OSSIM服務端口說明
1.背景mysql
當Sensor和Server之間沒法通信時會形成如下子系統沒法顯示數據:redis
Ø Dashboards 儀表盤sql
Ø Analysis→SIEM數據庫
Ø Vulnerabilities漏洞掃描沒法正常工做apache
Ø Profiles→Ntopapi
Ø Detetion→OSSEC Server失效緩存
Ø Deployment→Alienvault→Center沒法聯繫安全
Ø Asset可啓動掃描單掃描到的資源沒法添加到數據庫服務器
在調試故障時,OSSIM管理員須要對Sensor和Server之間各項服務的通信端口瞭如指掌。爲了說明通信端口下面咱們簡單看一個架構示意圖,如圖1所示,接着來講明各類端口及對於進程。架構
圖1
2.端口說明
根據上圖1,咱們能夠勘察OSSIM核心組件包括兩部分,一部分是服務器(Server Host),另外一部分是傳感器(Sensor Host)。Server Host包括:Server、Web Framework、Database、Identty Management、Vulnerability Management。Sensor Host包括:Agent、Vulnerability Scanner、Log Collection。它們通信端口如表1、表2概括所示。
表1 OSSIM 開放服務器端口分配表
協 議 |
端 口 |
進程 |
做 用 |
TCP |
22 |
sshd |
Alienvault_api服務器與sensor之間遠程通信 |
TCP |
443 |
apache2 |
Https-Web UI |
TCP |
40001 |
ossim-ser |
Alienvault-server服務器進程與Agent之間通信端口 |
TCP |
3306 |
mysqld |
Server和framework鏈接mysql數據庫的通信端口 |
TCP |
40002 |
ossim-ser |
Alienvault-idm-identity身份認證進程 |
TCP |
40003 |
ossim-fra |
Alienvault框架的WebUI進程,由/etc/ossim/server/config.xml控制 |
TCP |
40004 |
av-forwar |
OSSIM服務器之間的Log傳送端口(僅在USM中) |
TCP |
40005/40006 |
machete/mixterd |
Alienvault Smart Event Collection Service (僅在USM 中) |
TCP |
40007 |
Server和sensor間的狀態監視端口 |
|
TCP |
40008 |
Alienvault-idm-identity身份認證管理進程 |
|
TCP |
40011 |
alienvault-api |
Api通信端口,綁定IP爲127.0.0.1 |
UDP |
514 |
rsyslogd |
Rsyslog,日誌收集服務 |
TCP |
11211 |
memcached |
緩存服務器端口 |
TCP |
4369 |
rabbitmq |
消息服務器 |
TCP |
6379 |
redis |
消息隊列存儲、加速 |
TCP |
3128 |
squid |
反向代理 |
表2 OSSIM傳感器端口分配表
協 議 |
端 口 |
進程 |
做 用 |
TCP |
22 |
sshd |
SSH遠程安全鏈接 |
UDP |
555 |
fprobe |
一個NetFlow探針 |
TCP |
9390 |
openvasmd |
Openvas管理客戶端(進程名爲openvassmd, Manager daemon of the Open Vulnerability Assessment System) |
TCP |
9391 |
openvassd |
Openvas漏洞掃描進程, The Scanner of the Open Vulnerability Assessment System。 |
TCP |
4949 |
Munin-nod |
Munin,傳感器的監視服務器 |
TCP |
40007 |
Server和Sensor狀態監控,若是Sensor宕掉,將沒法聯繫Server |
|
UDP |
514 |
syslogd |
爲syslog協議通信使用,做爲日誌收集服務 |
UDP |
1514 |
ossec-agentd |
OssecServer和Agent之間的通信端口,做爲代理管理服務通信端口使用。 |
UDP |
1194 |
遠程傳感器經過×××鏈接Server的通信端口 |
|
UDP |
12000及以上端口 |
用於Netflow收集,在OSSIM系統中文件/etc/nfsen/nfsen.conf負責定義,分佈式環境中多個Sensor啓用了Netflow,則端口號依次爲12000、12001、12002等,除此以外還有的系統用9995、9996通信 |
上表中所指的USM表示OSSIM企業版中自帶功能。對於分佈式OSSIM系統的通信端口咱們簡化爲下圖2所示。
圖2
3.故障查找舉例
掌握上述端口的做用,對於從此維護OSSIM很是有幫助,接下來咱們看個實例,例如OSSIM Sever中止運行,如何找緣由?當ossim server 中止運行,它也就再也不40001端口監聽,這樣探針發回來的數據也就沒法收集到,咱們在哪兒查找問題呢?首先看看端口狀況
#netstat -lnt |grep 4000
tcp 0 0 0.0.0.0 40003 0.0.0.0:* LISTEN
正常能看到40001、40002、4003、40007出現情況後只有40003在監聽,下面咱們就需查看日誌了,首先在OSSIM 2.x、OSSIM 3.x系統能夠到/var/log/ossim/server.log日誌文件中查看信息,OSSIM 4.x版本需到/var/log/alienvault/server.log中查看。
另外咱們瞭解這些端口及核心進程以後在咱們使用tcpdump等抓包工具時纔能有的放矢。
- 1. FTP服務安裝與端口說明
- 2. Hadoop端口說明
- 3. 端口號說明
- 4. SVN服務端使用說明(二)
- 5. liugroup服務器說明
- 6. vsftp服務配置說明
- 7. 接口說明
- 8. cookie和session舉例說明(你=客戶端 學校=服務端)
- 9. SVN服務端和客戶端的說明與操作
- 10. 端口與服務
- 更多相關文章...
- • Eclipse 窗口說明 - Eclipse 教程
- • 服務端腳本 指南 - 網站建設指南
- • Spring Cloud 微服務實戰(三) - 服務註冊與發現
- • Github 簡明教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. Duang!超快Wi-Fi來襲
- 2. 機器學習-補充03 神經網絡之**函數(Activation Function)
- 3. git上開源maven項目部署 多module maven項目(多module maven+redis+tomcat+mysql)後臺部署流程學習記錄
- 4. ecliple-tomcat部署maven項目方式之一
- 5. eclipse新導入的項目經常可以看到「XX cannot be resolved to a type」的報錯信息
- 6. Spark RDD的依賴於DAG的工作原理
- 7. VMware安裝CentOS-8教程詳解
- 8. YDOOK:Java 項目 Spring 項目導入基本四大 jar 包 導入依賴,怎樣在 IDEA 的項目結構中導入 jar 包 導入依賴
- 9. 簡單方法使得putty(windows10上)可以免密登錄樹莓派
- 10. idea怎麼用本地maven
- 1. FTP服務安裝與端口說明
- 2. Hadoop端口說明
- 3. 端口號說明
- 4. SVN服務端使用說明(二)
- 5. liugroup服務器說明
- 6. vsftp服務配置說明
- 7. 接口說明
- 8. cookie和session舉例說明(你=客戶端 學校=服務端)
- 9. SVN服務端和客戶端的說明與操作
- 10. 端口與服務