当前位置:首页 > 开发 > 编程语言 > 编程 > 正文

谈OSSIM服务器内存开销问题

发表于: 2015-06-22   作者:97140   来源:转载   浏览:
摘要: 谈OSSIM服务器内存开销问题 OSSIM经历十多年发展,目前已经成为最优秀的开源安全事件信息管理平台,它在我国的应用才刚刚起步。多年前,在国外考查时我意外发现了这款优秀的软件系统,并不断改进之后开始在国内开始推广应用OSSIM,在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨,讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解,本文

谈OSSIM服务器内存开销问题

OSSIM经历十多年发展,目前已经成为最优秀的开源安全事件信息管理平台,它在我国的应用才刚刚起步。多年前,在国外考查时我意外发现了这款优秀的软件系统,并不断改进之后开始在国内开始推广应用OSSIM,在我撰写的《Unix/Linux网络日志与流量监控》一书中花费30%的笔墨,讲述了OSSIM部署及应用技巧。但初学者往往多这种系统的硬件要求之高并不理解,本文就谈谈到底OSSIM的哪些服务在消耗着内存。除操作系统本生以下子系统将消耗大量内存。(有关系统硬件选型问题大家可参考我的专著)

1.iptables链、表及规则都消耗有限的系统内存,而且规则加载越多消耗内存越大;

2.Snort模块,工作时既消耗CPU计算资源它的规则同时消耗大量内存,我们知道,利用Snort可以将SPAN过来的流量进行深度包检测,这是系统需要对数据包的内容进行识别,分析和分类,将采用基于字符串的多模式匹配算法和基于正则表达式的多模式匹配算法,这样以来大部分CPU的计算时间将被snort占用,与此同时snort还会连接数据库产生大量日志从而占用磁盘IO

3Squid,实现squid对本机的apache服务实现加速功能,我们可以在/etc/squid3/squid.conf配置文件的“Recommended minimum configuration”推荐最小化配置一栏查找具体配置;

4Memcache,当数据量大时,利用memcached可以缓存session数据、临时数据以减少对他们的数据库写操作,但它消耗内存也很大;

5)Redismemcache,都是基于key/value存储,当插入的数据越多时消耗内存越大,当数据继续增加他们有可能会占用70%的内存,消耗很大;

6)LAMP,Linux系统本身的内存消耗外,还有ApacheMysqlPHP及模块的内存消耗;

7)OSSEC,利用规则进行入侵检测分析时,消耗大量内存;

8OpenVas在进行漏洞扫描时会加载漏洞库这样会消耗大量内存;

9Ntop,在监控时,在读取流量到Ntop中,ntop将产生大量主机数量,这可能消耗大量服务器内存;如果利用"q”参数将ntop产生的可以包转储为文件在这一过程中,同样消耗内存;

10Agent,在Sensor中包含上百个Agent插件这些都消耗着大量内存;

11Alienvault框架运行同样消耗内存;

12OSSIM中关联引擎的聚合模块,在处理复杂报警并对报警事件进行聚合处理时,会进行大量计算消耗内存以及CPU资源,特别是对于短时间多次连续攻击,扫描引擎的报警数目更多,基于网格的聚合方法,合并起来系统做关联分析任务量很大,所以会消耗大量系统资源。

最重要的三个指标:内存大小、CPU数量、磁盘I/O及网络I/O大小

16GB内存是基本配置就不足为奇,最好将服务器内存配置到32GB及以上。如果服务器内存小于8GB的环境中使用OSSIM,还不如现在就放弃 :-)

版权声明:本文为博主原创文章,未经博主允许不得转载。

谈OSSIM服务器内存开销问题

  • 0

    开心

    开心

  • 0

    板砖

    板砖

  • 0

    感动

    感动

  • 0

    有用

    有用

  • 0

    疑问

    疑问

  • 0

    难过

    难过

  • 0

    无聊

    无聊

  • 0

    震惊

    震惊

编辑推荐
OSSIM安装与驱动问题 大家在部署OSSIM系统常遇到的就是驱动安装的问题,或是网卡没驱动或是硬盘没驱
以前总以为内存对齐,固定的是以4个字节为单位的,今天发现原来错了... 很早之前写过一篇简单的http
  拿今天的一个例子说话吧,那就表中存放的是全国的地域信息,表结构如下:   首先用代码生成器
  拿今天的一个例子说话吧,那就表中存放的是全国的地域信息,表结构如下:   首先用代码生成器
  拿今天的一个例子说话吧,那就表中存放的是全国的地域信息,表结构如下:   首先用代码生成器
先来想一个问题:如果一个应用内存占用超过了16M,而手机系统分配的最大内存只有15M,那么会有什么
一 简介 OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非
一 简介 OSSIM即开源安全信息管理系统(OPEN SOURCE SECURITY INFORMATION MANAGEMENT)是目前一个非
<a target="_bl
有关Ossim 4.8系统首次登陆设置密码失败的问题解决方法 在首次登陆WEB UI 界面需要设置用户、密码,
版权所有 IT知识库 CopyRight © 2009-2015 IT知识库 IT610.com , All Rights Reserved. 京ICP备09083238号