NIP 控制台不上报入侵日志故障排除步骤

发布时间:  2013-07-02 浏览次数:  171 下载次数:  0
问题描述
NIP 控制台不上报入侵日志  
告警信息
处理过程
第一:通过NIP控制台主菜单上的“引擎状态”查看是否有流量到达引擎,并确认攻击流量是否达到了引擎。如果没有,则说明流量镜像存在问题;如果有,转下一步。




第二:在主窗口中选择[日志/日志入库]菜单项,有[启动]和[停止]两个子菜单,如图4-54所示,用于控制引擎日志接收和自动备份日志等进程是否运行。



l   启动:控制台自动接收实时日志、统计日志,并进行自动备份等操作。
l   停止:停止自动接收实时日志、统计日志及自动备份等各种操作。如果选择该选项,则需要手动接收相关日志及进行备份等操作。

第三:添加引擎时,需要勾选“实时接收日志”,否则控制台将不接收此引擎上报的日志。



第四:通过控制台主菜单的“系统->服务管理”查看两个日志服务器是否正常运行,如果正常运行转第六步;没有正常运行转第五步。
第五: 查看是否被DEP关闭,DEP设置方法如下:Windows下的DEP(Date Execution Prevention数据执行保护)是一种安全保护机制。但由于保护机制的限制过于严格,一些正常的程序也会被“误杀”而导致不能执行。我们NIP控制台需要运行两个服务。这两个服务会被DEP阻断,从而导致NIP引擎上的数据不能正常传到控制台来。进而会出现各种比如事件看不到,流量不显示等问题。要解决该问题,需要关闭DEP的部分功能。操作方法
在系统属性中修改(这种方法并不是完全关闭数据执行保护)。具体如下:
在“我的电脑”单击右键,选择“属性→高级→(性能)设置→数据执行保护”。



	 选择“仅为基本windows程序和服务启用DEP”。确定并重启电脑后设置生效。  第六:然后在策略编辑器中,点击“网络”,弹出“编辑网络组”对话框,添加一个需要监控的网络。并将其中的“内部IP”勾上。    第七:NIP能够识别802.1q(即带vlan标签)的报文,但是不能识别mpls的报文。同时由于NIP是基于上下文的检测,所以需要镜像双向流量。请确认报文类型及交换机上镜像配置是否正确。第八:确认使用的policy中相应的策略是否打勾,相应策略中是否有“常规日志”的策略。    第九:如果使用了ACCESS数据库保存日志,因为ACCESS数据库不能大于2GB,所以当日志达到2GB后,因为不能保存日志,所以不会再从引擎上收日志,而是缓存在引擎本地,直到控制台做了日志备份操作,清空当前日志数据库后,可以继续看到实时报警。控制台默认是30天备份一次,建议当数据库超过100M就对数据库备份。
  
根因
建议与总结

END