Страницы: 1
RSS
Переполнение диска логами IDS/IPS
 
TI 3.0.2.916 Gold 150 на WS 2012 R2 Standart x64
ID: 78239168
Через месяц работы в логах консоли появились ошибки типа:
Цитата

3      2017-09-14 09:17:31.177      Ошибка записи файла конфигурации для C:\Program Files\TrafInsp\config\НазваниеФайлаКонфигурации.$$$
Недостаточно места на диске

На диске с установленным TI не осталось места. Когда стали смотреть "виновника", то оказалось, что папка C:\Program Files\TrafInsp\Ids_ips\log занимает около 143Гб при емкости диска 155Гб.
Остановили службу IDS/IPS и очистили эту папку, особенно файл .json занимавший 138Гб.
В настройках службы IDS/IPS настроек по очищению логов не обнаружили.


Вопрос: Как настроить службу, желательно в автоматическом режиме, чтобы логи не занимали много места?bobrovylog2017-09-14 05:54:13
 
Подтверждаю у нас файл .json весит более 40 ГБ, галочка "записывать результаты работы в файл" не стоит. Это баг в программе?
 
В диспетчере задач посмотрите параметры запуска процесса suricata.exe, а именно - есть ли в параметрах запуска ключ "-l log"
 
Нет такого процесса.
После очищения папки логов в ней перестали создаваться файлы.
В сообщениях сервера указано что служба запущена, но в консоли пишет - не запущена. Да еще в списках блокировки, загруженных с сайта Smart-soft, ошибки. Нажатие на кнопки результатов не дают.



Что-то сломалось.
Дополняю: после переполнения диска слетела активация (да еще и лимит превышен, пришлось обращаться в ТП, чтобы продлили), файл конфигурации suricata.yaml - пустой, поэтому служба не стартует (даже вручную через командную строку). ТИ видимо не "программа из коробки" - поставил и забыл, переполнит диск и привет:
"И с чистого листа,
Опять начну сначала,
Добавлю костыли,
Но сервис все лежит!"
Файл suricata.yaml скачал с официального сайта suricata. Поправил пути в нем и запустил, как написано в HOW_TO_Windows.pdf (в каталоге с программой): suricata.exe -c suricata.yaml -i Адрес_интерфейса
Если правильно понял, процесс suricata берет настройки из файла или из параметра в ключе -l. И в диспетчере не отображает ключи, а в логи пишет.
Можно исходный файл suricata.yaml получить из дистрибутива ТИ, чтобы посмотреть настройки?bobrovylog2017-09-17 10:56:25
 
Выложил
https://ti.smart-soft.ru/files/updates/916/suricata.zip
 
Не заметил никаких существенных отличий файлов surikata.yaml у ТИ и оф.сайта.
И не эта ли настройка в файле грузит файл:
Цитата

# Extensible Event Format (nicknamed EVE) event log in JSON format
  - eve-log:
      enabled: yes
      filetype: regular #regular|syslog|unix_dgram|unix_stream|redis
      filename: eve.json

Собственно, после установки параметра NO, файл json успешно ликвидировался.
Но остается вопрос: как сделать журналирование например на неделю с самоочищением логов?
 
Ожидается решение?
 
Запрос разработчикам отправлен. Как появится решение оно обязательно попадет в changelog.
Страницы: 1
Читают тему (гостей: 2)