谈OSSIM服务器内存开销问题
OSSIM经历十多年发展,目前已经成为最优秀的开源安全事件信息管理平台,它在我国的应用才刚刚起步。多年前,在国外考查时我意外发现了这款优秀的软件系统,并不断改进之后开始在国内开始推广应用OSSIM,在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨,讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解,本文就谈谈到底OSSIM的哪些服务在消耗着内存。除操作系统本生以下子系统将消耗大量内存。(有关系统硬件选型问题大家可参考我的专著)
1).iptables链、表及规则都消耗有限的系统内存,而且规则加载越多消耗内存越大;
2).Snort模块,工作时既消耗CPU计算资源它的规则同时消耗大量内存,我们知道,利用Snort可以将SPAN过来的流量进行深度包检测,这是系统需要对数据包的内容进行识别,分析和分类,将采用基于字符串的多模式匹配算法和基于正则表达式的多模式匹配算法,这样以来大部分CPU的计算时间将被snort占用,与此同时snort还会连接数据库产生大量日志从而占用磁盘IO;
3)Squid,实现squid对本机的apache服务实现加速功能,我们可以在/etc/squid3/squid.conf配置文件的“Recommended
minimum configuration”推荐最小化配置一栏查找具体配置;
4)Memcache,当数据量大时,利用memcached可以缓存session数据、临时数据以减少对他们的数据库写操作,但它消耗内存也很大;
5)Redis、memcache,都是基于key/value存储,当插入的数据越多时消耗内存越大,当数据继续增加他们有可能会占用70%的内存,消耗很大;
6)LAMP,除Linux系统本身的内存消耗外,还有Apache、Mysql、PHP及模块的内存消耗;
7)OSSEC,利用规则进行入侵检测分析时,消耗大量内存;
8)OpenVas在进行漏洞扫描时会加载漏洞库这样会消耗大量内存;
9)Ntop,在监控时,在读取流量到Ntop中,ntop将产生大量主机数量,这可能消耗大量服务器内存;如果利用"q”参数将ntop产生的可以包转储为文件在这一过程中,同样消耗内存;
10)Agent,在Sensor中包含上百个Agent插件这些都消耗着大量内存;
11)Alienvault框架运行同样消耗内存;
12)OSSIM中关联引擎的聚合模块,在处理复杂报警并对报警事件进行聚合处理时,会进行大量计算消耗内存以及CPU资源,特别是对于短时间多次连续攻击,扫描引擎的报警数目更多,基于网格的聚合方法,合并起来系统做关联分析任务量很大,所以会消耗大量系统资源。
最重要的三个指标:内存大小、CPU数量、磁盘I/O及网络I/O大小
16GB内存是基本配置就不足为奇,最好将服务器内存配置到32GB及以上。如果服务器内存小于8GB的环境中使用OSSIM,还不如现在就放弃 :-)
版权声明:本文为博主原创文章,未经博主允许不得转载。
分享到:
相关推荐
OSSIM(Open Source Security Information Management)是一款开源的安全信息和事件管理系统,它集成了各种开源安全工具,如Snort入侵检测系统、Nmap网络扫描工具、Logwatch日志分析工具等,提供了一站式的安全监控...
- OSSIM Server:OSSIM的核心服务器,负责收集、分析数据并生成警报。 - MySQL:OSSIM系统的后端数据库。 - Nagios/Oreon Server with OSSIM Agent:Nagios监控系统与OSSIM代理结合,提供网络监控与警报。 ### 结语...
实现 OSSIM 中文化文档 在 OSSIM 系统中,中文化文档是非常重要的一步,能够让用户更方便地使用系统。下面我们将详细介绍如何实现 OSSIM 中文化文档。 首先,我们需要了解 OSSIM 中文化文档的文件结构。在 OSSIM ...
ossim(Open Source Security Information Management)是一款开源的遥感图像处理和分析软件,它提供了强大的图像处理、地理空间分析和图像链路的功能。这个压缩包包含了一系列与ossim相关的文档,帮助用户理解和...
OSSIM(开源安全信息管理系统)是一个成熟、稳定且开源的信息安全管理系统,由美国Alienvault公司开源并提供免费使用。其设计思想强调以资产为核心,并定位为一个集成解决方案,旨在集成而非重新开发安全功能。OSSIM...
OSSIM,全称为开源安全信息管理系统,是一个广泛认可的开源安全架构,旨在提供一个集中的、有组织的安全监控框架。其核心理念是通过整合多种开源安全工具,形成一个能够实时监控、风险评估和报警处理的高效平台。...
OSSIM,全称Open Source Geospatial System Imager,是一款强大的开源遥感图像处理软件。...通过学习OSSIM,你将能够更好地理解和应用遥感技术,解决实际问题,并可能参与到开源项目中,为整个社区贡献力量。
4. **示例和教程**:ossim可能提供了若干示例场景,模拟不同的操作系统概念,如进程调度、内存分配等。这些示例有助于学习者通过实践来理解理论知识。 5. **虚拟机镜像**:为了简化安装和配置过程,ossim可能提供预...
1. **数据收集与整合**:OSSIM能够从各种不同的来源收集数据,包括网络设备、服务器、应用程序等,并将这些数据统一到一个平台上进行分析。 2. **实时监控与报警**:通过设置规则和阈值,OSSIM能够实时监测网络状态...
Ossim在企业网络安全领域中的应用,原创PPT
对于玩OSSIM的初学者或者中级水平的从业人员来说,都有一定必要性从中文看起,当然,最终还是英文的目标迈进,只是说,为了让自己更快速上手!
3. **性能优化**: Linux系统通常对服务器应用有更好的性能优化,因此在Windows上运行OSSIM可能会影响其性能。 4. **维护与更新**: 编译好的Windows版OSSIM可能需要定期更新和维护,以保持与最新版本的兼容性和安全...
OSSIM 开源安全信息管理系统,对开源软件产品进行集成,提供一种能够实现监控功能的基础平台。
OSSIM采用浏览器/服务器(B/S)架构,核心组件包括Web服务器(Apache)、数据库(MySQL)以及各种开发语言(PHP、Perl、C等)。工作流程如下: 1. **传感器(Sensor)**:分布在各个需要监控的位置,运行各种安全...
它不包含OSSIM插件和其它OSSIM相关代码,诸如Java的绑定( ),和GUI。 这些可用于单独克隆。 有关请参见github根目录。 快速链接: OSSIM命令行实用程序 Doxygen源代码文档 存储库之间的关系(获得什么) 主要...
描述中提到的"ossim-server所需要的部分依赖库",表明OSSIM(Open Source Security Information Management)服务器在运行时需要这些库。OSSIM是一个集成安全信息和事件管理(SIEM)系统,用于收集、分析和报告网络...
内容:Why OSSIM ,OSSIM Architecture,OSSIM Embedded Tools,OSSIM Collectors ,OSSIM Collector Anatomy,OSSIM Threat assessment ,OSSIM ALack analysis ,Why OSSEC ,OSSEC Architecture ....等
OSSIM是AlienVault的开源安全信息和事件管理(SIEM)产品,提供事件收集,规范化和关联。 要获得更多高级功能,AlienVault统一安全管理(USM)在OSSIM上具有以下附加功能:*日志管理*通过持续更新的预构建关联规则库...
本文将详细讲解"图像腐蚀"、"图像膨胀"、"开运算"和"闭运算",这些都是数学形态学的核心概念,尤其在OSSIM(Open Source Security Information Management)系统中,这些技术常用于图像分析和处理。 首先,让我们来...
OS-SIM-(c)2003 ossim.net 关于奥西姆 我们的目标是获得一个可以工作的SIM(安全基础结构监视器),它能够集成,限定和关联高级别和低级别的安全性和网络事件,从而能够与最近出现在安全性市场上的商业产品竞争。...