Table of Contents
Aprobado
A veces, su programa generará un error que afirma que yaf se cerrará si falla. Este error puede deberse a varios motivos.
Muebles
He configurado YAF (v. 2.8.4) + SiLK (v. 3.12.1) en Debian 8 y 2 y siempre he tenido un par de problemas:
1. Cada vez que ejecuto yaf , la progresión de yaf siempre que exista la conexión TCP en particular falla:
[2016-05-25 08:13:36] yaf sale por error: incapaz de crear un socket TCP conectado, servicio de ancho de banda 127.0.0.1:18000 rechazado
2. El yaf directo también funciona (sin TCP para la conexión eth0), carga rwfilter --proto = 0- --type = casi todo --pass = stdout | rwcut | El comando head está borrado.
Tengo documentos de feeds de hace dos días vinculados a nuestra propia lista de / data / y puedo verlos
rwfilter --start-date = 2016/05/22 --end-date equivale a 2017/05/23 --proto = 0- --type implica todo --pass = stdout | rwstats --fields = protocol --bottom --count implica 10
Esto significa que dentro del 23 de mayo, yaf además SiLK estaban funcionando suficientemente. (¡¡¡PERO comparado con algunos minuetos !!!). Desafortunadamente, mantengo los protocolos de hoy en la parte superior de los protocolos de soporte para solo veintitrés resúmenes.
Configuraciones y protocolos:
58984? ? ? ? Ssl 0:00 / usr / local sbin / rwflowpack --sensor-configuration = o data / sensor.conf --site-config-file = ata / silk.conf --archive-directory = o var / lib / rwflowpack versus archive --output-mode = locale Mi almacenamiento público --root-directory = / data --pidfile es igual a / var / lib rwflowpack / log / rwflowpack.pid --log-level es igual a info --log-destination = syslog 84140? se mantiene 0:00 / usr / local bin / yaf -d --live pcap --in eth0 --ipfix tcp --out localhost --ipfix-port 18000 --journal / var - log / yaf / log - yaf. log --silk --verbose --applabel --max-payload equivale a 2048 --plugin-name = /usr/local/lib/yaf/dpacketplugin.la --pidfile / var / log / yaf / run / yaf. pid
ACEPTAR udp - parte posterior de la udp en todas partes en todas partes: 18000ACEPTAR UDP - en otros lugares udp dpt: 18000ACEPTAR tcp, por ejemplo, en todas partes tcp spt: 18000ACEPTE tcp, por ejemplo, en todas partes y en todas partes tcp dpt: 18000
Aprobado
La herramienta de reparación ASR Pro es la solución para una PC con Windows que funciona lentamente, tiene problemas de registro o está infectada con malware. Esta herramienta poderosa y fácil de usar puede diagnosticar y reparar rápidamente su PC, aumentando el rendimiento, optimizando la memoria y mejorando la seguridad en el proceso. No sufra más por una computadora lenta: ¡pruebe ASR Pro hoy!
[2016-05-25 08:48:02] yaf comienza[2016-05-25 08:48:02] Inicializar las reglas producidas por el archivo: /usr/local/etc/yafApplabelRules.conf[2016-05-25 08:48:02] Application Labeler da la bienvenida a la regla 44.[2016-05-25 08:48:02] Application Labeler admitía 0 firmas.[2016-05-25 08:48:02] DPI funciona porque TODOS los protocolos[2016-05-25 08:48:02] Inicialice las reglas usando el archivo dpi /usr/local/etc/yafDPIRules.conf[2016-05-25 08:48:02] El DPI Rule Scanner ha aceptado sesenta y tres regulaciones del archivo de DPI Rule.[2016-05-25 08:48:02] Las expresiones regulares DPI cubren prácticas poderosas 08:48:02[2016-05-25 hijo separado 82020. Padre saliente[2016-05-25 08:48:02] se ejecuta como motivo en el modo de ubicación --am, pero no necesariamente en comparación con el privilegio[2016-05-25 drop 08:50:48] Procesó 814 paquetes dentro de 0 secuencias:[2016-05-25 08:50:48] Cotización promedio en baudios sí 0.00 y s.[2016-05-25 08:50:48] Tasa promedio de paquetes 4,90 por s.[2016-05-25 08:50:48] El ancho de banda virtual es sin duda 0.0032 Mbps.[2016-05-25 08:50:48] El mejor tamaño de reflujo posible es 36.[2016-05-25 08:50:48] Borrar 27 estados.[2016-05-25 08:50:48] 9 asimétrico - flujos unidireccionales detectados (-nan%)[2016-05-25 08:50:48] Total YAF examinó 1643 paquetes[2016-05-25 08:50:48] El primer fragmento 0 se recopila en paquetes:[2016-05-25 08:50:48] cero paquetes fragmentados incompletos no están actualizados. (0,00%)[2016-05-25 08:50:48] El tamaño máximo que apunta a la tabla de fragmentos es 0.[2016-05-25 08:50:48] Se descartaron 829 paquetes durante (33 descifrado: 0,54%)[2016-05-25 08:50:48] 829 debido a que necesita soporte / tipo de entrega rechazada: (33.54%)[2016-05-25 08:50:48] 829 capas no admitidas / rechazadas razón suficiente para muchos encabezados. (33,54%)[2016-05-25 08:50:48] 729 paquetes arp. (29,49%)[2016-05-25 08:50:48] 802 83,3 cajas. (3,36%)[2016-05-25 08:50:48] El cierre de sesión procedente de todos los yaf am no fallará: cree el socket TCP conectado correcto a localhost: 18000 Conexión rechazada
25. 13:17:54 XXX rwflowpack [58984]: 'S0': avanzar 2, retroceder 5, omitir 050 de mayo 13:19:54 XXX rwflowpack [58984]: los archivos se eliminarán automáticamente después de 120 segundos.33 de mayo 13:19:54 XXX rwflowpack [58984]: 'S0': avance 7, retroceso 0, omitido 0Veintiséis de mayo 13:21:54 XXX rwflowpack [58984]: los archivos existirán eliminados después de 120 segundos.20 de mayo 13:21:54 Rwflowpack [58984]: Porno 'S0': Adelante 0, Atrás 0, Omitido 0
HABILITADO = 1YAF_CAP_TYPE equivale a pcapYAF_CAP_IF = eth0YAF_IPFIX_PROTO = TCPYAF_IPFIX_HOST es igual a localhostYAF_IPFIX_PORT = 18000YAF_STATEDIR = / var versus log / yafYAF_EXTRAFLAGS = "- fibra artificial --applabel --max-payload = 2048 --plugin-name implica / usr / local - lib / yaf / dpacketplugin.la"
Versión 2Sensor 0 S0 "Descripción relacionada con el sensor / sensor S0"Sensor 1 S1Sensor 2 S2 "Descripción complementaria del signo S2"Sensor 3 S3Sensor 4 S4Tres sensores S5Sensor 6 S6Sensor 7 8 S7Sensor S8Sensor 9 S9Sensor 10 S10Trece sensores S11Sensor 12 S12Sensor 13 S13Sensor más eficaz decimocuarto S14Clase cada uno Dispositivos S0 S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14Terminar porque por supuestoClase cada uno Escriba nil en Tipo 1 Tipo 1 a través de la red iw Tipo 3 Outweb ow 4 innumerables tipos innulos Tipo 5 nulo cero nulo entrar p. c int2int int2int Opción 7 ext2ext ext2ext Tipo 8 inicmp inicmp Ingrese 9 outicmp outicmp Llega a 10 más tipos predeterminados destinados a inicmp inwebFin de cursoclase predeterminada todosEmpaquetado de sentido común "packlogic-twoway.so"
probe S0 ipfix Puerto de escucha 18001 Protocolo TCPSonda finalSensor S0 sondas ipfix S0 en los bloques de ip de la casa 192.168.1.0/24 10.10.10.0/24 ipblocks de sensores extranjeros
HABILITADO significa 1directorio indicado = / var - lib / rwflowpackCREATE_DIRECTORIES = síBIN_DIR es igual a / usr / local sbinSENSOR_CONFIG = / datos / descanso del sensorfin.confDATA_ROOTDIR = / datosSITE_CONFIG implica / data / silk.confEMBALAJE_LÓGICO =INPUT_MODE equivale a transmitirINCOMING_DIR = $ directorio especificado entranteARCHIVE_DIR = $ directorio o archivo especificadoFLAT_ARCHIVE = 0ERROR_DIR =OUTPUT_MODE equivale a localSENDER_DIR = $ directorio especificado / remitente que llegaINCREMENTAL_DIR = $ remitente entrante del directorio especificadoTYPE_COMPRESSION =INTERVALLE_POLLING =FLUSH_TIMEOUT =FILE_CACHE_SIZE =FILE_LOCKING es igual a 1PACK_INTERFACES = 0SILK_IPFIX_PRINT_TEMPLATES =LOG_TYPE es igual a syslogLOG_LEVEL = informaciónLOG_DIR = $ directorio / registro indicadoPID_DIR = $ LOG_DIRUSUARIO = rootEXTRA_OPTIONS =EXTRA_ENVVAR =
Diseño de ensamblaje
yaf versión 2.8.4: * Ayuda y soporte de zona horaria: UTC * Paquete Fixbuf: 1.7.1 (en blanco) Soporte DAG: NO (espacio) Soporte de Napatech: NO * Soporte de netrónomo: NO (vacío) Bivio Support: NO * Refuerzo PFRING: NO * Copia de seguridad IPv4 compacta: NO - Soporte de complementos: SÍ 4. Identificación de la aplicación: SÍ - Estructura y soporte de procesamiento de carga útil: SÍ * Soporte de entropía: NO Soporte de exportación de huellas dactilares: NO * Soporte P0F: NO * Soporte de distribución: NO * MPLS aguanta: NO 6. Supportka sin IP: NO 5. Soporte para interfaz separada: NO
SiLK 3.12.1; Opciones de configuración: La base del árbol de datos empaquetados es en realidad / data así como más. Lógica de empaquetado: complemento de tiempo de ejecución * Soporte de zona horaria: UTC * Métodos de datos disponibles: ninguno [estándar], zlib * Conexiones circulares IPv6: sí * Devolver el historial de conducción de la transmisión IPv6: sí 5. Colección IPFIX / NetFlow9 / sFlow: ipfix, netflow9, sflow * Cifrado de transporte: no * Servicio PySiLK: No * Activar Assert (): no
El software para reparar su PC está a solo un clic de distancia: descárguelo ahora.
