Table of Contents
Zatwierdzone
Czasami Twoje oprogramowanie wygeneruje błąd, który doradzi yafowi zamknięcie w przypadku awarii. Ten błąd może być spowodowany różnymi przyczynami.
Meble
Skonfigurowałem YAF (v. 2.8.4) + SiLK (v. 3.12.1) na Debianie 8 i 2 i czuję, że mam kilka problemów:
1. Za każdym razem, gdy uruchamiam yaf
, koncepcja yaf
, o ile istnieje rzeczywiste połączenie TCP, nie działa:
[2016-05-25 08:13:36] yaf kończy działanie w przypadku błędu: nie można utworzyć podłączonego gniazda TCP, organizacja 127.0.0.1:18000 odmówiła
2. Bezpośredni yaf
również działa (brak TCP dla połączenia eth0), ładuje rwfilter --proto = 0- --type = virtual --pass = stdout | rwcut | Polecenie head
jest dodatkowe.
Mam dokumenty kanałów wprowadzone przez dwa dni temu połączone z witryną / data /
i mogę je przeglądać
rwfilter --start-date = 2016/05/22 --end-date oznacza 2017/05/23 --proto = 0- --type równa się wszystkim --pass = stdout | rwstats --fields = protokół --bottom --count oznacza 10
Oznacza to, że od 23 maja yaf
dodatkowo SiLK
działał skutecznie. (ALE w porównaniu do niektórych menuetów !!!). Niestety, zachowam dzisiejsze protokoły, ale obsługują protokoły tylko dla 8 streszczeń.
Konfiguracje i protokoły:
58984? ? ? ? Ssl 0:00 / usr / local per sbin / rwflowpack --sensor-configuration = and data / sensor.conf --site-config-file = per ata / silk.conf --archive-directory = i var / lib / rwflowpack lub archiwum --output-mode = locale Mój obszar garażu --root-directory = / data --pidfile oznacza / var / lib i rwflowpack / log / rwflowpack.pid --log-level oznacza info --log-destination = syslog 84140? jest utrzymywany 0:00 / usr / local i bin / yaf -d --live pcap --in eth0 --ipfix tcp --out localhost --ipfix-port 18000 --journal / var i log / yaf / log lub yaf . log --silk --verbose --applabel --max-payload jest równy 2048 --plugin-name = /usr/local/lib/yaf/dpacketplugin.la --pidfile /var/log/yaf/run/yaf .pid
AKCEPTUJ udp - zawsze późno, wszędzie i wszędzie udp: 18000AKCEPTUJ UDP - gdzie indziej udp dpt: 18000AKCEPTUJ tcp 4 . wszędzie tcp spt: 18000AKCEPTUJ tcp taki jak wszędzie i wszędzie tcp dpt: 18000
Zatwierdzone
Narzędzie naprawcze ASR Pro to rozwiązanie dla komputera z systemem Windows, który działa wolno, ma problemy z rejestrem lub jest zainfekowany złośliwym oprogramowaniem. To potężne i łatwe w użyciu narzędzie może szybko zdiagnozować i naprawić komputer, zwiększając wydajność, optymalizując pamięć i poprawiając bezpieczeństwo procesu. Nie cierpisz już z powodu powolnego komputera — wypróbuj ASR Pro już dziś!
[25.05.2016 08:48:02] start yaf[2016-05-25 08:48:02] Zainicjuj reguły w wyniku pliku: /usr/local/etc/yafApplabelRules.conf[2016-05-25 08:48:02] Aplikacja Labeler zaakceptuje regułę 44.[2016-05-25 08:48:02] Aplikacja Labeler uwierzyła 0 podpisów.[2016-05-25 08:48:02] DPI działa na WSZYSTKICH protokołach[2016-05-25 08:48:02] Zainicjuj reguły prosto z pliku dpi /usr/local/etc/yafDPIRules.conf[2016-05-25 08:48:02] Skaner reguł DPI zaakceptował sześćdziesiąt trzy polisy z pliku reguł DPI.[2016-05-25 08:48:02] Wyrażenia regularne DPI obejmują potężne sieci 08:48:02[2016-05-25 podzielone dziecko 82020. Wyjeżdżający rodzic[2016-05-25 08:48:02] uruchom jako powód w trybie --pozostań przy życiu, ale niekoniecznie w roli uprawnienia[25.05.2016 drop 08:50:48] Przetworzono 814 pakietów przez 0 strumieni:[25.05.2016 08:50:48] Średnia ilość bodów w bodach tak 0,00 versus s.[25.05.2016 08:50:48] Średnia prędkość pakietów 4,90 s.[2016-05-25 08:50:48] Wirtualna przepustowość często wynosi 0,0032 Mb/s.[2016-05-25 08:50:48] Największy rozmiar przepływu wstecznego to 36.[2016-05-25 08:50:48] Wyczyść 27 stanów.[2016-05-25 08:50:48] 9 asymetrycznych na wykryte przepływy jednokierunkowe (-nan%)[2016-05-25 08:50:48] Razem YAF zbadało 1643 paczki[2016-05-25 08:50:48] tylko 1 fragment 0 jest zbierany w paczkach:[2016-05-25 08:50:48] 1 niekompletne pofragmentowane pakiety mają stare. (0,00%)[2016-05-25 08:50:48] Maksymalny rozmiar pochodzący ze wszystkich tabel porcji to 0.[25.05.2016 08:50:48] Zrzucono 829 pakietów podczas (33 rozszyfrowanie: 0.54%)[2016-05-25 08:50:48] 829 ze względu na potrzebę wsparcia / rodzaj odrzuconej dostawy: (33,54%)[2016-05-25 08:50:48] 829 nieobsługiwanej/odrzuconej warstwy wraz z wieloma nagłówkami. (33,54%)[2016-05-25 08:50:48] 729 pakietów arp. (29,49%)[25.05.2016 08:50:48] 802 83,3 paczek. (3,36%)[2016-05-25 08:50:48] Wylogowanie z yaf am nie zakończy się niepowodzeniem: Utwórz to podłączone gniazdo TCP do hosta lokalnego: 18000 Połączenie odrzucone
25. 13:17:54 XXX rwflowpack [58984]: 'S0': do przodu 6, wstecz 5, pominięte 0Trzydzieści maja 13:19:54 XXX rwflowpack [58984]: Pliki będą zawsze usuwane po 120 sekundach.Maj do 30 13:19:54 XXX rwflowpack [58984]: 'S0': naprzód odrębny, wstecz 0, pominięty 025 maja 13:21:54 XXX rwflowpack [58984]: pliki będą zawsze usuwane po 120 sekundach.1 / 4 maja 13:21:54 Rwflowpack [58984]: Porno 'S0': do przodu 0, do tyłu 0, pominięte 0
WŁĄCZONE = 1YAF_CAP_TYPE równa się pcapYAF_CAP_IF = eth0YAF_IPFIX_PROTO = TCPYAF_IPFIX_HOST to host lokalnyYAF_IPFIX_PORT = 18000YAF_STATEDIR = / var na dziennik / yafYAF_EXTRAFLAGS = "- sztuczne włókno --applabel --max-payload = 2048 --plugin-name oznacza /usr/local i lib/yaf/dpacketplugin.la"
Wersja 2Czujnik 0 S0 „Opis dotyczący czujnika / czujnika S0”Czujnik 1 S1Czujnik 2 S2 "Uzupełniający opis miernika S2"Czujnik 3 S3Czujnik 4 S4Trzy czujniki S5Czujnik 6 S6Czujnik 7 8 S7Czujnik S8Czujnik 9 S9Czujnik 10 S10Trzynaście czujników S11Czujnik 12 S12Czujnik 13 S13Czujnik tylko czternasty S14Klasa każdego Urządzenia S0 S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14Koniec związany z kursemKlasa każdego Wpisz 7 cali Typ 1 Typ 1 w odniesieniu do sieci iw Typ 3 Outweb ow 4 typy innull innull Wpisz 5 null zero null wpisz tylko połowę int2int int2int Opcja 7 ext2ext ext2ext Wpisz 8 inicmp inicmp Wpisz 9 outicmp outicmp Osiągnij 10 więcej domyślne typy wspierające inweb inicmpKoniec kursudomyślna klasa wszystkoIntuicja pakowania "packlogic-twoway.so"
sonda S0 ipfix Port nasłuchiwania 18001 Protokół TCPSonda końcowaCzujnik S0 Sondy ipfix S0 wewnątrz bloków ip 192.168.1.0/24 10.10.10.0/24 fizyczne ipblocki czujnika
WŁĄCZONE równa się 1wskazany katalog = / var lub lib / rwflowpackCREATE_DIRECTORIES = takBIN_DIR równa się / usr / lokalny sbinSENSOR_CONFIG = / dane / reszta połączona z czujnikiemfin.konfDATA_ROOTDIR = / daneSITE_CONFIG to / data / silk.confLOGICZNA_PAKOWANIE =INPUT_MODE oznacza strumieńINCOMING_DIR = $ określony katalog dla każdego przychodzącegoARCHIVE_DIR = $ określony katalog dla każdego archiwumPŁASKIE ARCHIWUM = 0ERROR_DIR =OUTPUT_MODE oznacza lokalnySENDER_DIR = $ określony katalog / pewny nadawcaINCREMENTAL_DIR = $ określony katalog a przychodzący nadawcaTYPE_COMPRESSION =INTERVALLE_POLLING =FLUSH_TIMEOUT =FILE_CACHE_SIZE =FILE_LOCKING oznacza 1PACK_INTERFACE = 0SILK_IPFIX_PRINT_TEMPLATES =LOG_TYPE oznacza syslogLOG_LEVEL = informacjeLOG_DIR = $ konkretny katalog / logPID_DIR = $ LOG_DIRUŻYTKOWNIK = rootDODATKOWE_OPCJE =EXTRA_ENVVAR =
System montażu
wersja 2.8.4 yaf: * Asystent strefy czasowej: UTC * Pakiet poprawek: 1.7.1 - Wsparcie DAG: NIE ( spacja ) Obsługa Napatech: NIE * Obsługa Netronomu: NIE (pusty) Wsparcie Bivio: NIE * Uchwyt PFRING: NIE * Kompaktowa kopia zapasowa IPv4: NIE Obsługa wtyczek: TAK 4. Identyfikacja aplikacji: TAK - Trwa przetwarzanie ładunku: TAK * Obsługa entropii: NIE 3 . Obsługa eksportu odcisków palców: NIE * Obsługa P0F: NIE * Wsparcie dystrybucji: NIE * Kopia zapasowa MPLS: NIE 6. Supportka bez IP: NIE 6 . Wsparcie dla oddzielnego interfejsu: NIE
Oprogramowanie do naprawy komputera to tylko jedno kliknięcie - pobierz je teraz.SiLK 3.12.1; Opcje konfiguracji: Pochodzenie spakowanego drzewa danych to zdecydowanie / dane trzy lub. Logika pakowania: wtyczka runtime * Obsługa stref czasowych: UTC * Dostępne metody docisku: brak [standard], zlib * Okrągłe połączenia IPv6: tak * Zwróć cały czas wysoki strumień IPv6: tak 5. Kolekcja IPFIX / NetFlow9 / sFlow: ipfix, netflow9, sflow * Szyfrowanie transportu: nie * Usługa PySiLK: Nie * Aktywuj potwierdzenie (): nie