开源安全运维平台OSSIM疑难解析:入门篇

开源安全运维平台OSSIM疑难解析:入门篇 

 2019年暑期,众所期待的新书《开源安全运维平台OSSIM疑难解析--入门篇》由人民邮电出版社正式出版发行。此书从立意到付梓,历时超过两年,经过数十次大修,历经曲折与艰辛,希望为大家代奉献一本好书,愿这本书能陪伴OSSIM用户一起进步一起成长。


一、写作目的

目前,OSSIM在中国移动、中国电信、中国石油、华为等大型企业内得到应用推广,这些企业在安全运营中心(SOC)基础上组建了OSSIM运维和二次开发团队,但图书市场缺乏专门讲解OSSIM运维和开发的书籍。为了解答OSSIM运维工程师在工作中遇到的疑难问题,本书应运而生。
本书借助作者在OSSIM领域长达10年的开发应用实践经验,以大量实际问题为线索,阐述了基于插件收集的日志并实现标准化、安全事件规范化分类、网络威胁情报、事件关联分析等前沿技术问题。
本书涵盖的知识面广,讲解由浅入深。本书可以帮助初学者熟悉OSSIM基础架构,能完成系统安装、部署任务,能处理安装故障,并对Web UI进行简单的汉化。对于中、高级用户而言,通过学习本书可以将OSSIM框架和底层源码融汇贯通,通过开发脚本来深挖OSSIM的潜力。
本书编写形式新颖,表达方式独特,图文并茂,通俗易懂,有着很强的实用性。读者在学习和阅读的过程中可以针对自己感兴趣的问题得到及时、明确的解答。在满足碎片化阅读的同时,本书还通过近百道课后习题加深读者对OSSIM系统的理解。

二、本书主要内容

本书介绍了开源OSSIM系统安装部署以及运维管理的若干疑难问题,共分为10章。

  • 第1章,SIEM与网络安全态势感知,讲解SIEM系统与网络安全态势感知技术在OSSIM系统中的应用。
  • 第2章,OSSIM部署基础,讲解OSSIM部署过程中的常见故障及其解决方法。
  • 第3章,安装OSSIM服务器,讲解服务器安装过程中的疑难问题。
  • 第4章,OSSIM系统维护与管理,讲解系统维护与管理中遇到的配置难点、疑点。
  • 第5章,OSSIM组成结构,讲解OSSIM开源框架以及各个模块的用途,并对通信端口进行了详细分析。
  • 第6章,传感器,讲解传感器部署和管理的技术问题。
  • 第7章,插件处理,讲解在OSSIM插件处理过程中遇到的重点技术问题。
  • 第8章,SIEM控制台操作,讲解SIEM控制台操作过程中遇到的问题。
  • 第9章,可视化报警,讲解可视化报警在OSSIM应用中遇到的问题。
  • 第10章,OSSIM数据库,讲解OSSIM的MySQL数据库存储机制以及备份恢复等技术问题。

    三、本书读者对象

    本书精选了在OSSIM日常运维操作中总结的近300个疑难问题,是OSSIM运维工程师故障速查手册,专门针对OSSIM常见故障而编写。本书适合具有一定SIEM系统实施经验的技术经理或中高级运维工程师阅读,可作为信息安全专家和相关领域的研究人员的参考书,也可作为高等学校网络工程和信息安全专业的教材。

    四、本书约定

    1.关于版本
    本书软件的安装环境为Debian Linux 8.0。在安装其他软件时,必须符合该版本要求。
    2.关于菜单的描述
    OSSIM的前台界面复杂,书中经常会用一串带箭头的单词表示菜单的路径,例如Web UI的Dashboards→Overview→Executive,表示Web界面下鼠标依次单击Dashboards、Overview,最后到达Executive仪表盘。
    3.路径问题
    除非特别说明,本书所涉及的路径均指在OSSIM系统下的路径,而不是其他Linux发行版。终端控制台是指通过root登录系统,然后输入ossim-setup后启动OSSIM终端控制台的界面。
    在终端控制台下,选择Jailbreak System菜单就能进入root shell,登录日志会保存在/var/log/ossim/root_access.log文件中。
    4.SIEM事件分析控制台
    SIEM控制台是指通过Web UI进入系统,在菜单Analysis→SIEM下的界面。
    5.关于OSSIM服务器端与传感器端的约定
    本书讲述的OSSIM服务器端是指通过Alienvault USM安装的系统,包括OSSIM四大组件;传感器端是通过AlienVault Sensor安装的系统。
    6.关于地图显示问题
    本书所有地图信息均引自谷歌地图,大家在做实验前确保连上谷歌地图,而且在使用系统中的OTX时也需要能连接到谷歌地图。
    7.浏览器约定
    OSSIM Web UI适合采用Safari 7.0、Google Chrome 44.0、IE 10.0以上的浏览器访问。
    8.实验环境下载
    本书涉及的软件较多,其中一些重要的软件可到异步社区的本书页面中统一获取。

五、目 录

第1章 SIEM与网络安全态势感知 1
Q001 什么是SIEM? 1
Q002 SIEM处理流程是什么? 1
Q003 SIEM基本特征分为几个部分,技术门槛是什么,有哪些商业产品? 2
Q004 SIEM中的安全运维模块包含哪些主要内容? 3
Q005 为什么要选择OSSIM作为运维监控平台? 4
Q006 在OSSIM架构中为何要引入威胁情报系统? 8
Q007 在OSSIM中OTX代表什么含义? 9
Q008 为什么要对IP进行信誉评级? 9
Q009 如何激活OTX功能? 9
Q010 如何手动更新IP信誉数据并查看这些数据? 11
Q011 如何读懂IP信誉数据库的记录格式? 11
Q012 为什么在浏览器中无法显示由谷歌地图绘制的AlienVaultIP信誉数据? 12
Q013 OSSIM使用的Google Maps API在什么位置? 12
Q014 在OSSIM系统中成功添加OTX key之后,为何仪表盘上没有显示? 12
Q015 将已申请的OTX key导入OSSIM系统时,为何提示连接失败? 13
Q016 外部威胁情报和内部威胁情报分别来自何处? 14
Q017 如何利用OSSIM系统内置的威胁情报识别网络APT***事件? 15

*Q018 OpenSOC的组成结构和主要功能是什么,它和OSSIM之间的区别
是什么? 15
Q019 Apache Metron是新生代的OpenSOC吗?部署难度大吗? 17

第2章 OSSIM部署基础 20

Q020 OSSIM主要版本的演化过程是怎样的? 20
Q021 如何关闭和重启OSSIM? 23
Q022 OSSIM属于大数据平台吗? 24
Q023 OSSIM能作为堡垒机使用吗? 24
Q024 堡垒机的Syslog日志能否转发至OSSIM统一存储? 25
Q025 OSSIM平台属于CPU密集型、I/O密集型还是内存密集型系统? 25
Q026 OSSIM平台开发了哪些专属程序? 26
Q027 Kali Linux和OSSIM有什么区别? 27
Q028 安装OSSIM服务器组件时是否包含了传感器组件? 28
Q029 OSSIM能否安装在XEN或KVM虚拟化系统上? 29
Q030 OSSIM如何处理海量数据? 29
Q031 OSSIM是基于Debian Linux开发的,能否将其安装在其他Linux发行版上,例如RHAS、CentOS、SUSE Linux? 29
Q032 分布式OSSIM系统传感器如何部署? 29
Q033 OSSIM可输出的报表有哪些类型? 30
Q034 在OSSIM 3中通过什么技术可实现报表预览功能? 31
Q035 OSSIM企业版中可输出哪些类型的报表? 31
Q036 OSSIM能否用于APT和ShellCode高级检测? 32**
Q037 如何部署分布式OSSIM平台? 34
Q038 OSSIM系统中哪些服务是单线程,哪些服务是多线程? 34
Q039 如何查看ossim-agent进程正在调用的文件? 35
Q040 在分布式环境中如何添加传感器? 36
Q041 为何新添加的传感器在Web UI上无法显示NetFlow流? 38
Q042 如何查看某个进程打开了哪些文件? 41
Q043 如何监听系统中某个用户的网络活动? 41
Q044 OSSIM经过防火墙时,需要打开哪些端口? 42

第3章 安装OSSIM服务器 45

Q045 如何通过U盘安装OSSIM系统? 45
Q046 如何克隆OSSIM虚拟机以及为虚拟机设置克隆? 45
Q047 在安装OSSIM时,命令行下面的提示信息保存在什么位置? 47
Q048 执行alienvault-update命令升级后,为什么原来的配置会被覆盖? 48
Q049 执行alienvault-update命令升级之后,缓存文件如何清除? 48
Q050 如何选择OSSIM服务器? 48
Q051 安装OSSIM时能识别硬盘,但无法识别网卡,该如何处理? 49
Q052 选择OSSIM服务器硬件时,需要注意些什么问题? 49
Q053 安装OSSIM时需要插网线吗? 50
Q054 初装OSSIM时仅配置了单块网卡,后期需要再新增一块网卡,该如何
操作呢? 50
Q055 安装OSSIM时需要选择多核CPU还是单核CPU?CPU内核的数量越多
越好吗? 51
Q056 如何为OSSIM服务器/传感器选择网卡? 51
Q057 OSSIM为何只能识别出2TB以内的硬盘? 52
Q058 如何在OSSIM下安装GCC编译工具? 52
Q059 如何手动加载网卡驱动? 52
Q060 在虚拟机下安装OSSIM结束后重启系统,结果系统一直停在启动界面,这该
如何处理? 53
Q061 OSSIM安装完成后,如何设置Web UI来初始化设置向导? 53
Q062 如何通过CSV格式的文件导入多个网段信息? 58
Q063 如何通过文件导入网络资产? 59
Q064 在OSSIM配置向导中,报告无法找到网段内的服务器,该如何处理? 60
Q065 如何再次调出Web UI初始化配置向导? 60
Q066 如果跳过了Web配置向导,如何通过Web界面安装OSSEC Agent? 61
Q067 在Hyper-V 3.0中安装OSSIM 5.4时,在Suricata配置过程中“卡住了”该如何
处理? 62
Q068 如何查看OSSIM的GRUB程序版本? 63
Q069 OSSIM系统中的IPMI服务有什么作用?为什么在虚拟机启动OSSIM时会
遇到IPMI服务启动失败的问题? 63
Q070 如采用要混合式安装方式来安装OSSIM,在安装界面中应选择哪一项? 64
Q071 如何进入OSSIM高级安装模式? 64
Q072 在虚拟机下安装OSSIM时无法找到磁盘,应如何处理? 65
Q073 在VMware虚拟机环境中,如何为OSSIM安装VMware Tools增强工具? 65
Q074 初学者如何正确选择虚拟机版本? 67
Q075 如何嗅探虚拟机流量? 68
Q076 在VMware ESXi虚拟机环境中安装OSSIM时应注意哪些内容? 69
Q077 遗忘Web UI登录密码后如何将其恢复? 70
Q078 如何在Hyper-V虚拟机下安装OSSIM? 71
Q079 在Hyper-V虚拟机中如何嗅探网络流量? 77
Q080 采用笔记本电脑安装OSSIM时,如何防止其休眠? 77
Q081 如何将负载分摊在多个传感器上? 78
Q082 为什么不建议通过USB设备安装OSSIM系统? 79
Q083 为什么在安装OSSIM 5的过程中不提示用户分区? 79
Q084 虚拟机环境下常见的OSSIM安装错误有哪些? 80

第4章 OSSIM系统维护与管理 87

Q085 如何离线升级OSSIM? 87
Q086 如何通过代理服务器升级系统? 87
Q087 OSSIM升级过程中出现的Ign、Hit、Get分别代表什么含义? 88
Q088 在OSSIM中,update和upgrade参数有何区别? 88
Q089 如何确保分布式OSSIM系统的安全? 89
Q090 若在OSSIM服务器上启用SELinux服务,后果会如何? 90
Q091 OSSIM仪表盘典型视图分为几类,各有何特点? 90
Q092 通过OSSIM 4.3能直接升级到OSSIM 5.4吗? 92
Q093 如何定制OSSIM系统的启动画面? 92
Q094 OSSIM系统中的server.log日志文件有什么作用?如果此文件增涨到10GB以上,该如何处理? 92
Q095 apt-get的常见用途有哪些? 93
Q096 OSSIM中的IDM表示什么含义?如何启动IDM服务? 94
Q097 开源OSSIM系统所使用的文件系统是什么,有什么局限性? 94
Q098 当OSSIM的数据库受损时,如何恢复OSSIM? 95
Q099 为什么在OSSIM 3.1系统上输入ossim-update命令进行升级后OCS模块会
消失? 96
Q100 OSSIM消息中心为什么总显示互联网连接中断? 97
Q101 OSSIM系统的软件包中包含amd64字样,这表示什么含义? 97
Q102 如何将Tickets加入知识库? 98
Q103 如何管理OSSIM系统服务? 100
Q104 OSSIM系统当使用alienvault-update升级后.deb文件位于何处?升级过程中报错
怎么办? 101
Q105 如何校验已安装的Debian软件包? 101
Q106 OSSIM下有什么好用的包管理器吗? 102
Q107 在OSSIM系统中如何分配tmpfs文件系统的大小? 103
Q108 OSSIM系统如何同步时间? 103
Q109 如何通过删除日志的方式来释放OSSIM平台上的磁盘空间? 103
Q110 如何检测OSSIM系统整体的健康状态? 105
Q111 如何记录Web UI中SQL查询日志信息的情况?这些内容在何处? 105
Q112 如何禁止系统向root用户发送电子邮件? 105
Q113 可使用什么命令来查询UUID号? 106
Q114 智能移动终端如何访问OSSIM? 106
Q115 如何修改OSSIM登录的超时时间? 107
Q116 如何调整OSSIM系统管理员的密码登录策略? 108
Q117 如何允许/禁止root通过SSH登录OSSIM系统? 108
Q118 如何安装Gnome和Fvwm桌面环境? 108
Q119 如何进入OSSIM系统的单用户模式? 108
Q120 忘记root密码怎么办? 110
Q121 在分布式OSSIM系统环境中如何启动和关闭系统? 111
Q122 如何设置邮件报警? 112
Q123 如何校验OSSIM中安装的软件包? 113
Q124 在使用apt-get install安装软件的过程中强行中断安装,结果下次再执行安装
脚本时报告数据库错误,这该如何解决? 113
Q125 使用apt-get install安装程序时遇到了“Could not get lock/var/lib/dpkg/lock”提示,这是由于什么原因造成的? 114
Q126 OSSIM系统中/var/run/目录下的pid文件有什么作用? 114
Q127 如何更改OSSIM默认的网络接口? 115
Q128 在OSSIM系统中如何寻找和终止僵尸进程(zombie)? 115
Q129 OSSIM在哪些地方会消耗大量内存? 116
Q130 如何查看admin用户活动的详细信息? 116
Q131 如何查看当前登录到OSSIM系统中的用户的Session ID? 117
Q132 如何将本地光盘设置为软件源? 118
Q133 当使用crontab –e编辑时,无法退出编辑环境,这如何处理? 118
Q134 如何开启OSSIM的Cron日志? 119
Q135 UUID在OSSIM系统中有什么用途? 119
Q136 OSSIM中如何安装X-window环境? 120
Q137 OSSIM如何防止关键进程停止? 121
Q138 OSSIM会将信息发送到外网吗? 121
Q139 OSSIM平台如何修复包的依赖关系? 123
Q140 异常关机会对OSSIM平台产生哪些影响? 123
Q141 删除OSSIM系统里的文件时,磁盘空间不释放应如何处理? 124
Q142 如何手动修改服务器IP地址? 124
Q143 如何消除终端控制台上的登录菜单? 124
Q144 在低版本的OSSIM中,如何让控制台支持高分辨率? 125
Q145 如何查看防火墙规则? 125
Q146 如何解决时间不同步的问题? 126
Q147 OSSIM在最后的安装阶段为什么会停滞不前? 126
Q148 如何配置OSSIM服务器与传感器之间的×××连接? 127
Q149 如何重装传感器? 129
Q150 如何安装并配置多个传感器? 129
Q151 如何为OSSIM安装Webmin管理工具? 135
Q152 如何为OSSIM安装phpMyAdmin工具? 137
Q153 传感器中用于抓包的网卡需要分配IP吗? 139
Q154 如何将HTTP重定向为HTTPS访问? 139
Q155 在OSSIM的Web UI登录界面中,在登录验证前用户名和密码是如何
加密的? 139
Q156 在OSSIM登录界面中如何实现用户Session登录验证的安全性? 140
Q157 如何定制Apache 404页面? 140
Q158 OSSIM系统每次启动时为什么显示“apache2 [warn] NameVirtualHost *:80 has no
VirtualHosts”? 140
Q159 Apache中出现“Could not reliably determine the server’s fully qualified domain name”提示时,应如何处理? 141
Q160 迁移OSSIM系统时需要备份哪些数据? 141
Q161 在OSSIM中,PCI DSS和ISO 27001代表什么含义? 142
Q162 如何输出30天内的资产可用性报告? 143
Q163 如何使用grep命令去掉配置文件的注释行和空格行? 143
Q164 如何生成一个指定大小的文件? 144
Q165 如何在服务器/传感器中发现隐藏的进程或端口? 144
Q166 如何解决因系统索引节点(inode)耗尽而引发的系统故障? 145
Q167 OSSIM系统是如何实现高可用性的? 147
Q168 OSSIM服务器如何横向扩展? 151

第5章 OSSIM组成结构 157

Q169 OSSIM开源框架的分层处理架构是什么? 157
Q170 OSSIM系统框架中各模块的工作流程是怎样的? 158
Q171 OSSIM采用模块化架构的优势是什么? 160
Q172 根据OSSIM部署图来分析OSSIM多层体系结构是怎样的? 161
Q173 如果分布式OSSIM系统的传感器出现问题,会影响哪些模块的工作? 162
Q174 OSSIM的工作流程包括哪些内容? 162
Q175 配置文件/etc/ossim/ossim_setup.conf中记录了哪些内容? 163
Q176 传感器上的采集插件与监控插件有什么区别? 163
Q177 OSSIM免费版和商业版有哪些主要区别? 166
Q178 OSSIM中的SPADE有什么作用? 167
Q179 OSSIM代理的作用是什么? 168
Q180 代理与插件有什么区别? 169
Q181 Framework有什么作用,如何查看其工作状态? 169
Q182 修改OSSIM服务器配置文件config.xml后如何重新启动引擎? 170
Q183 Agent程序采集的日志中的各个字段表示什么含义? 170
Q184 在混合式OSSIM服务器模式与传感器安装模式中,它们安装的包有哪些
区别? 171
Q185 OSSIM服务器和传感器的通信端口有哪些,其作用是什么? 173
Q186 如何增删系统的数据源插件? 175
Q187 如何列出OSSIM分布式系统的活动代理信息? 175
Q188 如何将SIEM中显示的日志添加到数据源组中? 175
Q189 如何使用Tickets? 176
Q190 Alarms与Tickets有什么区别? 177
Q191 在OSSIM报警中对网络模式如何分类? 178
Q192 Ansible使用什么协议通信? 180
Q193 SSH和Ansible服务在OSSIM中起到什么作用? 180
Q194 如何建立基于OpenSSL的安全认证中心? 182
Q195 如何在OSSIM中设置×××连接? 183
Q196 OSSIM中定义的未授权行为包括哪些? 185

第6章 传感器 187

Q197 OSSIM传感器的作用是什么,如何查看传感器的状态? 187
Q198 当传感器发生故障时能否查询传感器上加载插件的状态? 187
Q199 传感器能以串联方式部署在网络中吗? 189
Q200 如何通过传感器扫描资产? 189
Q201 如何查看分布式系统的传感器状态? 189
Q202 如何让Ansible获取远程主机运行时间、在线用户及平均负载信息? 191
Q203 如何通过Ansible将脚本分发到远程主机并执行? 192
Q204 为何会出现传感器删除失败的情况? 193
Q205 OSSIM消息中心将数据源分为几类,它们的含义是什么? 193

第7章 插件处理 198

Q206 OSSIM中的数据源插件如何将日志转换为安全事件,以实现统一存储? 198
Q207 OSSIM代理如何将采集的日志发送到OSSIM服务器? 200
Q208 OSSIM采用什么技术来解决网络设备的日志格式不统一的问题? 201
Q209 OSSIM中安全事件的标准格式是什么? 201
Q210 OSSIM Agent的插件采集日志流程是什么? 203
Q211 在Apache插件中如何定义Apache访问日志的正则表达式?如何通过脚本检测
插件? 206
Q212 经过OSSIM数据源插件归一化之后的日志存储在什么位置? 206
Q213 编写日志插件分几个步骤? 208
Q214 在OSSIM系统中如何导入检测插件? 209
Q215 OSSIM采集插件分为几大类,它们通过什么协议采集数据? 209
Q216 插件进程ossim-agent被手动停止后之后为何会自己重启? 211
Q217 在OSSIM传感器中能同时启用Snort和Suricata插件吗? 211
Q218 如何导入自定义插件? 212

第8章 SIEM控制台操作 217

Q219 如何把SIEM控制台中发现的重要日志加入到知识库? 217
Q220 如何为知识库的条目新增附件? 219
Q221 在SIEM控制台事件中查看视图时有几种观察模式,它们有什么区别? 220
Q222 如何在SIEM警报中显示计算机名? 221
Q223 在SIEM控制台事件的表单中,N/A表示什么意思? 222
Q224 如何设定SIEM事件的保存期限? 222
Q225 如何恢复SIEM事件数据库? 223
Q226 SIEM控制台上包含哪些重要元素? 223
Q227 如何在SIEM事件控制台中过滤事件? 227
Q228 如何将高风险的事件进行快速分类? 233
Q229 如何删除与恢复安全事件? 234
Q230 SIEM控制台中显示的事件存储在什么地方? 234
Q231 如何在Web页面清理SIEM数据库中的事件? 235
Q232 为什么不能跨VLAN显示服务器的FQDN名称? 236
Q233 SIEM日志显示中出现的0.0.0.0地址表示什么含义? 236
Q234 无法显示SIEM安全事件时应如何处理? 237
Q235 SIEM数据源与插件之间有何联系? 237
Q236 什么是AVAPI事件?如何过滤AVAPI事件? 238
Q237 在OSSIM Web UI中出现的EPS参数表示什么含义? 241

第9章 可视化报警 243

Q238 如何产生报警事件? 243
Q239 OSSIM中将报警事件分为几类,分别表示什么含义? 244
Q240 如何通过Alarm快速识别网络? 248
Q241 报警分组有什么作用? 251
Q242 如何通过X-Scan工具来触发OSSIM报警? 252
Q243 如何采用Armitage对目标主机进行测试? 253
Q244 如何通过Metasploit挖掘Windows XP的MS08-067漏洞? 258
Q245 如何通过OSSIM实现SSH登录失败报警? 262
Q246 如何区别IDS的误报与漏报? 265
Q247 如何设置SSH登录报警策略? 266
Q248 OSSIM如何感知SSH暴力破解***? 268

第10章 OSSIM数据库 273

Q249 OSSIM数据库有哪几种,各有什么作用? 273
Q250 采用SecureCRT访问数据库时出现乱码,这是什么原因引起的,如何
避免? 275
Q251 MySQL数据库权限的存储机制是什么? 276
Q252 如何让OSSIM中的MySQL数据库支持远程访问? 278
Q253 如何通过phpMyAdmin数据库解决“Access denied for user 'root'@'localhost'(using password:YES)”报错问题? 280
Q254 采用phpMyAdmin访问数据库时为什么会出现乱码? 282
Q255 如何在OSSIM服务器上访问数据库?常见的数据库操作命令包含哪些? 282
Q256 如何分屏显示alienvault.alarm表中的内容? 283
Q257 如何查看OSSIM数据库的大小? 283
Q258 OSSIM中的SQLite数据库有什么作用,它存储在什么位置? 284
Q259 RRDTool与数据库MySQL之间有什么区别? 284
Q260 如何将SQL文件插入到OSSIM数据库中? 284
Q261 如何把一个.sql.gz文件导入到数据库中? 285
Q262 如何优化数据库中的表? 285
Q263 如何重置OSSIM数据库? 286
Q264 如何恢复OSSIM数据库的出厂设置? 287
Q265 影响OSSIM数据库的性能因素有哪些? 288
Q266 如何利用MySQLReport监控数据库性能? 288
Q267 如何设定OSSIM数据库的自动备份时间?在什么位置查看备份数据? 289
Q268 /etc/ossim/server/config.xml配置文件记录了哪些关键信息? 290
Q269 OSSIM系统中出现“MySQL:ERROR 1040:Too many connections”报错提示时
如何处理? 291
Q270 如何用mytop监控MySQL数据库? 292
Q271 如何远程导出OSSIM数据库的表结构? 293
Q272 在使用ossim-db命令时出现“Access denied for user 'root'@'localhost'(using password:NO)”提示,该如何解决? 293
Q273 如何模拟负载? 294
Q274 当MySQL进程的CPU使用率过高时,如何优化? 294
Q275 如何启动OSSIM数据库的慢查询日志? 295
Q276 如何使用mysqldump完整备份OSSIM数据库? 296
Q277 如何用XtraBackup备份OSSIM数据库? 296
Q278 如何用mysqlslap测试OSSIM数据库? 297
Q279 当OSSIM系统数据库发生损坏时,如何重建数据库? 299
Q280 如何查看OSSIM系统的SIEM数据库备份策略? 299
Q281 OSSIM系统出现acid表错误时如何处理? 299
Q282 升级过程中数据库表意外损坏,该如何修复? 300
Q283 如何清理OSSIM数据库? 301
Q284 存储在数据库中的资产IP地址被加密了吗,如何查看该IP地址呢? 302
Q285 OSSIM系统中的Active Event Window(days)表示什么含义,该值设定为多大
比较合适? 302
Q286 如何显示acid_event表中的前5条记录? 303
Q287 为OSSIM添加扩展数据库时出现连接数据库错误,该如何处理? 303
Q288 如何通过MONyog工具监控MySQL服务器? 304
Q289 日志中的IP地址在数据库中采用何种形式存储? 306
Q290 如何通过MySQL Workbench连接OSSIM数据库? 307
附录1 主要配置文件注释 315
附录2 OSSIM 5 Web界面菜单功能注释 316
附录3 终端控制台程序注释 319
附录4 关键词汇英汉对照 321

该书课后练习:https://blog.51cto.com/chenguang/2349080

该书姊妹篇图书简介:https://blog.51cto.com/chenguang/2427909