OSSEC 2.7 (BETA-1) - SATU DIARI

Diari 1

Setelah beberapa hari berjalan tanpa masalah, tiba-tiba hari ini kesemua ejen tidak dapat melaporkan diri. Asal mungkin berpunca dari terputusnya akses ke pelayan seketika. Laporan di ossec-wui mengatakan semuanya dalam keadaan tidak aktif

+DOMAIN (xx.xx.xx.xx) - Inactive

Beberapa kali dicuba menghidupkan kembali ossec di pelayan dan ejen. Hasil tetap sama. Ralat yang kerap kelihatan adalah :

2012/10/08 12:04:26 agent_control(1210): ERROR: Queue '/queue/alerts/ar' not accessible: 'Connection refused'.
2012/10/08 12:04:26 agent_control(1301): ERROR: Unable to connect to active response queue.
2012/10/08 13:26:08 ossec-remoted(1407): ERROR: Duplicated counter for 'XXX'.

Setelah tercari-cari dan mencuba beberapa cara, akhirnya kaedah terbaik adalah dengan membuang kandungan (/var/ossec/queue/rids/*) di pelayan dan ejen. Sekiranya terdapat lebih dari satu ejen, boleh dibuang ID ejen yang berkenaan sahaja. Ini boleh dikenal pasti menerusi ralat "ERROR: Duplicated counter for"

/var/ossec/bin/ossec-control stop rm /var/ossec/queue/rids/*
/var/ossec/bin/ossec-control start
Jika dilihat lebih teliti melalui tcpdump, ketika masalah berlaku, length bagi penghantaran data dari ejen ke pelayan akan berubah-rubah dan tidak terikat pada satu nilai sahaja. Sekiranya ia tetap pada satu nilai, menandakan ada masalah yang berlaku.
14:47:57.089787 IP XX.X.X.XX.38979 > YY.Y.YY.Y.1514: UDP, length 185 14:47:57.095466 IP XX.X.X.XX.38979 > YY.Y.YY.Y.1514: UDP, length 233 14:49:49.207982 IP XX.X.X.XX.38979 > YY.Y.YY.Y.1514: UDP, length 609 14:49:49.209490 IP XX.X.X.XX.38979 > YY.Y.YY.Y.1514: UDP, length 689

*** Apa yang ditulis di sini adalah berdasarkan pengalaman sendiri. Situasi masalah mungkin berbeza. Pastikan anda tahu apa yang anda lakukan ***.

Comments

Popular Posts

Scanned

Website Security Test