OSSIM安裝注意事項

OSSIM安裝注意事項

1.如何選擇OSSIM版本

SIEM (安全信息和事件管理)是軟件和服務的組合，是安全信息管理和安全事件管理的融合體。SIEM能夠管理企業IT資源產生的安全信息（包括日誌、告警等）進行統一的實時監控誤操做行爲進行監控、審計分析、調查取證、出具各類報表報告。OSSIM就是開源版的SIEM，對大型企業有商業版，對於社區有開源版OSSIM，他們主要區別見表1所示。

表1

注意：OSSIM USM ALL-IN-ONE  (包含Sensor、Framework、Server、Database)

因爲低版本的OSSIM架構相對簡單，運行環境要求比較低，因此初學者建議使用低版本的OSSIM，當你對OSSIM原理有深入理解以後能夠在AlienVault官網下載新版繼續研究。假如一個初學者使用OSSIM的最新版，你會遇到一些你沒法解釋通的困惑。

[OSSIM4網盤下載(https://pan.baidu.com/s/1i3l9COH)   （適用於機器內存小於8G的用戶）

[OSSIM5網盤下載 (https://pan.baidu.com/s/1ptphG)    （適用於機器內存小於16G的用戶）

2.OSSIM安裝準備

凡事預則立，不預則廢,下面幾個問題須要你慎重考慮：

（1）首先肯定監控範圍，須要監控幾個網段的多少臺服務器，每臺設備的日最高流量爲多大（須要按峯值考慮）,每臺設備都須要能聯繫到相應的管理員。

（2）肯定監控對象，雖然說OSSIM可以監控多臺設備，以及各類網絡服務器等，但實際上爲了保證性能符合咱們的要求，不能無節制的開啓服務，例如使用OSSIM的流量監控那麼須要啓動Ntop、Nagios等相關服務，使用OSSIM的漏洞掃描功能只須要啓動Openvas、Nessus和Nmap等相關服務，使用Ossec做爲HIDS使用，狀況也是如此，若是硬件配置出衆，那麼再多啓動一些服務也無妨，可是有一點，MySQL數據庫承載和響應速度是有個極限的，即使是硬件配置高，服務開啓多了，照樣會出現系統延遲。

（3）從操做人員配備上看，必須由專人負責，熟悉Linux系統+網絡架構+MySQL+PHP的中、高級網絡工程師來擔任OSSIM的管理員。在OSSIM系統投入初期有個機磨合期，以後系統運行走向正軌後，將會給企業網絡運營審計工做帶來收益。

（4）硬件選擇，能夠採用品牌服務器l例如DELL PowerEdgeR6十、720等。對於中小企業也能夠根據本身需求，但整體配置有個要求，這裏以OSSIM 4.8系統爲例，目前系統對多核性能支持的比較好，推薦採用至強E系列處理器，OSSIM在漏洞掃描，Ossec掃描，Snort事件分析時會消耗大量CPU，因此要儘可能選擇高性能CPU，尤爲是在OSSIM USM發展到5.0以後，數據庫採用了MySQL 5.6，對多CPU需求更高。

就內存而言 ，只有一個道理：越大越好 。當數據庫的所有數據頁能保存在緩衝池中，那麼其性能 理論上是最優狀態。 對於新版本OSSIM，建議須要配備16G以上內存，通過長期測試，對於OSSIM 4（64位）版本系統而言，若是內存分配小於6G在實際測試中系統工做一段時間以後，因爲內存溢出等問題，可能出現某些服務自動重啓或沒有響應的狀況。

因此16G內存是穩定運行的一個經驗值（並且監控選項和插件選項是有正對性的開啓）另外系統還須要2T的存儲空間，有能力配備32G就爲比較理想的選擇。筆者在測試環境中採用本身攢的服務器，配置以下：華碩P8Z87-K+Intel I7 4770K+32G內存+雙千兆Intel網卡+4T硬盤的配置下安裝OSSIM 4.8一次性經過，運行效果比較理想,有條件的企業建議採用固態硬盤。

3.什麼服務器適合安裝OSSIM？

選擇服務器必須注意該款服務器所支持的操做系統，它決定了是否能安裝服務器的硬件驅動。一般聯想、IBM、HP、DELL的服務器均不支持Debian Linux，但他們不少款型號的服務器都支持VMware ESX，因此初學者經過虛擬化方式部署OSSIM服務器。

     3.1服務器網卡的選擇問題

一般，你們在實體服務器上經過光盤安裝OSSIM過程當中，沒有提示輸入IP、網關等配置，進入系統後才發現網卡沒有加載驅動，這時候你再回過頭去下載服務器網卡驅動，比較麻煩，那到底OSSIM系統須要什麼樣的網卡呢？若是OSSIM工做在千兆網絡環境，建議加裝一塊性能優異的網卡，首推Intel Pro網卡，它是著名品牌且性能穩定，可顯著的改善服務器網絡性能的特性，解決網絡傳輸瓶頸。

Intel推出了最新一代的千兆萬兆網絡適配器芯片：82575/82576以及82598/82599，代號分別爲Zoar/Kawela/Oplin/Niantic。其中代號爲Kawela的Intel 82576芯片在千兆網卡里面屬於功能最強大的，它支持PCIe 2.0 x4界面，具有多個RSS隊列的網卡，能夠將不一樣的網絡鏈接分紅不一樣的隊列，進而分別發送到不一樣的CPU核心上進行處理，從而將負荷分散，充分利用多核處理器的能力。

到底哪一種網卡最適合OSSIM呢？從安裝方便程度和價格上看當屬Intel Pro 10/100/1000網卡，但它的吞吐量並非最好，OSSIM自帶Intel Pro網卡驅動，另外選擇Realtek瑞昱8169芯片（OSSIM直接帶驅動）網卡也是一種選擇比Intel略遜一籌，比它更好的例如Intel Gigabit ET Quad Port Server Adapter，型號是E1G44ET，這須要你手動安裝驅動，這塊基於兩個82576芯片的強大四口千兆網卡，適和大流量網絡環境下監控，但價格比較貴。

    3.2 CPU的選擇

       對於CPU的選擇，儘可能選擇多路誌強處理器，由於在OSSIM框架內的絕大多數服務都支持多線程，如表2所示。

在多核運算上，從總體而言也不是CPU越多越好，好比咱們選擇一款Xeon E5-2680 CPU，八核心十六線程20M三級緩存強大處理器。若是在增長CPU對於提高系統性能並不明顯，另外咱們也須要知道如何查看CPU指標，主要是經過在系統中查看/proc/cpuinfo文件獲取，咱們會發現如下信息：

Ø  CPU的物理個數。

Ø  具備幾個邏輯核。

Ø  CPU是否啓用超線程。

Ø  CPU的主頻。

Ø  邏輯CPU、CPU型號。

    3.3 RAID模式

   若是選用 RAID 5 安裝OSSIM會遇到啓動問題，在測試中發現RAID 0是一種很是不錯的選擇。其餘RAID模式在安裝Grub時會報錯。

4.準備虛擬機軟件

採用虛擬機安裝OSSIM是最方便快捷的一種方式，虛擬機工具推薦VMware workstations、VirtualBOX。若是你選擇Xen Server或KVM等其餘虛擬化工具會耽誤不少寶貴的時間。

5.安裝常見故障

對於OSSIM的安裝過程比較簡單和其Linux沒有本質區別，貼一大堆圖在這裏沒有必要，這裏須要說明的是下面安裝故障的處理方法。

下面筆者列舉了一些常見的OSSIM安裝錯誤，以便你們在從此安裝中少走彎路，實例例舉以下：

（1） 禁止OSSIM Server以及Sensor的非法關機，這將有可能形成數據庫損壞。
OSSIM系統在非法關機後，重開機的畫面，左邊爲啓動系統畫面，但長期停留在此畫面，但F2進入命令後發現右邊的提示，這就是非法關機後果，最後幾經周折修復文件系統後才恢復系統。

（2）將OSSIM串聯在防火牆鏈路以後運行。

若是想利用OSSIM中的iptables+TC作安全網關和簡單的流量控制這種方案是可行的，若是將它做爲網絡數據包審計和日誌收集分析那麼就不適合串聯在防火牆以後，這種部署方式就是錯誤的。

(3) 切勿輕易對系統進行升級
在OSSIM中升級系統很簡單，只需在命令行下輸入alienvault-update，此時若是你的系統又恰逢沒有備份，極可能找成一些系統服務配置被重置（這是內部框架BUG形成），此時在打開WebUI會形成數據錯誤沒法讀取。因此升級系統最佳時機在剛安裝完OSSIM時，其餘時間切勿再用這條命令。

（4）OSSIM流量收集分析口在交換機沒有正確設置SPAN。

這種也屬於初學者常見的問題之一，在使用OSSIM作IDS分析時必定要將所檢測網段的所有流量鏡像過來，方法之一就是SPAN，固然對於流量很大的狀況能夠採用網絡分流器（Net-TAP）這種硬件卡實現分流目的。

（5）安裝時只安裝了Sensor組件。

初學者在初次安裝OSSIM系統時只安裝了Sensor，致使沒法使用。這是應該避免的錯誤。

（6）OSSIM裝好了系統，長期置之不理。

OSSIM它是一套智能分析提供，同時也須要天天對其進行維護，不然真的要「罷工」啦！筆者建議指定專門的網絡安全分析師天天觀察OSSIM蒐集的情報，以便及時進行調整。

（7）多此一舉-安裝SELinux。

SELinux全稱是Security Enhanced Linux安全強化Linux，是MAC(Mandatory Access Control強制訪問控制系統)的一個實現，目的在於明確的指明某個進程能夠訪問哪些資源（包括文件，網絡端口等）。有些朋友考慮加固OSSIM系統，由於系統默認沒有啓用SELinux，因此想手工安裝SELinux。從安全角度考慮，這種想法沒有錯，可是alienvault公司並無爲OSSIM 組件作這方面的設置，也就是說若是在沒有徹底多OSSIM全部組件作好這方面準備以前，冒然啓用了SELinux，那麼後果很嚴重。SeLinux不但改變了文件權限，並且還禁止了so庫的調用，因此整個OSSIM系統沒法啓動。

（8）計算機硬件配置與軟件要求不匹配問題，例如在低配置的計算機上安裝了較新的OSSIM版本。

很多用戶會嘗試在低配置的計算機上安裝OSSIM 高版，這樣抓包流量過來以後不但起不到然和做用反而會讓系統內部負荷大到足以停滯的程度。表3列出了OSSIM版本和所需內存的關係。

9）用OSSIM系統來管理客戶機

OSSIM適合管理機房服務器和網絡設備而不宜用來管理大量客戶機。

10）Server和Sensor的角色能經過軟件添加刪除而互換

要更換角色，除了重裝沒有其它方法。

11）啓用過多插件

對於新手經常喜歡將一些本身認識的插件全加載到系統中（尤爲是混合式安裝的OSSIM要承擔更多壓力），要知道插件內主要是正則表達式，當它在處理事件是是要消耗內存、磁盤空間和CPU等資源，加載的越多消耗越大，當Sensor將事件歸一化處理完以後還需傳給後續關聯引擎屢次分析這樣進一步加大系統負載，因此並非添加越多越好。

12）Ossim錯誤部署方式

不要用Ossim系統收集負載均衡服務器日誌，覺得每臺負載均衡服務器天天會產生數百GB的訪問日誌，全網負載均衡服務器的日誌量幾十TB，即便是經過Gzip壓縮也有3-4TB,這麼大的負載會將Ossim系統壓垮。

13）反覆調整系統的時間/時區

必定要設置好時區、時間，一旦調整好，系統運行必定階段後，禁止在修改這各時間。不然SIEM，日誌會發生故障。
14) 最重要的放到最後，你的網絡中必須有夠順利訪問Google站點的主機只有經過這臺可以訪問google的主機，才能開到將IP信息OTX信息可視化方式展現在地圖上。