OSSIM服务端口说明
1.背景mysql
当Sensor和Server之间没法通信时会形成如下子系统没法显示数据:redis
Ø Dashboards 仪表盘sql
Ø Analysis→SIEM数据库
Ø Vulnerabilities漏洞扫描没法正常工做apache
Ø Profiles→Ntopapi
Ø Detetion→OSSEC Server失效缓存
Ø Deployment→Alienvault→Center没法联系安全
Ø Asset可启动扫描单扫描到的资源没法添加到数据库服务器
在调试故障时,OSSIM管理员须要对Sensor和Server之间各项服务的通信端口了如指掌。为了说明通信端口下面咱们简单看一个架构示意图,如图1所示,接着来讲明各类端口及对于进程。架构
图1
2.端口说明
根据上图1,咱们能够勘察OSSIM核心组件包括两部分,一部分是服务器(Server Host),另外一部分是传感器(Sensor Host)。Server Host包括:Server、Web Framework、Database、Identty Management、Vulnerability Management。Sensor Host包括:Agent、Vulnerability Scanner、Log Collection。它们通信端口如表1、表2概括所示。
表1 OSSIM 开放服务器端口分配表
协 议 |
端 口 |
进程 |
做 用 |
TCP |
22 |
sshd |
Alienvault_api服务器与sensor之间远程通信 |
TCP |
443 |
apache2 |
Https-Web UI |
TCP |
40001 |
ossim-ser |
Alienvault-server服务器进程与Agent之间通信端口 |
TCP |
3306 |
mysqld |
Server和framework链接mysql数据库的通信端口 |
TCP |
40002 |
ossim-ser |
Alienvault-idm-identity身份认证进程 |
TCP |
40003 |
ossim-fra |
Alienvault框架的WebUI进程,由/etc/ossim/server/config.xml控制 |
TCP |
40004 |
av-forwar |
OSSIM服务器之间的Log传送端口(仅在USM中) |
TCP |
40005/40006 |
machete/mixterd |
Alienvault Smart Event Collection Service (仅在USM 中) |
TCP |
40007 |
Server和sensor间的状态监视端口 |
|
TCP |
40008 |
Alienvault-idm-identity身份认证管理进程 |
|
TCP |
40011 |
alienvault-api |
Api通信端口,绑定IP为127.0.0.1 |
UDP |
514 |
rsyslogd |
Rsyslog,日志收集服务 |
TCP |
11211 |
memcached |
缓存服务器端口 |
TCP |
4369 |
rabbitmq |
消息服务器 |
TCP |
6379 |
redis |
消息队列存储、加速 |
TCP |
3128 |
squid |
反向代理 |
表2 OSSIM传感器端口分配表
协 议 |
端 口 |
进程 |
做 用 |
TCP |
22 |
sshd |
SSH远程安全链接 |
UDP |
555 |
fprobe |
一个NetFlow探针 |
TCP |
9390 |
openvasmd |
Openvas管理客户端(进程名为openvassmd, Manager daemon of the Open Vulnerability Assessment System) |
TCP |
9391 |
openvassd |
Openvas漏洞扫描进程, The Scanner of the Open Vulnerability Assessment System。 |
TCP |
4949 |
Munin-nod |
Munin,传感器的监视服务器 |
TCP |
40007 |
Server和Sensor状态监控,若是Sensor宕掉,将没法联系Server |
|
UDP |
514 |
syslogd |
为syslog协议通信使用,做为日志收集服务 |
UDP |
1514 |
ossec-agentd |
OssecServer和Agent之间的通信端口,做为代理管理服务通信端口使用。 |
UDP |
1194 |
远程传感器经过×××链接Server的通信端口 |
|
UDP |
12000及以上端口 |
用于Netflow收集,在OSSIM系统中文件/etc/nfsen/nfsen.conf负责定义,分布式环境中多个Sensor启用了Netflow,则端口号依次为12000、12001、12002等,除此以外还有的系统用9995、9996通信 |
上表中所指的USM表示OSSIM企业版中自带功能。对于分布式OSSIM系统的通信端口咱们简化为下图2所示。
图2
3.故障查找举例
掌握上述端口的做用,对于从此维护OSSIM很是有帮助,接下来咱们看个实例,例如OSSIM Sever中止运行,如何找缘由?当ossim server 中止运行,它也就再也不40001端口监听,这样探针发回来的数据也就没法收集到,咱们在哪儿查找问题呢?首先看看端口状况
#netstat -lnt |grep 4000
tcp 0 0 0.0.0.0 40003 0.0.0.0:* LISTEN
正常能看到40001、40002、4003、40007出现情况后只有40003在监听,下面咱们就需查看日志了,首先在OSSIM 2.x、OSSIM 3.x系统能够到/var/log/ossim/server.log日志文件中查看信息,OSSIM 4.x版本需到/var/log/alienvault/server.log中查看。
另外咱们了解这些端口及核心进程以后在咱们使用tcpdump等抓包工具时才能有的放矢。
- 1. FTP服务安装与端口说明
- 2. Hadoop端口说明
- 3. 端口号说明
- 4. SVN服务端使用说明(二)
- 5. liugroup服务器说明
- 6. vsftp服务配置说明
- 7. 接口说明
- 8. cookie和session举例说明(你=客户端 学校=服务端)
- 9. SVN服务端和客户端的说明与操作
- 10. 端口与服务
- 更多相关文章...
- • Eclipse 窗口说明 - Eclipse 教程
- • 服务端脚本 指南 - 网站建设指南
- • Spring Cloud 微服务实战(三) - 服务注册与发现
- • Github 简明教程
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. FTP服务安装与端口说明
- 2. Hadoop端口说明
- 3. 端口号说明
- 4. SVN服务端使用说明(二)
- 5. liugroup服务器说明
- 6. vsftp服务配置说明
- 7. 接口说明
- 8. cookie和session举例说明(你=客户端 学校=服务端)
- 9. SVN服务端和客户端的说明与操作
- 10. 端口与服务