A volte l’intero sistema genera un errore che dice che yaf si spegnerà se il programma si arresta in modo anomalo. Questo errore può essere provocato da una serie di motivi.

Mobilia

Ho configurato YAF (v. 2.8.4) + SiLK (v. 3.12.1) durante Debian 8 e 2 e sto riscontrando un paio di situazioni:
1. Ogni volta che ho eseguito yaf , la routine yaf finché c’è solo una connessione TCP fallisce:

  [2016-05-25 08:13:36] yaf esce errore interno: impossibile creare un plug TCP connesso, connessione 127.0.0.1:18000 rifiutata 

2. Direct yaf funziona anche meglio (nessun TCP per connessione eth0), cargo rwfilter --proto = 0- --type è uguale a all --pass = stdout | rwcut | Il comando head è senza dubbio vuoto.

Ho gli accordi sui feed di due giorni fa collegati per assicurarmi che la directory / data e e possa visualizzare tutti i soggetti coinvolti

  rwfilter --start-date = 2016/05/22 --end-date è uguale a 2017/05/23 --proto = 0- --wide range = all --pass = stdout | rwstats --fields = protocollo --bottom --count numero = 10 

Ciò significa che il 23 maggio, yaf insieme a SiLK stavano procedendo correttamente. (MA rispetto ad altri minuetti!!!). Sfortunatamente, conservo le metodologie e i protocolli di supporto odierni solo per ventitré abstract.


Configurazioni e protocolli:

yaf che termina allegato all'errore

  58984? ? ? ? ? Ssl 0:00 / usr / local area / sbin / rwflowpack --sensor-configuration implica / data / sensor.conf --site-config-file uguale a / ata / silk.conf --archive-directory equivale a / var / lib o rwflowpack / archivio --output-mode = locale La mia memoria --root-directory = / statistics --pidfile = / var / lib - rwflowpack / log / rwflowpack.pid --log-level implica info --log-destination = syslog 84140? rimane 0:00 / usr / nell'area / bin / yaf -d --survive pcap --in eth0 --ipfix tcp --down localhost --ipfix-port 18000 --journal per var / log / yaf / lumber / si. log --silk --verbose --applabel --max-payload = 2048 --plugin-name significa /usr/local/lib/yaf/dpacketplugin.la --pidfile /var/log/yaf/run/yaf.pid 
  ACCEPT udp - in ritardo ovunque ovunque udp: 18000ACCETTO UDP - altrove udp dpt: 18000ACCETTO tcp - ovunque tcp spt: 18000ACCEPT tcp - ovunque e in ogni contea tcp dpt: 18000 
  [2016-05-25 08:48:02] yaf inizia[2016-05-25 08:48:02] Inizializza la regolazione dal file: /usr/local/etc/yafApplabelRules.conf[2016-05-25 08:48:02] L'etichettatore dell'applicazione accetta la regola 44.[2016-05-25 08:48:02] L'etichettatore della domanda ha accettato 0 firme.[2016-05-25 08:48:02] DPI funziona per TUTTI i protocolli[2016-05-25 08:48:02] Inizializza gli standard dal file dpi /usr/local/etc/yafDPIRules.conf[2016-05-25 08:48:02] Lo scanner delle regole DPI ha preso sessantatre regole dal file delle regole DPI.[2016-05-25 08:48:02] Le espressioni regolari DPI coprono protocolli preziosi 08:48:02[25/05/2016 figlio diviso 82020. Genitore uscente[2016-05-25 08:48:02] eseguito come motivo in tutta --modalità live, ma non necessariamente ugualmente privilegio[2016-05-25 drop 08:50:48] 814 caselle elaborate in 0 flussi:[2016-05-25 08:50:48] Baud rate medio sì 0,00 per ogni s.[2016-05-25 08:50:48] Velocità media del pacchetto 4,90 / s.[2016-05-25 08:50:48] La velocità di trasferimento dati virtuale è 0,0032 Mbps.[2016-05-25 08:50:48] La dimensione ideale del riflusso è 36.[2016-05-25 08:50:48] Cancella 29 stati.[2016-05-25 08:50:48] Rilevati 9 flussi asimmetrici e unidirezionali (-nan%)[2016-05-25 08:50:48] YAF totale ha esaminato 1643 pacchi[2016-05-25 08:50:48] 10 frammenti 0 vengono raccolti ultimi pacchetti:[2016-05-25 08:50:48] 0 pacchetti frammentati incompleti sono scaduti. (0.00%)[2016-05-25 08:50:48] Il massimo su tutte le dimensioni della tabella del pezzo è considerato 0.[25/05/2016 08:50:48] Persi 829 pacchetti (33 decodifica: 0,54%)[2016-05-25 08:50:48] 829 scaduti che non saranno supportati/rifiutati tipo di consegna: (33,54%)[2016-05-25 08:50:48] 829 coperture non supportate/rifiutate con molte intestazioni. (33,54%)[2016-05-25 08:50:48] 729 pacchetti arp. (29,49%)[2016-05-25 08:50:48] 802 83,3 pacchetti. (3,36%)[2016-05-25 08:50:48] La disconnessione tra yaf am non fallirà: creare un socket TCP connesso a localhost positivo: 18000 Connessione rifiutata 
  27. 13:17:54 XXX rwflowpack [58984]: 'S0': avanti 0, indietro 5, saltato 025 maggio 13:19:54 XXX rwflowpack [58984]: i file verranno definitivamente eliminati dopo 120 secondi.29 maggio 13:19:54 XXX rwflowpack [58984]: 'S0': davanti 1, dietro 0, saltato 024 maggio 13:21:54 XXX rwflowpack [58984]: i file devono essere rimossi dopo 100 e venti secondi.25 maggio 13:21:54 Rwflowpack [58984]: Porno 'S0': Avanti 0, Indietro 0, Salto 0 
  ABILITATO = 1YAF_CAP_TYPE è uguale a pcapYAF_CAP_IF = eth0YAF_IPFIX_PROTO = TCPYAF_IPFIX_HOST significa localhostYAF_IPFIX_PORT = 18000YAF_STATEDIR = per var / log / yafYAF_EXTRAFLAGS = - silk --applabel --max-payload = 2048 --plugin-name è uguale a /usr/local o lib/yaf/dpacketplugin.la" 
  Versione 2Sensore 0 S0 "Descrizione sensore / sensore S0"Sensore 1 S1Sensore 2 S2 "Descrizione supplementare relativa all'indicatore S2"Sensore 3 S3Sensore 4 S4Tre sensori S5Sensore 6 S6Sensore 7 6-8 S7Sensore S8Sensore 9 S9Sensore 10 S10Tredici sensori S11Sensore 12 S12Sensore 13 S13Sensore solo quattordicesimo S14Classe ciascuno    Dispositivi S0 S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14Fine della maggior parte del corsoClasse ciascuno    Digita 0 pollici    Tipo 1    Digitare univoco sulla rete iw    Tipo 3 Outweb ow    4 tipi innull innull    Tipo 5 zero null null    suggerimenti mezzo int2int int2int    Opzione 7 ext2ext ext2ext    Digitare 8 inicmp inicmp    Inserisci 9 outicmp outicmp    Raggiungi altri dieci    tipi predefiniti per avere inweb inicmpFine del corsoclassifica predefinita tuttiLogica di confezionamento "packlogic-twoway.so" 
  sonda S0 ipfix   Città d'ascolto 18001  protocollo TCPSonda finaleSensore S0   sonde ipfix S0   blocchi IP volume 192.168.1.0/24 10.10.10.0/24   IPblock del sensore fisico 
  ABILITATO = 1indicata la directory = - var / lib / rwflowpackCREATE_DIRECTORIES significa sìBIN_DIR = / usr / local - sbinSENSOR_CONFIG = / dati / riposo del sensorefin.confDATA_ROOTDIR = per ogni datoSITE_CONFIG = / data / silk.confIMBALLO_LOGICO =INPUT_MODE è uguale al flussoINCOMING_DIR = $ indice specificato / in entrataARCHIVE_DIR = $ directory specificata sito web / archivioFLAT_ARCHIVE = 0ERROR_DIR =OUTPUT_MODE equivale a localSENDER_DIR = $ directory specificata per mittente in entrataINCREMENTAL_DIR = $ elenco di directory specificato / mittente in entrataTIPO_COMPRESSIONE =INTERVALLE_POLLING =FLUSH_TIMEOUT =FILE_CACHE_SIZE =BLOCCO_FILE = 1PACK_INTERFACES = 0SILK_IPFIX_PRINT_TEMPLATES =LOG_TYPE significa syslogLOG_LEVEL = informazioniLOG_DIR = rrr directory specificata / logPID_DIR = ? rrr LOG_DIRUTENTE = rootOPZIONI_EXTRA =EXTRA_ENVVAR = 

Costruzione dell’assieme
yaf che termina in caso di errore

  traduzione yaf 2.8.4:    * Supporto settore orario: UTC    4 . Pacchetto Fixbuf: 1.7.1    3 . Supporto DAG: NO    * Supporto Napatech: NO    * Supporto Netronomo: NO    (vuoto) Supporto Bivio: NO    * Supporto PFRING: NO    4 . Backup IPv4 compatto: NO    * Supporto plugin: S    4. Identificazione dell'applicazione: SI    - Supporto per la gestione del carico utile: SI    3 . Supporto entropia: NO    2 . Supporto per l'esportazione delle impronte digitali: NO    * Supporto P0F: NO    * Guida alla distribuzione: NO    * Supporto MPLS: NO    3. Supporto senza IP: NO    * Supporto per programma separato: NO 
  SiLK 3.12.1; Opzioni di configurazione:     La radice dell'alberello di dati compressi è / data    3. Logica di confezionamento: plug-in di runtime    * Programma del fuso orario: UTC    * Metodi di compressione disponibili: nessuno [standard], zlib    * Accesso Internet IPv6 circolare: sì    * Restituire il record del flusso IPv6: sì    5. Raccolta IPFIX o NetFlow9 / sFlow: ipfix, netflow9, sflow    * Scudo di crittografia per il trasporto: no    * Servizio PySiLK: No    3 . Attiva Assert(): no