李晨光，OSSIM布道师、网络架构师、UNIX/Linux系统安全专家、中国计算机学会会员。他写作的《Linux企业应用案例精解》《UNIX/Linux网络日志分析与流量监控》《开源安全运维平台OSSIM实践》在图书市场上具有相当抢眼的表现与上佳口碑，且中文繁体字版本也被输出到中国台湾。
李晨光先生还是51CTO、ChinaUnix、OSchina等社区的专家博主，撰写的技术博文被国内各大IT技术社区广泛转载，还曾多次受邀在国内系统架构师大会和网络信息安全大会上发表技术演讲。

OSSIM（Open Source Security Information Management，开源安全信息管理）系统是一个非常流行和完整的开源安全架构体系，通过将开源产品进行集成，从而提供一种能实现安全监控功能的基础平台。
《开源安全运维平台OSSIM疑难解析：入门篇》精选了作者在OSSIM日常运维操作中遇到的许多疑难问题，并给出了相应的解决方案。本书共分为10章，内容包括SIEM与网络安全态势感知、OSSIM部署基础、安装OSSIM服务器、OSSIM系统维护与管理、OSSIM组成结构、传感器、插件处理、SIEM控制台操作、可视化报警以及OSSIM数据库等。
《开源安全运维平台OSSIM疑难解析：入门篇》适合具有一定SIEM系统实施经验的技术经理或中运维工程师阅读，还可以作为开源技术研究人员、网络安全管理人员的参考资料。

第 1章　SIEM与网络安全态势感知 1
Q001　什么是SIEM？ 1
Q002　SIEM处理流程是什么？ 1
Q003　SIEM基本特征分为几个部分，技术门槛是什么，有哪些商业产品？ 2
Q004　SIEM中的安全运维模块包含哪些主要内容？ 3
Q005　为什么要选择OSSIM作为运维监控平台？ 4
Q006　在OSSIM架构中为何要引入威胁情报系统？ 8
Q007　在OSSIM中OTX代表什么含义？ 9
Q008　为什么要对IP进行信誉评级？ 9
Q009　如何激活OTX功能？ 9
Q010　如何手动更新IP信誉数据并查看这些数据？ 11
Q011　如何读懂IP信誉数据库的记录格式？ 11
Q012　为什么在浏览器中无法显示由谷歌地图绘制的AlienVaultIP信誉数据？ 12
Q013　OSSIM使用的Google Maps API在什么位置？ 12
Q014　在OSSIM系统中成功添加OTX key之后，为何仪表盘上没有显示？ 12
Q015　将已申请的OTX key导入OSSIM系统时，为何提示连接失败？ 13
Q016　外部威胁情报和内部威胁情报分别来自何处？ 14
Q017　如何利用OSSIM系统内置的威胁情报识别网络APT攻击事件？ 15
Q018　OpenSOC的组成结构和主要功能是什么，它和OSSIM之间的区别是什么？ 15
Q019　Apache Metron是新生代的OpenSOC吗？部署难度大吗？ 17
第 2章　OSSIM部署基础 20
Q020　OSSIM主要版本的演化过程是怎样的？ 20
Q021　如何关闭和重启OSSIM？ 23
Q022　OSSIM属于大数据平台吗？ 24
Q023　OSSIM能作为堡垒机使用吗？ 24
Q024　堡垒机的Syslog日志能否转发至OSSIM统一存储？ 25
Q025　OSSIM平台属于CPU密集型、I/O密集型还是内存密集型系统？ 25
Q026　OSSIM平台开发了哪些专属程序？ 26
Q027　Kali Linux和OSSIM有什么区别？ 27
Q028　安装OSSIM服务器组件时是否包含了传感器组件？ 28
Q029　OSSIM能否安装在XEN或KVM虚拟化系统上？ 29
Q030　OSSIM如何处理海量数据？ 29
Q031　OSSIM是基于Debian Linux开发的，能否将其安装在其他Linux发行版上，例如RHAS、CentOS、SUSE Linux？ 29
Q032　分布式OSSIM系统传感器如何部署？ 29
Q033　OSSIM可输出的报表有哪些类型？ 30
Q034　在OSSIM 3中通过什么技术可实现报表预览功能？ 31
Q035　OSSIM企业版中可输出哪些类型的报表？ 31
Q036　OSSIM能否用于APT和ShellCode高级攻击检测？ 32
Q037　如何部署分布式OSSIM平台？ 34
Q038　OSSIM系统中哪些服务是单线程，哪些服务是多线程？ 34
Q039　如何查看ossim-agent进程正在调用的文件？ 35
Q040　在分布式环境中如何添加传感器？ 36
Q041　为何新添加的传感器在Web UI上无法显示NetFlow流？ 38
Q042　如何查看某个进程打开了哪些文件？ 41
Q043　如何监听系统中某个用户的网络活动？ 41
Q044　OSSIM经过防火墙时，需要打开哪些端口？ 42
第3章　安装OSSIM服务器 45
Q045　如何通过U盘安装OSSIM系统？ 45
Q046　如何克隆OSSIM虚拟机以及为虚拟机设置克隆？ 45
Q047　在安装OSSIM时，命令行下面的提示信息保存在什么位置？ 47
Q048　执行alienvault-update命令升级后，为什么原来的配置会被覆盖？ 48
Q049　执行alienvault-update命令升级之后，缓存文件如何清除？ 48
Q050　如何选择OSSIM服务器？ 48
Q051　安装OSSIM时能识别硬盘，但无法识别网卡，该如何处理？ 49
Q052　选择OSSIM服务器硬件时，需要注意些什么问题？ 49
Q053　安装OSSIM时需要插网线吗？ 50
Q054　初装OSSIM时仅配置了单块网卡，后期需要再新增一块网卡，该如何操呢？ 50
Q055　安装OSSIM时需要选择多核CPU还是单核CPU？CPU内核的数量越多越好吗？ 51
Q056　如何为OSSIM服务器/传感器选择网卡？ 51
Q057　OSSIM为何只能识别出2TB以内的硬盘？ 52
Q058　如何在OSSIM下安装GCC编译工具？ 52
Q059　如何手动加载网卡驱动？ 52
Q060　在虚拟机下安装OSSIM结束后重启系统，结果系统一直停在启动界面，这该如何处理？ 53
Q061　OSSIM安装完成后，如何设置Web UI来初始化设置向导？ 53
Q062　如何通过CSV格式的文件导入多个网段信息？ 58
Q063　如何通过文件导入网络资产？ 59
Q064　在OSSIM配置向导中，报告无法找到网段内的服务器，该如何处理？ 60
Q065　如何再次调出Web UI初始化配置向导？ 60
Q066　如果跳过了Web配置向导，如何通过Web界面安装OSSEC Agent？ 61
Q067　在Hyper-V 3．0中安装OSSIM 5．4时，在Suricata配置过程中“卡住了”该如何
处理？ 62
Q068　如何查看OSSIM的GRUB程序版本？ 63
Q069　OSSIM系统中的IPMI服务有什么作用？为什么在虚拟机启动OSSIM时会
遇到IPMI服务启动失败的问题？ 63
Q070　如采用要混合式安装方式来安装OSSIM，在安装界面中应选择哪一项？ 64
Q071　如何进入OSSIM高级安装模式？ 64
Q072　在虚拟机下安装OSSIM时无法找到磁盘，应如何处理？ 65
Q073　在VMware虚拟机环境中，如何为OSSIM安装VMware Tools增强工具？ 65
Q074　初学者如何正确选择虚拟机版本？ 67
Q075　如何嗅探虚拟机流量？ 68
Q076　在VMware ESXi虚拟机环境中安装OSSIM时应注意哪些内容？ 69
Q077　遗忘Web UI登录密码后如何将其恢复？ 70
Q078　如何在Hyper-V虚拟机下安装OSSIM？ 71
Q079　在Hyper-V虚拟机中如何嗅探网络流量？ 77
Q080　采用笔记本电脑安装OSSIM时，如何防止其休眠？ 77
Q081　如何将负载分摊在多个传感器上？ 78
Q082　为什么不建议通过USB设备安装OSSIM系统？ 79
Q083　为什么在安装OSSIM 5的过程中不提示用户分区？ 79
Q084　虚拟机环境下常见的OSSIM安装错误有哪些？ 80
第4章　OSSIM系统维护与管理 87
Q085　如何离线升级OSSIM？ 87
Q086　如何通过代理服务器升级系统？ 87
Q087　OSSIM升级过程中出现的Ign、Hit、Get分别代表什么含义？ 88
Q088　在OSSIM中，update和upgrade参数有何区别？ 88
Q089　如何确保分布式OSSIM系统的安全？ 89
Q090　若在OSSIM服务器上启用SELinux服务，后果会如何？ 90
Q091　OSSIM仪表盘典型视图分为几类，各有何特点？ 90
Q092　通过OSSIM 4．3能直接升级到OSSIM 5．4吗？ 92
Q093　如何定制OSSIM系统的启动画面？ 92
Q094　OSSIM系统中的server．log日志文件有什么作用？如果此文件增涨到10GB以上，该如何处理？ 92
Q095　apt-get的常见用途有哪些？ 93
Q096　OSSIM中的IDM表示什么含义？如何启动IDM服务？ 94
Q097　开源OSSIM系统所使用的文件系统是什么，有什么局限性？ 94
Q098　当OSSIM的数据库受损时，如何恢复OSSIM？ 95
Q099　为什么在OSSIM 3．1系统上输入ossim-update命令进行升级后OCS模块会
消失？ 96
Q100　OSSIM消息中心为什么总显示互联网连接中断？ 97
Q101　OSSIM系统的软件包中包含amd64字样，这表示什么含义？ 97
Q102　如何将Tickets加入知识库？ 98
Q103　如何管理OSSIM系统服务？ 100
Q104　OSSIM系统当使用alienvault-update升级后．deb文件位于何处？升级过程中报错
怎么办？ 101
Q105　如何校验已安装的Debian软件包？ 101
Q106　OSSIM下有什么好用的包管理器吗？ 102
Q107　在OSSIM系统中如何分配tmpfs文件系统的大小？ 103
Q108　OSSIM系统如何同步时间？ 103
Q109　如何通过删除日志的方式来释放OSSIM平台上的磁盘空间？ 103
Q110　如何检测OSSIM系统整体的健康状态？ 105
Q111　如何记录Web UI中SQL查询日志信息的情况？这些内容在何处？ 105
Q112　如何禁止系统向root用户发送电子邮件？ 105
Q113　可使用什么命令来查询UUID号？ 106
Q114　智能移动终端如何访问OSSIM？ 106
Q115　如何修改OSSIM登录的超时时间？ 107
Q116　如何调整OSSIM系统管理员的密码登录策略？ 108
Q117　如何允许/禁止root通过SSH登录OSSIM系统？ 108
Q118　如何安装Gnome和Fvwm桌面环境？ 108
Q119　如何进入OSSIM系统的单用户模式？ 108
Q120　忘记root密码怎么办？ 110
Q121　在分布式OSSIM系统环境中如何启动和关闭系统？ 111
Q122　如何设置邮件报警 112
Q123　如何校验OSSIM中安装的软件包？ 113
Q124　在使用apt-get install安装软件的过程中强行中断安装，结果下次再执行安装
脚本时报告数据库错误，这该如何解决？ 113
Q125　使用apt-get install安装程序时遇到了“Could not get lock/var/lib/dpkg/lock”提示，这是由于什么原因造成的？ 114
Q126　OSSIM系统中/var/run/目录下的pid文件有什么作用？ 114
Q127　如何更改OSSIM默认的网络接口？ 115
Q128　在OSSIM系统中如何寻找和终止僵尸进程（zombie）？ 115
Q129　OSSIM在哪些地方会消耗大量内存？ 116
Q130　如何查看admin用户活动的详细信息？ 116
Q131　如何查看当前登录到OSSIM系统中的用户的Session ID？ 117
Q132　如何将本地光盘设置为软件源？ 118
Q133　当使用crontab –e编辑时，无法退出编辑环境，这如何处理？ 118
Q134　如何开启OSSIM的Cron日志？ 119
Q135　UUID在OSSIM系统中有什么用途？ 119
Q136　OSSIM中如何安装X-window环境 120
Q137　OSSIM如何防止关键进程停止？ 121
Q138　OSSIM会将信息发送到外网吗？ 121
Q139　OSSIM平台如何修复包的依赖关系？ 123
Q140　异常关机会对OSSIM平台产生哪些影响？ 123
Q141　删除OSSIM系统里的文件时，磁盘空间不释放应如何处理？ 124
Q142　如何手动修改服务器IP地址？ 124
Q143　如何消除终端控制台上的登录菜单？ 124
Q144　在低版本的OSSIM中，如何让控制台支持高分辨率？ 125
Q145　如何查看防火墙规则？ 125
Q146　如何解决时间不同步的问题？ 126
Q147　OSSIM在最后的安装阶段为什么会停滞不前？ 126
Q148　如何配置OSSIM服务器与传感器之间的VPN连接？ 127
Q149　如何重装传感器？ 129
Q150　如何安装并配置多个传感器？ 129
Q151　如何为OSSIM安装Webmin管理工具？ 135
Q152　如何为OSSIM安装phpMyAdmin工具？ 137
Q153　传感器中用于抓包的网卡需要分配IP吗？ 139
Q154　如何将HTTP重定向为HTTPS访问？ 139
Q155　在OSSIM的Web UI登录界面中，在登录验证前用户名和密码是如何
加密的？ 139
Q156　在OSSIM登录界面中如何实现用户Session登录验证的安全性？ 140
Q157　如何定制Apache 404页面？ 140
Q158　OSSIM系统每次启动时为什么显示“apache2 [warn] NameVirtualHost *：80 has no
VirtualHosts”？ 140
Q159　Apache中出现“Could not reliably determine the server’s fully qualified domain name”提示时，应如何处理？ 141
Q160　迁移OSSIM系统时需要备份哪些数据？ 141
Q161　在OSSIM中，PCI DSS和ISO 27001代表什么含义？ 142
Q162　如何输出30天内的资产可用性报告？ 143
Q163　如何使用grep命令去掉配置文件的注释行和空格行？ 143
Q164　如何生成一个指定大小的文件？ 144
Q165　如何在服务器/传感器中发现隐藏的进程或端口？ 144
Q166　如何解决因系统索引节点（inode）耗尽而引发的系统故障？ 145
Q167　OSSIM系统是如何实现高可用性的？ 147
Q168　OSSIM服务器如何横向扩展？ 151
第5章　OSSIM组成结构 157
Q169　OSSIM开源框架的分层处理架构是什么？ 157
Q170　OSSIM系统框架中各模块的工作流程是怎样的？ 158
Q171　OSSIM采用模块化架构的优势是什么？ 160
Q172　根据OSSIM部署图来分析OSSIM多层体系结构是怎样的？ 161
Q173　如果分布式OSSIM系统的传感器出现问题，会影响哪些模块的工作？ 162
Q174　OSSIM的工作流程包括哪些内容？ 162
Q175　配置文件/etc/ossim/ossim_setup．conf中记录了哪些内容？ 163
Q176　传感器上的采集插件与监控插件有什么区别？ 163
Q177　OSSIM免费版和商业版有哪些主要区别？ 166
Q178　OSSIM中的SPADE有什么作用？ 167
Q179　OSSIM代理的作用是什么？ 168
Q180　代理与插件有什么区别？ 169
Q181　Framework有什么作用，如何查看其工作状态？ 169
Q182　修改OSSIM服务器配置文件config．xml后如何重新启动引擎？ 170
Q183　Agent程序采集的日志中的各个字段表示什么含义？ 170
Q184　在混合式OSSIM服务器模式与传感器安装模式中，它们安装的包有哪些
区别？ 171
Q185　OSSIM服务器和传感器的通信端口有哪些，其作用是什么？ 173
Q186　如何增删系统的数据源插件？ 175
Q187　如何列出OSSIM分布式系统的活动代理信息？ 175
Q188　如何将SIEM中显示的攻击日志添加到数据源组中？ 175
Q189　如何使用Tickets？ 176
Q190　Alarms与Tickets有什么区别？ 177
Q191　在OSSIM报警中对网络攻击模式如何分类？ 178
Q192　Ansible使用什么协议通信？ 180
Q193　SSH和Ansible服务在OSSIM中起到什么作用？ 180
Q194　如何建立基于OpenSSL的安全认证中心？ 182
Q195　如何在OSSIM中设置VPN连接？ 183
Q196　OSSIM中定义的未授权行为包括哪些？ 185
第6章　传感器 187
Q197　OSSIM传感器的作用是什么，如何查看传感器的状态？ 187
Q198　当传感器发生故障时能否查询传感器上加载插件的状态？ 187
Q199　传感器能以串联方式部署在网络中吗？ 189
Q200　如何通过传感器扫描资产？ 189
Q201　如何查看分布式系统的传感器状态？ 189
Q202　如何让Ansible获取远程主机运行时间、在线用户及平均负载信息？ 191
Q203　如何通过Ansible将脚本分发到远程主机并执行？ 192
Q204　为何会出现传感器删除失败的情况？ 193
Q205　OSSIM消息中心将数据源分为几类，它们的含义是什么？ 193
第7章　插件处理 198
Q206　OSSIM中的数据源插件如何将日志转换为安全事件，以实现统一存储？ 198
Q207　OSSIM代理如何将采集的日志发送到OSSIM服务器？ 200
Q208　OSSIM采用什么技术来解决网络设备的日志格式不统一的问题？ 201
Q209　OSSIM中安全事件的标准格式是什么？ 201
Q210　OSSIM Agent的插件采集日志流程是什么？ 203
Q211　在Apache插件中如何定义Apache访问日志的正则表达式？如何通过脚本检测
插件？ 206
Q212　经过OSSIM数据源插件归一化之后的日志存储在什么位置？ 206
Q213　编写日志插件分几个步骤？ 208
Q214　在OSSIM系统中如何导入检测插件？ 209
Q215　OSSIM采集插件分为几大类，它们通过什么协议采集数据？ 209
Q216　插件进程ossim-agent被手动停止后之后为何会自己重启？ 211
Q217　在OSSIM传感器中能同时启用Snort和Suricata插件吗？ 211
Q218　如何导入自定义插件？ 212
第8章　SIEM控制台操作 217
Q219　如何把SIEM控制台中发现的重要日志加入到知识库？ 217
Q220　如何为知识库的条目新增附件？ 219
Q221　在SIEM控制台事件中查看视图时有几种观察模式，它们有什么区别？ 220
Q222　如何在SIEM警报中显示计算机名？ 221
Q223　在SIEM控制台事件的表单中，N/A表示什么意思？ 222
Q224　如何设定SIEM事件的保存期限？ 222
Q225　如何恢复SIEM事件数据库？ 223
Q226　SIEM控制台上包含哪些重要元素？ 223
Q227　如何在SIEM事件控制台中过滤事件？ 227
Q228　如何将高风险的事件进行快速分类？ 233
Q229　如何删除与恢复安全事件？ 234
Q230　SIEM控制台中显示的事件存储在什么地方？ 234
Q231　如何在Web页面清理SIEM数据库中的事件？ 235
Q232　为什么不能跨VLAN显示服务器的FQDN名称？ 236
Q233　SIEM日志显示中出现的0．0．0．0地址表示什么含义？ 236
Q234　无法显示SIEM安全事件时应如何处理？ 237
Q235　SIEM数据源与插件之间有何联系？ 237
Q236　什么是AVAPI事件？如何过滤AVAPI事件？ 238
Q237　在OSSIM Web UI中出现的EPS参数表示什么含义？ 241
第9章　可视化报警 243
Q238　如何产生报警事件？ 243
Q239　OSSIM中将报警事件分为几类，分别表示什么含义？ 244
Q240　如何通过Alarm快速识别网络攻击？ 248
Q241　报警分组有什么作用？ 251
Q242　如何通过X-Scan工具来触发OSSIM报警？ 252
Q243　如何采用Armitage对目标主机进行渗透测试？ 253
Q244　如何通过Metasploit挖掘Windows XP的MS08-067漏洞？ 258
Q245　如何通过OSSIM实现SSH登录失败报警？ 262
Q246　如何区别IDS的误报与漏报？ 265
Q247　如何设置SSH登录报警策略？ 266
Q248　OSSIM如何感知SSH暴力破解攻击？ 268
第 10章　OSSIM数据库 273
Q249　OSSIM数据库有哪几种，各有什么作用？ 273
Q250　采用SecureCRT访问数据库时出现乱码，这是什么原因引起的，如何
避免？ 275
Q251　MySQL数据库权限的存储机制是什么？ 276
Q252　如何让OSSIM中的MySQL数据库支持远程访问？ 278
Q253　如何通过phpMyAdmin数据库解决“Access denied for user 'root'@'localhost'（using password：YES）”报错问题？ 280
Q254　采用phpMyAdmin访问数据库时为什么会出现乱码？ 282
Q255　如何在OSSIM服务器上访问数据库？常见的数据库操作命令包含哪些？ 282
Q256　如何分屏显示alienvault．alarm表中的内容？ 283
Q257　如何查看OSSIM数据库的大小？ 283
Q258　OSSIM中的SQLite数据库有什么作用，它存储在什么位置？ 284
Q259　RRDTool与数据库MySQL之间有什么区别？ 284
Q260　如何将SQL文件插入到OSSIM数据库中？ 284
Q261　如何把一个．sql．gz文件导入到数据库中？ 285
Q262　如何优化数据库中的表？ 285
Q263　如何重置OSSIM数据库？ 286
Q264　如何恢复OSSIM数据库的出厂设置？ 287
Q265　影响OSSIM数据库的性能因素有哪些？ 288
Q266　如何利用MySQLReport监控数据库性能？ 288
Q267　如何设定OSSIM数据库的自动备份时间？在什么位置查看备份数据？ 289
Q268　/etc/ossim/server/config．xml配置文件记录了哪些关键信息？ 290
Q269　OSSIM系统中出现“MySQL：ERROR 1040：Too many connections”报错提示时
如何处理？ 291
Q270　如何用mytop监控MySQL数据库？ 292
Q271　如何远程导出OSSIM数据库的表结构？ 293
Q272　在使用ossim-db命令时出现“Access denied for user 'root'@'localhost'（using password：NO）”提示，该如何解决？ 293
Q273　如何模拟负载？ 294
Q274　当MySQL进程的CPU使用率过高时，如何优化？ 294
Q275　如何启动OSSIM数据库的慢查询日志？ 295
Q276　如何使用mysqldump完整备份OSSIM数据库？ 296
Q277　如何用XtraBackup备份OSSIM数据库？ 296
Q278　如何用mysqlslap测试OSSIM数据库？ 297
Q279　当OSSIM系统数据库发生损坏时，如何重建数据库？ 299
Q280　如何查看OSSIM系统的SIEM数据库备份策略？ 299
Q281　OSSIM系统出现acid表错误时如何处理？ 299
Q282　升级过程中数据库表意外损坏，该如何修复？ 300
Q283　如何清理OSSIM数据库？ 301
Q284　存储在数据库中的资产IP地址被加密了吗，如何查看该IP地址呢？ 302
Q285　OSSIM系统中的Active Event Window（days）表示什么含义，该值设定为多大
比较合适？ 302
Q286　如何显示acid_event表中的前5条记录？ 303
Q287　为OSSIM添加扩展数据库时出现连接数据库错误，该如何处理？ 303
Q288　如何通过MONyog工具监控MySQL服务器？ 304
Q289　日志中的IP地址在数据库中采用何种形式存储？ 306
Q290　如何通过MySQL Workbench连接OSSIM数据库？ 307
附录1　主要配置文件注释 315
附录2　OSSIM 5 Web界面菜单功能注释 316
附录3　终端控制台程序注释 319
附录4　关键词汇英汉对照 321