OSSIM学习之路中如何面对失败?


      OSSIM与其他Linux系统一样,也会出现各种问题和故障。由于网上能直接找到的资料有限,很多新手都担心出现问题,面对问题显得捉襟而见肘,一个个问题接踵而来,显得无可奈何。

     其实学习OSSIM,可以充分暴露你的“知识短板”,体现在你学习编程语言、数据库、操作系统、TCP/IP、网络安全的各个方面,不过通过解决了OSSIM里遇到的问题,就会逐步弥补这些缺陷。学习就是一个发现问题与解决问题的过程,只要掌握了OSSIM体系结构和运行原理,很多"问题"都不算问题。当然前提是我们已经具有扎实的基本功包括如下内容:


0).能看懂英文;


1).网络原理尤其是TCP/IP的内容;


2)  .Debian Linux系统和网络管理;


3).MySQL数据库基本操作;


4).服务器、网络设备运维基础;


5).系统***与应急响应;


6).IDS部署和SIEM/SOC应用基础;


要成为OSSIM系统运维人员,面对问题头脑中必须有一套清晰明确的解决故障思路,一般有以下5种情况:


0).从屏幕报错挖掘幕后问题: 其实OSSIMWebUI中报错,主要内容都显示在屏幕,你只要根据错误提示(前提是能读懂文)基本能猜出出现问题的几种可能性,


1).查看日志文件:Web 前台给你报错了,在后台日志就有详细的错误日志,系统日志在/var/logOSSIM日志在/var/log/ossim or /var/log/alienvault/ 结合着两个目录下的Log就有可能继续发掘问题。


2).定位问题:这个过程相对复杂,进过Web里的提示和Log挖掘的日志就基本能推测出现问题的几种途径。


3).解决问题:抓住最有可能的途径进行排除,最后就能发现真正的问题之处。


4).不可恋战:有些人特别执着,有着不解决问题誓不罢休的架势,遇到一些OSSIM故障问题,各种思路都尝试做了就是得不到自己想要的结果,这时就不要在恋战了,可以跳过这个问题,继续前进。或者通过休息等其他形势来疏解一下心中的情绪。很可能在过几天的实验结果中联想到今天的实验失败的事,激发出新的灵感从而解决以前难以解决的问题。


      以上只是解决问题的流程,我觉得试验失败是一段充满教育性的成长经历,没有失败为你积累经验,何谈成功呢?失败次数越多你对它的理解就越深,离突破性成功就越近。但很多人却不这么看,他们在安装配置OSSIM过程中,接连遇到12个失败的经历,就对这款工具没什么兴趣以至于最后放弃。


在安装阶段会遇到的典型问题:


0).无法找到硬盘或者网卡驱动,这主要是硬件驱动问题,初学者只要选择VMware虚拟机安装一般都能解决。


1).安装过程在OpenVas解包安装时,界面上出现卡死(其实是在后台更新脚本时间比较长,在安装界面表现得状态为长时间没有动静)很多人在这个环节直接将机器重启,认为自己的操作或者安装文件出了问题。其实只要耐心等待20分钟就能过去。


2).系统引导是短暂的,还有时候偏偏就长期停留在引导界面,这是种假象,只要在控制台按下ctrl+alt+f3就会出现命令行登录界面。


3).安装完成,经过长时间的系统引导,发现无法登录WebUI


4).登录Web UI后设置admin密码不符合系统要求的复杂度要求,其实采用8位字母数字的组合就能快速解决。


      除此之外还有路由不通、图形无法显示、抓不到包,采集不到日志等许多稀奇古怪的问题等着你。只要你还在坚持学习OSSIM,就会不断有各种问题冒出来,无论你是新手还是专家。老问题解决了,换个环境,新问题还会不断发生,如果都能一一化解,增强的就是你的业务能力,和解决问题分析问题的能力。