刪除OSSIM系統裏的文件時,磁盤空間不釋放如何處理?
227.OSSIM4.5之前的老版本出現WinScp無法登錄OSSIM系統改如何處理?
231.在OSSIM安裝最後階段爲什麼停在那裏不動?系統裏發生了什麼情況?
241.在OSSIM WebUI login.php界面中,在登錄驗證前對用戶名和密碼如何進行加密的?
242.OSSIM登錄界面中如何實現用戶session登錄驗證的安全?
244.Ossim Web站點根目錄位置由什麼配置文件定義路徑在何處?
245.OSSIM系統每次啓動爲什麼顯示”apache2 [warn] NameVirtualHost *:80 has no VirtualHosts“?
246.Apache出現“Could not reliably determine the server’s fully qualified domain name”提示如何處理?
247./usr/lib/apache2/modules/下的模塊mod_wsgi.so有什麼作用?
249.Ossim中PCIDSS和ISO 27001代表什麼含義?
253.如何在Server/sensor中發現隱藏的進程或端口?
263如果分佈式OSSIM系統的Sensor出現問題將影響那些模塊的工作?
264.對於高度複雜的OSSIM平臺而言採用了什麼技術來實現各個子模塊之間消息的高速傳輸?
266.配置文件/etc/ossim/ossim_setup.conf記錄了哪些內容?有什麼作用?
269.OSSIM中的檢測器(Detector)包含哪些內容?
272.OSSIM中的SPADE(統計包異常檢測引擎)起到什麼作用?
273.OSSIM 代理(Agent)採用什麼語言開發,作用是什麼?
276.修改了OSSIM Server配置文件config.xml後如何重新啓動引擎?
278.OSSIM USM和Sensor安裝模式他們安裝包有哪些區別?
279.簡述ossim Server和Sensor通訊端口及作用。
280.Ossim系統是把收集來的數據都統一存儲到數據庫裏嗎?
283.如何把文件拷貝到ossim平臺上?如何把ossim裏的文件拷出?
290. 當Ossim系統安裝後,如何知道安裝了哪些Ossim包或alienvault包呢?
292.Ossim Server啓動的關鍵服務有哪些?如何啓動?
298.Ansible默認使用什麼協議管理傳感器?這樣設計的優點是什麼?
299.SSH和Ansible服務在OSSIM中起到什麼作用?
302傳感器的作用是什麼?其功能範圍包括哪些內容?如何查看傳感器狀態?
303.當傳感器鼓掌時狀態會打叉,此時能否查詢傳感器上加載插件的狀態嗎?
305.如何實現將Docker容器進行OSSIM傳感器,以實現將容器放在任何客戶端系統中?
309.爲了在OSSIM的Web中顯示谷歌地圖,需要在Ossim服務器上連接***,還是客戶機上連接***?
310如何讓ansible來獲取遠程主機運行時間,在線用戶平均負載信息?
312如何添加、刪除sensor?爲何有時候會刪除失敗的情況?
314.OSSIM採用何種技術解決各種網絡安全設備日誌格式及描述內容不統一的問題?
319.在Apache插件中如何定義Apache訪問日誌的正則?舉例說明插件匹配過程?
321.下圖中所示的“Data Sources”列出的數據源能否自己添加?如何添加?添加的數據源如何看到效果?
322.如何將plugins中location定義的文件寫入兩個文件中?
327.OSSIM採集插件分爲幾大類,採集插件通過什麼協議採集數據?
328.插件進程ossim-agent被手動停止後之後爲何會自己重啓?
329.在OSSIM 傳感器中SNORT和suricata插件能同時啓用嗎?
330.SIEM控制檯事件查看視圖有幾種觀察模式?各有什麼區別?
332.在SIEM控制檯事件的表單中顯示“N/A”表示什麼意思?
335.OSSIM控制檯中出現“AV-FREE-FEED”開頭的報警,表示什麼含義?
340.SIEM控制檯下的這個事件數量記錄在什麼數據庫的什麼表中?
344.在SIEM日誌顯示中常出現0.0.0.0的地址代表什麼含義?
345使用OSSIM時,在SIEM控制檯發現一些事件的源、目的地址爲0.0.0.0
346.用OSSIM監控多個VLAN的服務器時爲什麼不能顯示FQDN名?
355.OSSIM中將報警alarm事件幾類,分別表示什麼含義?
360.如何通過Metasploit工具觸發Alarm報警?
361.如何通過Ossim+Metasploit發掘Windows XP的Ms08-067漏洞?
368.OSSIM後臺數據庫能否可切換爲Oracle或MongoDB嗎?
369.採用SecureCRT訪問數據庫出現亂碼是什麼原因?
370採用phpmyadmin訪問數據庫時爲什麼會出現亂碼?
371.在下圖所示中,開機時Mysql數據庫啓動失敗failed由什麼原因造成?
372.如何在OSSIM服務器上訪問數據庫?常用命令包含哪些內容?
374.OSSIM中的SQLite數據庫有什麼作用?如何訪問?
377.OSSIM5中運行多少Mysql數據庫實例?各有什麼作用?
382.當Ossim 4.x系統數據庫發生損壞如何重建數據庫
389.MySQL出現""Access denied for user 'roo'@'localhost' (using password:YES)提示如何處理?
392.Ossim 中的數據庫能否從server 中剝離出來運行在獨立的服務器上?
393.Ossim數據庫裏event數據表和acid_event表中的數據有什麼區別?
394.爲什麼使用“mysql –u root –p pass”命令進入系統後可以使用grant授權而使用ossim-db進入數據庫,授權無效呢?
395. Ossim 系統中出現“MySQL :ERROR 1040:Too many connections”情況如何處理?
399在調試MySQL時出現” access denied for user 'root'@'localhost' using password yes”報錯該如何處理?
400.在使用ossim-db命令時出現mysql“Access denied for user 'root'@'localhost'”的問題如何解決呢?
404.Mysql進程佔用CPU過高的時候,該從哪些方面下手進行優化?
409.OSSIM後臺數據庫MySQL負載高居不下如何處理?
410.如何用MySQL Workbench分析MySQL數據庫?
411.OSSIM系統大量使用XML技術來存儲數據,XML有何優勢?
413.如何對原有表進行增、刪、改操作?
416.如果負載過大在OSSIM 系統中出現“MySQL :ERROR 1040:Too many connections”情況如何處理?
424.開源OSSIM系統中WebUI中Active Event Window(days)表示什麼含義,該值設定爲多大合適?
429.如何在OSSIM數據庫中查詢OSSIM系統配置路徑、端口、式樣及用戶配置信息?
430.如何在OSSIM數據庫中查詢查詢自定義報表類型及調用PHP文件路徑?
431.如何在OSSIM數據庫中查詢儀表盤類型參數定義,引用圖片位置?
436.查詢從事件中提取數據,包括data_payload等
437.如何統計acid_event表中sudo事件報警數量?
提高篇
Q001.Snort檢測規則存儲在何處?如果一旦觸發規則snort將會產生幾種動作類型?
Q002.Snort2.9版本中主要有哪些預處理插件,各有什麼功能?
Q006.當snort檢測到匹配的數據包時,有幾種處理方式?
Q008.Snort如何檢測Chargen/echo DOS***?
Q009.如何應用snort的Packet logger模式將捕獲到的信息,記錄到磁盤某目錄下?
Q014如何將MySQL中的snort報警通過Web方式展示?
Q015.OSSIM 的PHP IDS組件採用什麼方法來接收和分析數據?
Q017.請解釋下圖中Snort規則中msg、content、threshold、reference等選項的含義。
Q018.OSSIM中如何管理引用類型(REFERENCE type)?
Q019.外部引用REFERENCE在OSSIM安全事件管理中起到什麼作用?
Q020.OSSIM5中的Suricata支持PF_Ring嗎?
Q026.sid-msg.map和gen-msg.map有什麼區別?
Q027.OSSIM4.12檢測器中snort狀態是DOWN,而suricata是UP這種狀態正常嗎?它們能同時爲UP狀態嗎?
Q028.在Snort的配置文件sid-msg.map有何作用?
Q030如何找出/var/log/suricata目錄下24小時內訪問過的日誌並且找到後立即刪除?
Q031.在/etc/snort/rules/local.rules文件添加了條規則,爲何不生效呢?
Q037.Suricata由幾個線程和模塊組成?OSSIM採用了何種模塊輸出模式?
Q040.當suricata檢測到可以數據包時,會以二進制格式將其存儲到文件,文件名叫什麼?通過什麼程序讀取它?
Q041.經過多個HTTP代理服務器後的IP將會隱藏(記錄代理服務器的IP),suricata通過什麼參數來記錄真實客戶機的IP?
Q042.讓suricata記錄所有http日誌該如何修改配置文件?
Q045.如何將suricata的告警信息輸出到syslog文件中?
Q046.數據包在suricata檢測引擎(detect-engine)中是如何匹配的?
Q048.在一臺8核的OSSIM服務器上如何改善Suricata處理性能?
Q049.在高速複雜網絡環境中如何提高Suricata規則檢測時的數據分片傳輸效率?
Q050.在suricata的stream引擎中對數據包重組需要佔用CPU資源,爲了避免無限制的重組數據包,應該修改什麼參數對其進行限制?
Q051. 能在OSSIM上收到suricata警報,但不能在WebUI上收到爲什麼?
Q052.系統有兩塊網卡,一塊用作admin管理接口,一塊用作嗅探網卡,這個配置保存在什麼配置文件中?
Q053.suricata的日誌文件suricata.log保存在什麼路徑下?該路徑由什麼配置文件來定義?
Q054.OSSIM下Suricata 5工作模式是AF_PACKET還是PF_RING?
Q055.OSSIM下的suricata工作在什麼抓包方式?
Q057.如何更新AlienVault NIDS規則和簽名?
Q064..在Ossim中Suricata與snort有何區別?
Q065..如何啓用新的ET(Emergin Threats)規則?
Q068.將iptables和***檢測軟件的集成是如何實現?
Q071.OSSEC Agent主要由哪些進程組成各有什麼作用?
Q072.簡述Ossec server/agent工作流程及其關鍵進程的作用。
Q072.如何實現通過ODBC方式遠程訪問OSSIM Server的Mysql數據庫?
Q075.OSSEC Server重新安裝之後 Agent需要重新安裝嗎?
Q077.OSSIM 中HIDS控制狀態裏有Client-syslog、Agentless、Debug三項處於沒運行和停用狀態,這樣正常嗎?
Q079.Ossec Server端通過什麼技術將策略文件分發到agent?
Q080.由於磁盤空間滿,造成OSSEC進程停止故障分析案例。
Q081.畫出分佈式環境下OSSEC和Agent通訊的數據流圖
Q082.一條高風險警報與事件ID=30042,它表示什麼含義?
Q084.如何在Debian Linux上安裝OSSIM代理?
Q085.Linux下安裝ossec agent報錯如何解決?
Q089.OSSIM的資產掃描模塊的界面中怎麼沒有nmap掃描的按鈕?
Q090.如何在Windows 8環境下安裝OSSEC Agent?
Q091.負責控制OSSEC Agent的配置文件位於何處?
Q092.出現OSSEC Agent無法連接服務器該如何處理?
Q093.Windows 2012 如何安裝Ossec Agent?
Q094.在windows 7/8/2012 上安裝ossec agent需要客戶端上關閉防火牆嗎?
Q097.WebUI中OSSEC調用規則的後臺文件位於何處?
Q098.如何監聽ossec-server和agent之間的數據通訊?
Q099.安裝Ossec Agent時,所生成的EXE二進制文件,是用什麼代碼寫的?
Q100。Windows平臺上OSSEC Agent已安裝,但在OSSIM Server中沒有接收到日誌怎麼解決?
Q102.如何讀懂/var/log/suricata/目錄下JSon文件內容?
106.當OSSIM利用OpenVas掃描到漏洞之後,能否自動修復漏洞?
109.CVE、CNCVE 、NVD、OSVDB、BugTraq 、SecurityFocus表示什麼含義?
113.OpenVAs腳本採用什麼語言編寫?請描述腳本加載過程?
117.OpenVas的掃描器openvas-scanner調用的私鑰證書文件位於何處?
118.OpenVas 服務器端有幾個主要模塊,它們之間工作流程如何?
119.OpenVAs掃描器出現“Failed”報錯提示表示什麼含義?
123.更新了威脅數據庫後,爲什麼在WebUI中查詢不到最新日期的威脅庫數據?
124.採用Nessus 與openvas掃描效果有什麼區別?
125.OSSIM使用OpenVAS掃描系統,可爲何還保留Nessus?
126.使用alienvault-update命令對系統升級之後出現Openvas無法正常工作怎麼解決?
128.漏洞掃描時出現“Failed to authenticate”驗證失敗問題如何解決?
133.用alienvault usm能檢測出heartbleed漏洞嗎?
134.OpenVAS輸出報告中用哪幾種顏色對漏洞進行分類,各表示什麼含義?
第十四章 Memcache、RabbitMQ與Redis協同工作
137.Memcached和memcache分別表示什麼含義?
140.OSSIM中memcached緩存服務是多線程還是單線程?
149.OSSIM中的RabbitMQ如何開啓Web管理後臺?
150.OSSIM爲何要引入Redis內存數據庫?採用key/value存儲?
151.OSSIM Server使用RabbitMQ有何優勢?
163.OSSIM的基於日誌的報警如何實現?OSSIM中的syslog和OSSEC上傳的日誌文件之間有什麼關聯?
171.如何將WebUI菜單中的Raw Logger替換爲ELK?
174.如何通過Snare把Windows事件轉發至Linux日誌採集服務器?
175.如何用Syslog-Slogger測試syslog服務器?
183.將Windows日誌轉換爲syslog日誌的工具有哪些?
187.如何將Windows日誌轉換syslog?有哪些工具可以實現?
188.如何利用evtsys工具採集Windows日誌並轉發到syslog服務器?
190.加密的日誌能由Sensor收集並由Server分析嗎?
191.如何將Squid的訪問日誌 access.log 轉發到OSSIM?
192.OSSIM接收日誌時纔有的是syslog協議還是rsyslog協議?它們主要區別是什麼?
193.syslog和rsyslog協議能在一臺機器上同時使用?
194.如何用Rsyslog將日誌發送到不同的日誌收集器中?
196.怎麼讓Linux客戶機通過syslog 發送日誌到Ossim Server?
199.OSSIM USM系統中如何從WebUI界面中導出日誌?
215.Risk & Priority & Reliability三種在關聯分析時有何關聯?
216.在儀表盤中Risk顯示的Risk Metric的C、A值表示什麼含義?
217.網絡評估在給主機風險評估的Risk的C、A值會發生哪些變化?這種變化反映出什麼問題?
220.如何映射同一***模式下snort和ossec產生的重複報警?
224.SIEM控制檯是如何將不同數據源的事件進行聚合處理的?
226.OSSIM關聯分析引擎分爲幾種類型?可靠性和風險值在裏面起到了什麼作用?
229.爲什麼說可信度Reliability的值是動態變化的?
230.內網一臺郵件服務器資產值設定爲5,Priority和Reliability的默認值設置爲3,試問這臺服務器Risk值爲多少?
232.能否將企業版 OSSIM自帶的規則導入到開原版中使用?
233.Ossim 的關聯分析引擎是否能處理第三方安全產品的日誌?
237.如何WebUI中查看OSSIM操作系統類型和安裝軟件分類?
240.資產掃描有6個選項 代表了不同級別,級別越高,掃描速度越快,每種選項表示什麼含義?
242.資產掃描時爲什麼會出現掃描的操作系統和實際操作系統版本不一致的情況?
243.爲什麼我掃描192.168.1.0/24網段內的資產可結果包含10.0.0.0/24網段的機器呢?
247 若要實現總部可以看到所有分公司的資產和事件,分公司只能看到自己的資產和事件,怎麼操作?
255.如何將OSSIM產生的告警轉發到iTop的CMDB?
258.Itop安裝過程中出現“ITop is read-only iTop is temporarily frozen,please wait… ”系統提示,如何處理?
260.當調整了Nagios配置文件後,如何檢驗配置是否正確?
261.在Ossim中monit與Nagios服務有什麼區別?
262.RRDtool代表什麼含義在OSSIM中起到什麼作用?
268.添加Nagios監控主機後,打開WebUI界面報錯該如何處理?
270.Ntop與SNMP檢測網絡流量相比有什麼優勢?Ntop流量採集方式有什麼特點?
271.網絡中數據包大小的變化的背後隱藏了哪些玄機? Ntop如何統計流量的變化?
272.用Ntop分析網絡數據時,需要在交換機上設置端口鏡像嗎?
274.在Ntop中通過什麼功能來識別本地主機在網絡中提供的服務?
275.在Ossim系統中多傳感器的情況下如何選擇Ntop的默認傳感器?
276.打開Ntop時出現“Sensor not available”提示如何處理?
279.分佈式Sensor中設置多塊網卡,在使用Ntop時提示“Sensor not available please select for the above dropdown”該如何處理?
280在NTOP設置Loca Network Traffic Map時出現下面的錯誤提示如何處理?
282.當蠕蟲爆發時,其流量協議以及數據包大小分佈上都會發生哪些異常Ntop如何感知這些變化?
283.如何監控OSSIM Server和Sensor的磁盤、網絡、系統進程、Postfix?
286.監控系統顯示的時間和網絡設備裏的時間對應不上如何解決?
287.重啓netflow 爲什麼沒有service netflow restart這條命令?
288.OSSIM服務器中的Netflow模塊,由幾個工具組成分別有什麼作用?
290.Netflows數據流存儲路徑在什麼配置文件中定義?修改配置後沒生效如何處理?
293.在OSSIM分佈式系統中Netflow數據存儲在Server端,還是Sensor端?
295.上圖中“LIST LAST 500 SESSIONS、TOP 10 SRC IPS、TOP 10 DST IPS”等參數表示什麼含義?
297.NetFlow數據是以UDP協議傳輸還是TCP協議?
298.NetFlow採集數據,需要在交換設備上設置端口鏡像嗎?
299.相對於基於Payload的惡意代碼檢測方法而言,NetFlow的檢測方法有何優勢?
300.OSSIM平臺通過NetFlow採集的數據存放在什麼位置?
304.Netflow數據集能顯示到Web UI的儀表盤嗎?如何操作?
305.在分佈式部署OSSIM環境中多個Sensor之間如何區別來自不同Sensor的Netflow數據?
306.OSSIM平臺上利用NetFlow收集路由器流量會對路由器正常工作造成影響嗎?
307.OSSIM平臺上將NetFlow數據與Google地圖結合有什麼優點?
310.NetFlow能否檢測到SYN flooding***?
311.NetFlow流量採集通訊端口採用TCP還是UDP?
321.OSSIM5.4的Web UI菜單調用源碼位於何處?
326.若希望安裝一套中文的OSSIM,可以在界面選擇語言是選擇ChineseTraditional中文(繁體)呢?
327.WebUI漢化後的界面,如使用IE10瀏覽器應該如何選擇編碼方式才能顯示中文?
332.在WebUI操作中如果出現上傳文件超過500KB,提示需要修改什麼文件?
333.如何查看PHP中安裝了哪些擴展模塊?如何查詢PHP版本信息?
334.Windows環境下使用什麼工具編輯 php文件?需要注意些什麼?
335.SecureCRT遠程連接到OSSIM系統直接修改漢化PHP代碼,在瀏覽器顯示都是亂碼?
345..如何添加菜單?
346.如何添加儀表盤配置項中新增字段?
347.OSSIM系統中的ADODB包有什麼作用?其配置文件在什麼位置?
348.在OSSIM WebUI儀表盤裏,雷達圖主要表現手機數據源的傳感器收集事件的數量,問題是在這個雷達圖中,可以描述多少個不同的Sensor?
349.在下圖所示的雷達圖中可描述多少個不同的sensor?
350.下圖中出現的generating report,please wait…的文字在哪兒修改?
352.如何將Loading Widget修改成中文字符呢?
354.如何修改WebUI儀表盤的名稱,如下圖紅圈內的字符?
355.下圖中的Alarm數據每隔300秒刷新一次,如何修改刷新時間?
357.源碼中<meta http-equiv="Content-Type" content="text/html:charset=UTF-8">表示什麼含義?
360.jquery插件中的/usr/shre/ossim/www/js/geo_autocomplete.js腳本有什麼作用?
361.腳本jquery.dynatree.js有什麼作用?發生故障會影響WebUI的那些功能?
369.如何測試系統的IOPS(Input/Output Per Second)?
370.當OSSIM服務器產生大量sockets連接時,如何查看全局統計信息?
381.如何利用Apache自帶工具ab測試OSSIM 響應速度
391.Ossim是否可以擴展整合ganglia、zabbix等其他流行監控軟件數據?
399.若在千兆網絡環境中存儲30天完整抓包數據,需要多大硬盤空間?
403.如何用tshark工具實現以每秒間隔,統計 IP 地址 192.168.120.78 的封包、字節數量?
406如何嗅探所有40009端口的數據包?如何知道TCP 40009由什麼進程在監聽?
409.SecureCRT遠程連接到OSSIM進行抓包,如何顯示從網卡eth0獲取的,除了TCP 22端口之外的全部流量?
411.如何利用Traffic Capture功能遠程排除網絡故障?
412.在使用OSSIM WebUI下的Traffic Capture功能時提示“This traffic capture is empty”如何處理?
413.分佈式OSSIM系統中,在分析遠程某個網段的數據包時,捕獲的pcap文件存儲在什麼位置?
414.Traffic Capture分析數據包時如何對協議進行過濾?
415.Traffic Capture數據包捕獲的時間範圍是多少?
417.如何寫一條基於端口的流量過濾,如顯示目的TCP端口爲22的數據包?
如何寫一條基於主機(IP)的流量過濾,顯示源IP地址爲192.168.150.10的數據包?
如何寫一條基於主機(IP)的流量過濾,顯示IP地址爲192.168.150.10的數據包?
如何寫一條基於協議和端口的流量過濾,顯示來源爲UDP或TCP,並且端口號在3000至5500範圍內的數據包?
如何寫一條過濾規則來顯示來源IP地址爲10.7.2.12,但目的地不是10.200.0.0/16的數據包?