《Unix/Linux网络日志分析与流量监控》一书中告诉大家如何通过Alienvault-center 方式修改,另外有关OSSIM中设置网卡过程中,还需要注意以下3个问题:
1)为什么手工修改OSSIM主机地址,eth0网卡IP后其它服务启动错误?
当OSSIM Server 安装完毕,通过命令行或配置文件修改命令的方式是错误的,
因为只修改网卡的IP地址,但其它进程依然在以前的地址上监听,所以系统就会报错。
例如,在安装服务器是配置IP为10.0.2.20,安装完毕发现IP不合适,又手工用ipconfig修改了eth0 ip地址,但是用是发现出现,Error!Unable to launch remote network scan: Can‘t connect with frameworkd (10.0.2.20:40003)报错,就属于这种原因。
2).混杂模式的网卡需要设置静态IP地址吗?
首先需要知道网卡处于混杂模式(Promiscuous Mode)代表什么含义。混杂模式(Promiscuous Mode)是指一台机器能够接收所有经过它的数据流,而不论其目的地址是否是它,但到了交换机的时代,就出现了新的问题,当拿到一台交换机,插上网线的这个端口,默认情况下并不能收集到所有的数据。这时,就算将网卡设置为混杂模式也无法监听到所有数据包(接到的只是给本身IP的数据和广播数据)。
那么在交换网络中实现数据监听的方式之一是设置交换机的SPAN。再回到我们的问题上来,给混杂模式的网卡设置IP就如同画蛇添足。
查看网卡是否支持混杂(promisc)模式
# ifconfig eth0
设置支持promisc
# ifconfig eth0 promisc
正常工作的网卡的正常工作模式为MULTICAST,混杂模式为:PROMISC MULTICAST
取消网卡混扎模式
#ifconfig eth0 -promisc
3).完成OSSIM系统安装部署试验,最少需要几块网卡?
对于这个问题我们需要有上面解答的基础,在一块网卡的情况下,而且是流量不大(小于50%标准容量),完全可以模拟所有ossim试验,这款网卡指定IP是为了便于管理和收集日志,设置为混杂模式是为了监听网络数据包流量。在条件允许的情况下建议管理口和监听口分别由不同的网卡担任。