silk monitoring

[احمد حقیقی]

sudo اولش بذارید

[elham-sh]

کد: [انتخاب]

root@shayan:~# /etc/init.d/rwflowpack restart
Stopping rwflowpack:  [OK]
Starting rwflowpack:  rwflowpack: Ignoring —archive-directory since no probes use directory polling
[OK]
root@shayan:~#

[احمد حقیقی]

ببینید سرویسش اجرا هست یا نه؟

با دستور زیر چک کنید بهتره:

کد: [انتخاب]

sudo ps ax | grep silk

[elham-sh]

کد: [انتخاب]

root@shayan:~# sudo ps ax | grep silk
 3308 ?        Ssl    0:00 /usr/local/sbin/rwflowpack —sensor-configuration=/data/sensor.conf —site-config-file=/data/silk.conf —archive-directory=/var/lib/rwflowpack/archive —output-mode=local-storage —root-directory=/data —pidfile=/var/lib/rwflowpack/log/rwflowpack.pid —log-level=info —log-destination=syslog
 3330 pts/0    S+     0:00 grep silk
root@shayan:~#

[احمد حقیقی]

کد: [انتخاب]

root@shayan:~# sudo ps ax | grep silk
 3308 ?        Ssl    0:00 /usr/local/sbin/rwflowpack —sensor-configuration=/data/sensor.conf —site-config-file=/data/silk.conf —archive-directory=/var/lib/rwflowpack/archive —output-mode=local-storage —root-directory=/data —pidfile=/var/lib/rwflowpack/log/rwflowpack.pid —log-level=info —log-destination=syslog
 3330 pts/0    S+     0:00 grep silk
root@shayan:~#

خوب این الان درسته، حالا باید yaf رو هم اجرا کنید
نیازی هم نیست کاربر روت باشید، ترجیها از کاربر خودتون با sudo استفاده کنید
بعد از اجرا سرویس با همون دستور قبلی

کد: [انتخاب]

sudo ps ax | grep silkیا با

کد: [انتخاب]

sudo ps ax | grep yafیا

کد: [انتخاب]

sudo service yaf statusاجرا بودنش رو بررسی کنید.

[elham-sh]

نیست

کد: [انتخاب]

root@shayan:~# sudo ps ax | grep yaf
 4085 pts/0    S+     0:00 grep yaf
root@shayan:~#

[احمد حقیقی]

میشه لاگ‌های yaf رو ببینم؟
مسیر ذخیره سازیش رو خودتون توی کانفیگش مشخص کردید، محتوای اون فایل رو بذارید

[elham-sh]

کد: [انتخاب]

[2017-07-02 06:33:57] yaf starting
[2017-07-02 06:33:57] Initializing Rules From File: /usr/local/etc/yafApplabelRules.conf
[2017-07-02 06:33:57] Application Labeler accepted 44 rules.
[2017-07-02 06:33:57] Application Labeler accepted 0 signatures.
[2017-07-02 06:33:57] DPI Running for ALL Protocols
[2017-07-02 06:33:57] Initializing Rules from DPI File /usr/local/etc/yafDPIRules.conf
[2017-07-02 06:33:57] DPI rule scanner accepted 63 rules from the DPI Rule File
[2017-07-02 06:33:57] DPI regular expressions cover 7 protocols
[2017-07-02 06:33:57] Forked child 3632.  Parent exiting
[2017-07-02 06:33:57] running as root in —live mode, but not dropping privilege
[2017-07-02 06:33:58] Processed 0 packets into 0 flows:
[2017-07-02 06:33:58]   Mean flow rate 0.00/s.
[2017-07-02 06:33:58]   Mean packet rate 0.00/s.
[2017-07-02 06:33:58]   Virtual bandwidth 0.0000 Mbps.
[2017-07-02 06:33:58]   Maximum flow table size 0.
[2017-07-02 06:33:58]   1 flush events.
[2017-07-02 06:33:58]   0 asymmetric/unidirectional flows detected (-nan%)
[2017-07-02 06:33:58] YAF read 0 total packets
[2017-07-02 06:33:58] Assembled 0 fragments into 0 packets:
[2017-07-02 06:33:58]   Expired 0 incomplete fragmented packets. (-nan%)
[2017-07-02 06:33:58]   Maximum fragment table size 0.
[2017-07-02 06:33:58] yaf terminating on error: couldn't create connected TCP socket to localhost:18000 Connection refused
[2017-07-02 06:43:25] yaf starting
[2017-07-02 06:43:25] Initializing Rules From File: /usr/local/etc/yafApplabelRules.conf
[2017-07-02 06:43:25] Application Labeler accepted 44 rules.
[2017-07-02 06:43:25] Application Labeler accepted 0 signatures.
[2017-07-02 06:43:25] DPI Running for ALL Protocols
[2017-07-02 06:43:25] Initializing Rules from DPI File /usr/local/etc/yafDPIRules.conf
[2017-07-02 06:43:25] DPI rule scanner accepted 63 rules from the DPI Rule File
[2017-07-02 06:43:25] DPI regular expressions cover 7 protocols
[2017-07-02 06:43:25] Forked child 3862.  Parent exiting

[احمد حقیقی]

این داره سعی می‌کنه به پورت ۱۸۰۰۰ وصل بشه، منتهی این پورت یا بسته است توسط فایروال یا اینکه سرویسی به این پورت گوش نمیده (که محتمل تره و فرض رو ب راین میذارم)
شما توی rwflowpack و همچنین yaf پورت تعیین می‌کنید، باید پورتی که سنسور بهش گوش میده با پورتی که yaf براش نت‌فلو می‌فرسته یکی باشن (البته می‌تونید چندین سنسور داشته باشید. در اینجا شما یک سنسور دارید)
شما با دستور زیر می‌تونید پورتی رو که rwflowpack بهش گوش میده رو پیدا کنید:

کد: [انتخاب]

netstat -anp | grep rwflowعددش هر مقداری بود، همون مقدار رو توی تنظیمات yaf درج کنید و سپس سرویس yaf رو ریستارت کنید



یا اینکه می‌تونید تنظیمات سنسور rwflowpack رو تغییر بدید تا به پورت ۱۸۰۰۰ گوش بده.

[elham-sh]

کد: [انتخاب]

root@shayan:/var/log/yaf/log# netstat -anp | grep rwflow
tcp        0      0 0.0.0.0:18001           0.0.0.0:*               LISTEN      3308/rwflowpack
unix  2      [ ]         DGRAM                    49928    3308/rwflowpack

چطوری؟
YAF_IPFIX_PORT=18000
اینو 18001 بذارم؟

[احمد حقیقی]

بله
بعدشم yaf رو ریستارت کنید

[elham-sh]

خب درست شد
الان هر دو run شدن
باید چیکار کرد ؟ گام بعدی رو لطف میکنین؟

[احمد حقیقی]

من نمی‌دونم شما چه استفاده ای میخواین

کلا شما توی yaf میگین به یک اینترفیس گوش بده و نت فلو تولید کنه و اون ها رو بفرسته به یک پورت خاص

اونوقت rwflowpack به اون پورت گوش میده و نت فلوها رو جمع میکنه
و بعد با استفاده از ابزار هایی نظیر rwfilter,rwstat,rwcut و ... می‌تونید کوئری بزنید و خروجی‌ها رو تحلیل کنید و گزارش‌های مختلفی بگیرید
man rwfilter

[elham-sh]

ممنون مهندس

کد: [انتخاب]

rwfilter --type=all --syn=1 --ack=0 --fin=0 --dport=21 \ --pass=stdout | rwstats --top --count=20 \ --fileds=1,2,3 --value=flows
اینا رو تست میکنم جواب نمیده

[احمد حقیقی]

شاید داده‌ای ندارید

خروجی دستور زیر رو بررسی کنید:

کد: [انتخاب]

rwfilter --type=all --proto=0-   --pass=stdout | rwcut