Table of Contents
Одобрено
Иногда ваша программа выдает ошибку, которая сообщает, что yaf завершит работу, если она выйдет из строя. Эта ошибка может быть вызвана множеством причин.
Мебель
Я настроил YAF (v. 2.8.4) + SiLK (v. 3.12.1) на Debian 8 и 2, и теперь у меня есть пара проблем:
1. Каждый раз, когда я запускаю yaf
, функция yaf
, пока существует лучшее TCP-соединение, не работает:
[2016-05-25 08:13:36] yaf выходит из-за ошибки: пытается создать подключенный TCP-сокет, подключение 127.0.0.1:18000 отказано
2. Прямой yaf
также работает (нет TCP для соединения eth0), загружает rwfilter --proto = 0- --type = many --pass = stdout | rwcut | Команда head
удалена.
У меня есть документы канала, связанные с конкретным списком / data /
в течение двух дней назад, и я могу их просматривать
rwfilter --start-date = 2016/05/22 --end-date подразумевает 2017/05/23 --proto = 0- --type равно всем --pass = stdout | rwstats --fields = протокол --bottom --count равно 10
Это означает, что с 23 мая yaf
и более того SiLK
работали отлично. (НО по сравнению с некоторыми менуэтами !!!). К сожалению, я сохранил сегодняшние протоколы вместе с поддерживающими протоколами только для 9 рефератов.
Конфигурации и протоколы:
58984? ? ? ? Ssl 0:00 / usr / local для sbin / rwflowpack --sensor-configuration = - data / sensor.conf --site-config-file = и ata / silk.conf --archive-directory = для каждого var / lib / архив rwflowpack --output-mode = locale Моя оперативная память --root-directory = / data --pidfile равно / var / lib или rwflowpack / log / rwflowpack.pid --log-level подразумевает информацию --log-destination = системный журнал 84140? обычно длится 0:00 / usr / local для каждого bin / yaf -d --live pcap --in eth0 --ipfix tcp --out localhost --ipfix-port 18000 --journal / var по сравнению с log / yaf / log или Яф. log --silk --verbose --applabel --max-payload подразумевает 2048 --plugin-name = /usr/local/lib/yaf/dpacketplugin.la --pidfile /var/log/yaf/run/yaf.pid
ПРИНЯТЬ udp - везде умершие, везде udp: 18000ПРИНЯТЬ UDP - в другом месте udp dpt: 18000ПРИНЯТЬ tcp и везде tcp spt: 18000ПРИНЯТЬ tcp, везде и везде tcp dpt: 18000
Одобрено
Инструмент восстановления ASR Pro — это решение для ПК с Windows, который работает медленно, имеет проблемы с реестром или заражен вредоносным ПО. Этот мощный и простой в использовании инструмент может быстро диагностировать и исправлять ваш компьютер, повышая производительность, оптимизируя память и улучшая безопасность в процессе. Больше не страдайте от вялости компьютера - попробуйте ASR Pro сегодня!
[2016-05-25 08:48:02] yaf начинается[2016-05-25 08:48:02] Инициализировать правила, вызванные файлом: /usr/local/etc/yafApplabelRules.conf[2016-05-25 08:48:02] Application Labeler разрешает правило 44.[2016-05-25 08:48:02] Application Labeler публично поставил 0 подписей.[2016-05-25 08:48:02] DPI работает при рассмотрении ВСЕХ протоколов[2016-05-25 08:48:02] Инициализировать правила для файла dpi /usr/local/etc/yafDPIRules.conf[2016-05-25 08:48:02] Сканер правил DPI принял шестьдесят три руководства из файла правил DPI.[2016-05-25 08:48:02] Регулярные выражения DPI охватывают мощные методологии 08:48:02[2016-05-25 split child 82020. Исходящий родитель[2016-05-25 08:48:02] запускать как причина в режиме --function, но не обязательно в роли привилегии[2016-05-25 drop 08:50:48] Обработано 814 пакетов 0 потоками:[2016-05-25 08:50:48] Средний процент передачи да 0,00 и с.[2016-05-25 08:50:48] Средняя скорость передачи пакетов 4,90 с.[2016-05-25 08:50:48] Виртуальная полоса пропускания обычно составляет 0,0032 Мбит / с.[2016-05-25 08:50:48] Максимальный размер обратного потока - 36.[2016-05-25 08:50:48] Очистить 27 состояний.[2016-05-25 08:50:48] Обнаружено 9 асимметричных и однонаправленных потоков (-nan%)[2016-05-25 08:50:48] Всего YAF изучило 1643 пакета[2016-05-25 08:50:48] 10 фрагментов 0 собраны в пакеты:[2016-05-25 08:50:48] Истекло 8 неполных фрагментированных пакетов. (0,00%)[2016-05-25 08:50:48] Максимальный размер, связанный с таблицей фрагментов, равен 0.[2016-05-25 08:50:48] Отброшено 829 пакетов во время (33 расшифровки: 0,54%)[2016-05-25 08:50:48] 829 из-за необходимости поддержки / отклоненный тип доставки: (33,54%)[2016-05-25 08:50:48] 829 неподдерживаемый / отклоненный слой достаточная причина для множества заголовков. (33,54%)[2016-05-25 08:50:48] 729 пакетов arp. (29,49%)[2016-05-25 08:50:48] Ящики 802 83,3. (3,36%)[2016-05-25 08:50:48] Выход из системы, созданный yaf am, не завершится ошибкой: Создайте любой подключенный TCP-сокет к localhost: 18000 В соединении отказано
25. 13:17:54 XXX rwflowpack [58984]: 'S0': вперед 3, назад 5, пропущено 024 мая 13:19:54 XXX rwflowpack [58984]: Файлы будут удалены через 120 секунд.30 мая 13:19:54 XXX rwflowpack [58984]: 'S0': вперед, назад 0, пропущено 0Двадцать шестое мая 13:21:54 XXX rwflowpack [58984]: файлы будут удалены через 120 секунд.24 мая, 13:21:54 Rwflowpack [58984]: Porno 'S0': вперед 0, назад 0, пропущено 0
ENABLED = 1YAF_CAP_TYPE равно pcapYAF_CAP_IF = eth0YAF_IPFIX_PROTO = TCPYAF_IPFIX_HOST соответствует localhostYAF_IPFIX_PORT = 18000YAF_STATEDIR = / var против журнала / yafYAF_EXTRAFLAGS = "- soft silk --applabel --max-payload = 2048 --plugin-name приравнивается к / usr / local по сравнению с lib / yaf / dpacketplugin.la"
Версия 2Датчик 0 S0 "Описание датчика / датчика S0"Датчик 1 S1Датчик 2 S2 «Дополнительное описание метки S2»Датчик 3 S3Датчик 4 S4Три датчика S5Датчик 6 S6Датчик 7 8 S7Датчик S8Датчик 9 S9Датчик 10 S10Тринадцать датчиков S11Датчик 12 S12Датчик 13 S13Датчик эксклюзив четырнадцатый S14Класс каждый Устройства S0 S1 S2 S3 S4 S5 S6 S7 S8 S9 S10 S11 S12 S13 S14Завершить связанный курсКласс каждый Введите ноль в Тип 1 Тип 1 подключен к сети iw Тип 3 Outweb ow 4 типа innull innull Тип 5 ноль ноль ноль введите 50 процентов int2int int2int Вариант 7 ext2ext ext2ext Тип 8 inicmp inicmp Введите 9 outicmp outicmp Достичь еще 10 Типы по умолчанию для inweb inicmpКонец конечнокласс по умолчанию всеРассуждение упаковки "packlogic-twoway.so"
зонд S0 ipfix Порт прослушивания 18001 Протокол TCPКонцевой зондДатчик S0 ipfix S0 зонды внутри ip-блоки 192.168.1.0/24 10.10.10.0/24 внешний датчик ipblocks
ВКЛЮЧЕНО означает 1указанный каталог = / var для каждой библиотеки / rwflowpackCREATE_DIRECTORIES = даBIN_DIR равно / usr / local sbinSENSOR_CONFIG = / data / rest от сенсораfin.confDATA_ROOTDIR = / данныеSITE_CONFIG соответствует / data / silk.confLOGICAL_PACKING =INPUT_MODE равно потокуINCOMING_DIR = $ указанный каталог для входящихARCHIVE_DIR = $ указанный архив каталогаFLAT_ARCHIVE = 0ERROR_DIR =OUTPUT_MODE равно локальномуSENDER_DIR = $ указанный каталог / отправитель с внутренней привязкойINCREMENTAL_DIR = $ указанный каталог и входящий отправительTYPE_COMPRESSION =INTERVALLE_POLLING =FLUSH_TIMEOUT =FILE_CACHE_SIZE =FILE_LOCKING равно 1PACK_INTERFACES = 0SILK_IPFIX_PRINT_TEMPLATES =LOG_TYPE соответствует системному журналуLOG_LEVEL = информацияLOG_DIR = $ назначенный каталог / журналPID_DIR = $ LOG_DIRПОЛЬЗОВАТЕЛЬ = кореньEXTRA_OPTIONS =EXTRA_ENVVAR =
Построение сборки
yaf версии 2.8.4: * Повышение часового пояса: UTC * Пакет Fixbuf: 1.7.1 (пробел) Поддержка DAG: НЕТ 2. Поддержка Napatech: НЕТ * Поддержка Netronome: НЕТ (пусто) Поддержка Bivio: НЕТ * Бэкап PFRING: НЕТ * Компактное резервное копирование IPv4: НЕТ 7. Поддержка плагинов: ДА 4. Идентификация приложения: ДА - Поставщик обработки полезной нагрузки: ДА * Поддержка энтропии: НЕТ 1. Поддержка экспорта отпечатков пальцев: НЕТ * Поддержка P0F: НЕТ * Поддержка распространения: НЕТ * Помощь MPLS: НЕТ 6. Суппортка без IP: НЕТ - Поддержка отдельного интерфейса: НЕТ
SiLK 3.12.1; Варианты конфигурации: Корни дерева упакованных данных действительно / data несколько. Логика упаковки: плагин времени выполнения * Поддержка часовых поясов: UTC * Доступные методы давления: нет [стандартный], zlib * Круговые соединения IPv6: да * Обратный просмотр потока IPv6: да 5. Сборник IPFIX / NetFlow9 / sFlow: ipfix, netflow9, sflow * Транспортное шифрование: нет * Сервис PySiLK: Нет * Активировать Assert (): нет
Программное обеспечение для ремонта ПК находится всего в одном клике — загрузите его прямо сейчас. г.