OSSIM学习之路中如何面对失败?

      OSSIM与其他Linux系统一样,在学习的道路上会遇到各种问题。网上能直接找到的资料有限,很多新手面对问题显得捉襟见肘,一个个问题接踵而来,显得无可奈何。其实学习OSSIM,可以充分暴露你的“知识短板”,体现在你学习编程语言、数据库、操作系统、TCP/IP、网络安全的各个方面,不过通过解决了OSSIM里遇到的问题,就会逐步弥补这些缺陷。学习就是一个发现问题与解决问题的过程,只要掌握了OSSIM体系结构和运行原理,很多"问题"都不难解决。我在OSSIM最佳实践中总结了很多OSSIM部署和运营的成功经验和小技巧,非常适合为新手答疑解惑,其实成功就是从大量的失败中总结而成的经验。最为新手应该具备持之以恒学习的信念,当然前提是我们已经具有扎实的基本功:

0)能看懂英文;

1)网络原理;

2)  .Debian Linux系统和网络管理;

3).MySQL数据库基本操作;

4).服务器、网络设备运维基础;

5).系统***与应急响应;

6).IDS部署和SIEM/SOC应用基础;

要成为OSSIM系统运维人员,面对问题头脑中必须有一套清晰明确的解决故障思路,一般有以下5种情况:

0).从屏幕报错挖掘幕后问题: 其实OSSIMWebUI中报错,主要内容都显示在屏幕,你只要根据错误提示(前提是能读懂文)基本能猜出出现问题的几种可能性,

1).查看日志文件:Web 前台给你报错了,在后台日志就有详细的错误日志,系统日志在/var/logOSSIM日志在/var/log/ossim or /var/log/alienvault/ 结合着两个目录下的Log就有可能继续发掘问题。

2).定位问题:这个过程相对复杂,经过Web里的提示和Log挖掘的日志就基本能推测出现问题的几种途径。

3).解决问题:抓住最有可能的途径进行排除,最后就能发现真正的问题之处。

4).不可恋战:有些人特别执着,有着不解决问题誓不罢休的架势,遇到一些OSSIM故障问题,各种思路都尝试做了就是得不到自己想要的结果,这时就不要在恋战了,可以跳过这个问题,继续前进。或者通过休息等其他形式来疏解一下心中的情绪。很可能在过几天的实验结果中联想到今天的实验失败的事,激发出新的灵感从而解决以前难以解决的问题。

      以上只是解决问题的流程,我觉得试验失败是一段充满教育性的成长经历,没有失败为你积累经验,何谈成功呢?失败次数越多你对它的理解就越深,离突破性成功就越近。但很多人却不这么看,他们在安装配置OSSIM过程中,接连遇到12个失败的经历,就对这款工具没什么兴趣以至于最后放弃。

在安装阶段会遇到的典型问题:

0).无法找到硬盘或者网卡驱动,这主要是硬件驱动问题,初学者只要选择VMware虚拟机安装一般都能解决。

1).安装过程在OpenVas解包安装时,界面上出现卡死(其实是在后台更新脚本时间比较长,在安装界面表现得状态为长时间没有动静)很多人在这个环节直接将机器重启,认为自己的操作或者安装文件出了问题。其实只要耐心等待20分钟就能过去。

2).系统引导是短暂的,还有时候偏偏就长期停留在引导界面,这是种假象,只要在控制台按下ctrl+alt+f3就会出现命令行登录界面。

3).安装完成,经过长时间的系统引导,发现无法登录WebUI

4).登录Web UI后设置admin密码不符合系统要求的复杂度要求,其实采用8位字母数字的组合就能快速解决。

      除此之外还有路由不通、图形无法显示、抓不到包,采集不到日志等许多稀奇古怪的问题等着你。只要你还在坚持学习OSSIM,就会不断有各种问题冒出来,无论你是新手还是专家。老问题解决了,换个环境,新问题还会不断发生,如果都能一一化解,增强的就是你的业务能力,和解决问题分析问题的能力。