Diari 1
Setelah beberapa hari berjalan tanpa masalah, tiba-tiba hari ini kesemua ejen tidak dapat melaporkan diri. Asal mungkin berpunca dari terputusnya akses ke pelayan seketika. Laporan di ossec-wui mengatakan semuanya dalam keadaan tidak aktif
Beberapa kali dicuba menghidupkan kembali ossec di pelayan dan ejen. Hasil tetap sama. Ralat yang kerap kelihatan adalah :
Setelah tercari-cari dan mencuba beberapa cara, akhirnya kaedah terbaik adalah dengan membuang kandungan (/var/ossec/queue/rids/*) di pelayan dan ejen. Sekiranya terdapat lebih dari satu ejen, boleh dibuang ID ejen yang berkenaan sahaja. Ini boleh dikenal pasti menerusi ralat "ERROR: Duplicated counter for"
Setelah beberapa hari berjalan tanpa masalah, tiba-tiba hari ini kesemua ejen tidak dapat melaporkan diri. Asal mungkin berpunca dari terputusnya akses ke pelayan seketika. Laporan di ossec-wui mengatakan semuanya dalam keadaan tidak aktif
+DOMAIN (xx.xx.xx.xx) - Inactive
Beberapa kali dicuba menghidupkan kembali ossec di pelayan dan ejen. Hasil tetap sama. Ralat yang kerap kelihatan adalah :
2012/10/08 12:04:26 agent_control(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'.
2012/10/08 12:04:26 agent_control(1301): ERROR: Unable to connect to active response queue.
2012/10/08 13:26:08 ossec-remoted(1407): ERROR: Duplicated counter for 'XXX'.
2012/10/08 12:04:26 agent_control(1301): ERROR: Unable to connect to active response queue.
2012/10/08 13:26:08 ossec-remoted(1407): ERROR: Duplicated counter for 'XXX'.
Setelah tercari-cari dan mencuba beberapa cara, akhirnya kaedah terbaik adalah dengan membuang kandungan (/var/ossec/queue/rids/*) di pelayan dan ejen. Sekiranya terdapat lebih dari satu ejen, boleh dibuang ID ejen yang berkenaan sahaja. Ini boleh dikenal pasti menerusi ralat "ERROR: Duplicated counter for"
/var/ossec/bin/ossec-control stop
rm /var/ossec/queue/rids/*
/var/ossec/bin/ossec-control start
Jika dilihat lebih teliti melalui tcpdump, ketika masalah berlaku, length bagi penghantaran data dari ejen ke pelayan akan berubah-rubah dan tidak terikat pada satu nilai sahaja. Sekiranya ia tetap pada satu nilai, menandakan ada masalah yang berlaku.
/var/ossec/bin/ossec-control start
14:47:57.089787 IP XX.X.X.XX.38979 > YY.Y.YY.Y.1514: UDP, length 185
14:47:57.095466 IP XX.X.X.XX.38979 > YY.Y.YY.Y.1514: UDP, length 233
14:49:49.207982 IP XX.X.X.XX.38979 > YY.Y.YY.Y.1514: UDP, length 609
14:49:49.209490 IP XX.X.X.XX.38979 > YY.Y.YY.Y.1514: UDP, length 689
*** Apa yang ditulis di sini adalah berdasarkan pengalaman sendiri. Situasi masalah mungkin berbeza. Pastikan anda tahu apa yang anda lakukan ***.
Comments
Post a Comment
Pandangan anda dihargai