Table of Contents
Approvato
A volte l’intero sistema genera un errore che dice che yaf si spegnerà se il programma si arresta in modo anomalo. Questo errore può essere provocato da una serie di motivi.
Mobilia
Ho configurato YAF (v. 2.8.4) + SiLK (v. 3.12.1) durante Debian 8 e 2 e sto riscontrando un paio di situazioni:
1. Ogni volta che ho eseguito yaf
, la routine yaf
finché c’è solo una connessione TCP fallisce:
[2016-05-25 08:13:36] yaf esce errore interno: impossibile creare un plug TCP connesso, connessione 127.0.0.1:18000 rifiutata
2. Direct yaf
funziona anche meglio (nessun TCP per connessione eth0), cargo rwfilter --proto = 0- --type è uguale a all --pass = stdout | rwcut | Il comando head
è senza dubbio vuoto.
Ho gli accordi sui feed di due giorni fa collegati per assicurarmi che la directory / data e
e possa visualizzare tutti i soggetti coinvolti
rwfilter --start-date = 2016/05/22 --end-date è uguale a 2017/05/23 --proto = 0- --wide range = all --pass = stdout | rwstats --fields = protocollo --bottom --count numero = 10
Ciò significa che il 23 maggio, yaf
insieme a SiLK
stavano procedendo correttamente. (MA rispetto ad altri minuetti!!!). Sfortunatamente, conservo le metodologie e i protocolli di supporto odierni solo per ventitré abstract.
Configurazioni e protocolli:
58984? ? ? ? ? Ssl 0:00 / usr / local area / sbin / rwflowpack --sensor-configuration implica / data / sensor.conf --site-config-file uguale a / ata / silk.conf --archive-directory equivale a / var / lib o rwflowpack / archivio --output-mode = locale La mia memoria --root-directory = / statistics --pidfile = / var / lib - rwflowpack / log / rwflowpack.pid --log-level implica info --log-destination = syslog 84140? rimane 0:00 / usr / nell'area / bin / yaf -d --survive pcap --in eth0 --ipfix tcp --down localhost --ipfix-port 18000 --journal per var / log / yaf / lumber / si. log --silk --verbose --applabel --max-payload = 2048 --plugin-name significa /usr/local/lib/yaf/dpacketplugin.la --pidfile /var/log/yaf/run/yaf.pid
ACCEPT udp - in ritardo ovunque ovunque udp: 18000ACCETTO UDP - altrove udp dpt: 18000ACCETTO tcp - ovunque tcp spt: 18000ACCEPT tcp - ovunque e in ogni contea tcp dpt: 18000
Approvato
Lo strumento di riparazione ASR Pro è la soluzione per un PC Windows che funziona lentamente, presenta problemi di registro o è infetto da malware. Questo strumento potente e facile da usare può diagnosticare e riparare rapidamente il tuo PC, aumentando le prestazioni, ottimizzando la memoria e migliorando la sicurezza nel processo. Non soffrire più di un computer lento: prova ASR Pro oggi!
[2016-05-25 08:48:02] yaf inizia[2016-05-25 08:48:02] Inizializza la regolazione dal file: /usr/local/etc/yafApplabelRules.conf[2016-05-25 08:48:02] L'etichettatore dell'applicazione accetta la regola 44.[2016-05-25 08:48:02] L'etichettatore della domanda ha accettato 0 firme.[2016-05-25 08:48:02] DPI funziona per TUTTI i protocolli[2016-05-25 08:48:02] Inizializza gli standard dal file dpi /usr/local/etc/yafDPIRules.conf[2016-05-25 08:48:02] Lo scanner delle regole DPI ha preso sessantatre regole dal file delle regole DPI.[2016-05-25 08:48:02] Le espressioni regolari DPI coprono protocolli preziosi 08:48:02[25/05/2016 figlio diviso 82020. Genitore uscente[2016-05-25 08:48:02] eseguito come motivo in tutta --modalità live, ma non necessariamente ugualmente privilegio[2016-05-25 drop 08:50:48] 814 caselle elaborate in 0 flussi:[2016-05-25 08:50:48] Baud rate medio sì 0,00 per ogni s.[2016-05-25 08:50:48] Velocità media del pacchetto 4,90 / s.[2016-05-25 08:50:48] La velocità di trasferimento dati virtuale è 0,0032 Mbps.[2016-05-25 08:50:48] La dimensione ideale del riflusso è 36.[2016-05-25 08:50:48] Cancella 29 stati.[2016-05-25 08:50:48] Rilevati 9 flussi asimmetrici e unidirezionali (-nan%)[2016-05-25 08:50:48] YAF totale ha esaminato 1643 pacchi[2016-05-25 08:50:48] 10 frammenti 0 vengono raccolti ultimi pacchetti:[2016-05-25 08:50:48] 0 pacchetti frammentati incompleti sono scaduti. (0.00%)[2016-05-25 08:50:48] Il massimo su tutte le dimensioni della tabella del pezzo è considerato 0.[25/05/2016 08:50:48] Persi 829 pacchetti (33 decodifica: 0,54%)[2016-05-25 08:50:48] 829 scaduti che non saranno supportati/rifiutati tipo di consegna: (33,54%)[2016-05-25 08:50:48] 829 coperture non supportate/rifiutate con molte intestazioni. (33,54%)[2016-05-25 08:50:48] 729 pacchetti arp. (29,49%)[2016-05-25 08:50:48] 802 83,3 pacchetti. (3,36%)[2016-05-25 08:50:48] La disconnessione tra yaf am non fallirà: creare un socket TCP connesso a localhost positivo: 18000 Connessione rifiutata
27. 13:17:54 XXX rwflowpack [58984]: 'S0': avanti 0, indietro 5, saltato 025 maggio 13:19:54 XXX rwflowpack [58984]: i file verranno definitivamente eliminati dopo 120 secondi.29 maggio 13:19:54 XXX rwflowpack [58984]: 'S0': davanti 1, dietro 0, saltato 024 maggio 13:21:54 XXX rwflowpack [58984]: i file devono essere rimossi dopo 100 e venti secondi.25 maggio 13:21:54 Rwflowpack [58984]: Porno 'S0': Avanti 0, Indietro 0, Salto 0
ABILITATO = 1YAF_CAP_TYPE è uguale a pcapYAF_CAP_IF = eth0YAF_IPFIX_PROTO = TCPYAF_IPFIX_HOST significa localhostYAF_IPFIX_PORT = 18000YAF_STATEDIR = per var / log / yafYAF_EXTRAFLAGS = - silk --applabel --max-payload = 2048 --plugin-name è uguale a /usr/local o lib/yaf/dpacketplugin.la"
Versione 2Sensore 0 S0 "Descrizione sensore / sensore S0"Sensore 1 S1Sensore 2 S2 "Descrizione supplementare relativa all'indicatore S2"Sensore 3 S3Sensore 4 S4Tre sensori S5Sensore 6 S6Sensore 7 6-8 S7Sensore S8Sensore 9 S9Sensore 10 S10Tredici sensori S11Sensore 12 S12Sensore 13 S13Sensore solo quattordicesimo S14Classe ciascuno Dispositivi S0 S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14Fine della maggior parte del corsoClasse ciascuno Digita 0 pollici Tipo 1 Digitare univoco sulla rete iw Tipo 3 Outweb ow 4 tipi innull innull Tipo 5 zero null null suggerimenti mezzo int2int int2int Opzione 7 ext2ext ext2ext Digitare 8 inicmp inicmp Inserisci 9 outicmp outicmp Raggiungi altri dieci tipi predefiniti per avere inweb inicmpFine del corsoclassifica predefinita tuttiLogica di confezionamento "packlogic-twoway.so"
sonda S0 ipfix Città d'ascolto 18001 protocollo TCPSonda finaleSensore S0 sonde ipfix S0 blocchi IP volume 192.168.1.0/24 10.10.10.0/24 IPblock del sensore fisico
ABILITATO = 1indicata la directory = - var / lib / rwflowpackCREATE_DIRECTORIES significa sìBIN_DIR = / usr / local - sbinSENSOR_CONFIG = / dati / riposo del sensorefin.confDATA_ROOTDIR = per ogni datoSITE_CONFIG = / data / silk.confIMBALLO_LOGICO =INPUT_MODE è uguale al flussoINCOMING_DIR = $ indice specificato / in entrataARCHIVE_DIR = $ directory specificata sito web / archivioFLAT_ARCHIVE = 0ERROR_DIR =OUTPUT_MODE equivale a localSENDER_DIR = $ directory specificata per mittente in entrataINCREMENTAL_DIR = $ elenco di directory specificato / mittente in entrataTIPO_COMPRESSIONE =INTERVALLE_POLLING =FLUSH_TIMEOUT =FILE_CACHE_SIZE =BLOCCO_FILE = 1PACK_INTERFACES = 0SILK_IPFIX_PRINT_TEMPLATES =LOG_TYPE significa syslogLOG_LEVEL = informazioniLOG_DIR = rrr directory specificata / logPID_DIR = ? rrr LOG_DIRUTENTE = rootOPZIONI_EXTRA =EXTRA_ENVVAR =
Costruzione dell’assieme
traduzione yaf 2.8.4: * Supporto settore orario: UTC 4 . Pacchetto Fixbuf: 1.7.1 3 . Supporto DAG: NO * Supporto Napatech: NO * Supporto Netronomo: NO (vuoto) Supporto Bivio: NO * Supporto PFRING: NO 4 . Backup IPv4 compatto: NO * Supporto plugin: S 4. Identificazione dell'applicazione: SI - Supporto per la gestione del carico utile: SI 3 . Supporto entropia: NO 2 . Supporto per l'esportazione delle impronte digitali: NO * Supporto P0F: NO * Guida alla distribuzione: NO * Supporto MPLS: NO 3. Supporto senza IP: NO * Supporto per programma separato: NO
Il software per riparare il tuo PC è a portata di clic: scaricalo ora.SiLK 3.12.1; Opzioni di configurazione: La radice dell'alberello di dati compressi è / data 3. Logica di confezionamento: plug-in di runtime * Programma del fuso orario: UTC * Metodi di compressione disponibili: nessuno [standard], zlib * Accesso Internet IPv6 circolare: sì * Restituire il record del flusso IPv6: sì 5. Raccolta IPFIX o NetFlow9 / sFlow: ipfix, netflow9, sflow * Scudo di crittografia per il trasporto: no * Servizio PySiLK: No 3 . Attiva Assert(): no