Страница печати | Закрыть окно

Переполнение диска логами IDS/IPS

Распечатать форум: Форум компании Смарт-Софт
Категория: Главный раздел
Название форума: Traffic Inspector - технические вопросы.
Описание форума: Вопросы по установке, настройке, возможностям и т.п.
URL: http://forum.smart-soft.ru/forum_posts.asp?TID=24087
Дата печати: 24-Окт-17 в 07:14
Версия ПО: Web Wiz Forums 10.14 - http://www.webwizforums.com


Тема: Переполнение диска логами IDS/IPS
Автор: bobrovylog
Тема: Переполнение диска логами IDS/IPS
Дата отправки: 14-Сен-17 в 05:48
TI 3.0.2.916 Gold 150 на WS 2012 R2 Standart x64
ID: 78239168
Через месяц работы в логах консоли появились ошибки типа:
Цитировать
3      2017-09-14 09:17:31.177      Ошибка записи файла конфигурации для C:\Program Files\TrafInsp\config\НазваниеФайлаКонфигурации.$$$
Недостаточно места на диске

На диске с установленным TI не осталось места. Когда стали смотреть "виновника", то оказалось, что папка C:\Program Files\TrafInsp\Ids_ips\log занимает около 143Гб при емкости диска 155Гб.
Остановили службу IDS/IPS и очистили эту папку, особенно файл .json занимавший 138Гб.
В настройках службы IDS/IPS настроек по очищению логов не обнаружили.


Вопрос: Как настроить службу, желательно в автоматическом режиме, чтобы логи не занимали много места?



Ответов:
Автор: Vladd
Дата отправки: 14-Сен-17 в 08:34
Подтверждаю у нас файл .json весит более 40 ГБ, галочка "записывать результаты работы в файл" не стоит. Это баг в программе?


Автор: VladimirK
Дата отправки: 15-Сен-17 в 10:32
В диспетчере задач посмотрите параметры запуска процесса suricata.exe, а именно - есть ли в параметрах запуска ключ "-l log"


-------------
Техническая поддержка
Телефоны: +7(495)77-55-991, +7(496)615-49-21
E-mail: support(coбака)smart-soft.ru


Автор: bobrovylog
Дата отправки: 17-Сен-17 в 10:01
Нет такого процесса.
После очищения папки логов в ней перестали создаваться файлы.
В сообщениях сервера указано что служба запущена, но в консоли пишет - не запущена. Да еще в списках блокировки, загруженных с сайта Smart-soft, ошибки. Нажатие на кнопки результатов не дают.



Что-то сломалось.
Дополняю: после переполнения диска слетела активация (да еще и лимит превышен, пришлось обращаться в ТП, чтобы продлили), файл конфигурации suricata.yaml - пустой, поэтому служба не стартует (даже вручную через командную строку). ТИ видимо не "программа из коробки" - поставил и забыл, переполнит диск и привет:
"И с чистого листа,
Опять начну сначала,
Добавлю костыли,
Но сервис все лежит!"
Файл suricata.yaml скачал с официального сайта suricata. Поправил пути в нем и запустил, как написано в HOW_TO_Windows.pdf (в каталоге с программой): suricata.exe -c suricata.yaml -i Адрес_интерфейса
Если правильно понял, процесс suricata берет настройки из файла или из параметра в ключе -l. И в диспетчере не отображает ключи, а в логи пишет.
Можно исходный файл suricata.yaml получить из дистрибутива ТИ, чтобы посмотреть настройки?


Автор: VladimirK
Дата отправки: 18-Сен-17 в 09:33
Выложил
http://www.smart-soft.ru/files/updates/916/suricata.zip

-------------
Техническая поддержка
Телефоны: +7(495)77-55-991, +7(496)615-49-21
E-mail: support(coбака)smart-soft.ru


Автор: bobrovylog
Дата отправки: 18-Сен-17 в 10:54
Не заметил никаких существенных отличий файлов surikata.yaml у ТИ и оф.сайта.
И не эта ли настройка в файле грузит файл:
Цитировать
# Extensible Event Format (nicknamed EVE) event log in JSON format
  - eve-log:
      enabled: yes
      filetype: regular #regular|syslog|unix_dgram|unix_stream|redis
      filename: eve.json

Собственно, после установки параметра NO, файл json успешно ликвидировался.
Но остается вопрос: как сделать журналирование например на неделю с самоочищением логов?


Автор: bobrovylog
Дата отправки: 03-Окт-17 в 13:11
Ожидается решение?


Автор: VladimirK
Дата отправки: 04-Окт-17 в 09:51
Запрос разработчикам отправлен. Как появится решение оно обязательно попадет в changelog.

-------------
Техническая поддержка
Телефоны: +7(495)77-55-991, +7(496)615-49-21
E-mail: support(coбака)smart-soft.ru



Страница печати | Закрыть окно