談OSSIM服務器內存開銷問題

• 談OSSIM服務器內存開銷問題

OSSIM經歷十多年發展，目前已經成爲最優秀的開源安全事件信息管理平臺，它在我國的應用纔剛剛起步。多年前，在國外考查時我意外發現了這款優秀的軟件系統，並不斷改進以後開始在國內開始推廣應用OSSIM，在我撰寫的《Unix/Linux網絡日誌與流量監控》一書中花費30%的筆墨，講述了OSSIM部署及應用技巧。但初學者每每多這種系統的硬件要求之高並不理解，本文就談談到底OSSIM的哪些服務在消耗着內存。除操做系統本生如下子系統將消耗大量內存。（有關係統硬件選型問題你們可參考個人專著）

1）.iptables鏈、表及規則都消耗有限的系統內存，並且規則加載越多消耗內存越大；

2）.Snort模塊，工做時既消耗CPU計算資源它的規則同時消耗大量內存，咱們知道，利用Snort能夠將SPAN過來的流量進行深度包檢測，這是系統須要對數據包的內容進行識別，分析和分類，將採用基於字符串的多模式匹配算法和基於正則表達式的多模式匹配算法，這樣以來大部分CPU的計算時間將被snort佔用，與此同時snort還會鏈接數據庫產生大量日誌從而佔用磁盤IO；

3）Squid，實現squid對本機的apache服務實現加速功能,咱們能夠在/etc/squid3/squid.conf配置文件的「Recommended minimum configuration」推薦最小化配置一欄查找具體配置；

4）Memcache,當數據量大時，利用memcached能夠緩存session數據、臨時數據以減小對他們的數據庫寫操做，但它消耗內存也很大；

5) Redis、memcache,都是基於key/value存儲，當插入的數據越多時消耗內存越大，當數據繼續增長他們有可能會佔用70% 的內存，消耗很大；

6)LAMP,除Linux系統自己的內存消耗外，還有Apache、Mysql、PHP及模塊的內存消耗；

7)OSSEC,利用規則進行入侵檢測分析時，消耗大量內存；

8）OpenVas在進行漏洞掃描時會加載漏洞庫這樣會消耗大量內存；

9）Ntop，在監控時，在讀取流量到Ntop中，ntop將產生大量主機數量，這可能消耗大量服務器內存；若是利用"q」參數將ntop產生的能夠包轉儲爲文件在這一過程當中，一樣消耗內存；

10）Agent，在Sensor中包含上百個Agent插件這些都消耗着大量內存；

11）Alienvault框架運行一樣消耗內存；

12）OSSIM中關聯引擎的聚合模塊，在處理複雜報警並對報警事件進行聚合處理時，會進行大量計算消耗內存以及CPU資源，特別是對於短期屢次連續攻擊，掃描引擎的報警數目更多，基於網格的聚合方法，合併起來系統作關聯分析任務量很大，因此會消耗大量系統資源。

最重要的三個指標：內存大小、CPU數量、磁盤I/O及網絡I/O大小

16GB內存是基本配置就不足爲奇，最好將服務器內存配置到32GB及以上。若是服務器內存小於8GB的環境中使用OSSIM，還不如如今就放棄 :-)