常见问题

Q: 支持哪些部署方式?

• 支持从源码进行编译安装
• 支持Release发行版的安装部署，提供X86_64的CentOS7环境的Release和一键部署安装包
• 支持虚拟机镜像部署，提供了vmware虚拟镜像

Q: 有安装部署教学视频吗？

• 安装使用相关视频发布在B站，点击查看：流影安装使用教学视频

Q: 各类型功能节点部署方式?

• 采集、分析、管理、可视化界面可集成部署于同一机器内，也可部署于不同机器。建议根据实际流量大小和节点性能进行适当划分。
• 小流量环境下，四个模块可以部署于一个节点上。
• 采集、分析部署于同一节点环境下，前端UI才可检索展示数据包相关信息。这是由于目前采集节点可留存用于追溯威胁的数据包，但是仅留存于采集节点本地。建议采集、分析节点同机部署。

Q: 镜像流量如何接入？

• 支持旁路镜像的方式接入流量，可以参见ESXi环境下流量接入设置。

Q: 如何测试流量数据包?

可以考虑以下两种方式：

1. 正常启动探针，监听网卡流量，使用tcpreplay或类似数据包回放工具，将ly_probe中所附测试数据包回放至指定网卡，采集流量netflow信息。
2. 指定探针参数 -i 数据包文件，直接读取测试数据包，将采集数据包netflow信息。

Q: 如何测试系统数据流转正常?

可以从以下步骤，进行系统数据流转测试验证：

1. 启动探针监听网卡，接入回放的流量或真实流量。
2. 验证接收器能够正常接收数据： /data/flow/3/ 目录下是否存在 nfcapd 文件，且单个文件大小大于276字节。
3. 分析引擎正常产出数据： /Agent/data/db/ 目录下是否存在 以日期命名的目录，且日期目录中不为空。
4. 管理端、Web可视化页面正常显示数据：WEB端访问正常，检测到测试数据包中包含的告警事件。

Q: 安装部署后，发现数据写入失败的问题。

可能是目录权限问题。查看 /Agent/data 目录权限，修改为 apache:apache 权属。

Q: 如何配置两个探针？

探针和采集器一一对应，第二个probe需对应启动第二个cap

1. 采集器nfcap启动时，-p参数指定监听的端口，-l指定接收到的数据存储的位置。第二个采集器调整为类似/Agent/bin/nfcapd -w -D -l /data/flow/5 -p 9996
2. 探针中参数，-i指定网卡，-n指定数据发向的位置。第二个探针参数修改类似为-n 127.0.0.1:9996,对应接收器的端口。
3. 登录系统界面，在菜单“配置”-“系统”-“数据节点”下，默认存在两个数据节点配置，只需修改第二条配置“禁止使用”即可。

Q: 流影安装和使用中是否需要联网？

• 流影系统安装部署过程中，依照说明可能需要在线安装相关依赖环境。若连接互联网受限，所需依赖环境可自行下载rpm包进行安装。
• 流影系统运行过程，对告警的检测无需联网，可由本地完成计算。生成告警时所匹配的情报特征在本地存放。
• 在开源版流影中情报特征数据不支持联网自动更新。目前仅支持通过开源项目的维护，手动更新相关情报配置。情报检测配置文件位于/Agent/data目录下，更新时，从开源项目 ly_analyser 的ti文件夹中获取，包括 sus_threat、ti_dns、mining_domain、mining_ip，覆盖/Agent/data中相应文件。
• 使用流影系统时，前端界面涉及到情报查询操作，情报查询需要联网请求自建情报接口，服务地址IP为119.80.10.69、端口16380。此接口仅仅支持威胁情报信息查询拓线，不影响系统威胁检测告警。

Q: 自定义规则的添加有几种途经？

1. 在配置的追踪页面，可添加基于5元组的规则，监控指定IP，或指定端口的流量。
2. 在配置的规则页面，URL内容识别栏目中，可添加正则表达式语法，匹配http中url内容。
3. 流量特征规则，在后台应用于探针lyprobe处，在开源项目中的Readme说明文档中有相关介绍。特征规则基于正则语法，可自行修改或补充特征规则文件，替换原有文件，重启探针lyprobe以应用。
4. IP与域名情报，开源版本中不支持自动更新，会不定时在开源项目中更新特征文件，需手动替换，也可自行编辑文件。

Q: 威胁情报IOC检测配置文件位置？

• 威胁情报IOC检测配置文件位于/Agent/data目录下，相关情报文件包括 sus_threat、ti_dns、mining_domain、mining_ip，更新时从开源组件ly_analyser的ti目录中获取最新文件直接替换即可。

Q: 用户密码锁定后如何解锁？如何重置管理员账号密码？

对于尝试多次被锁定的用户，可由管理员权限用户在"配置"-“系统”-“用户"处进行解除锁定操作。 请谨慎保管管理员用户的账户密码。在忘记系统管理员登录密码的情况下，可通过修改数据库用户账号恢复密码。参照如下步骤进行：

1. 使用数据库用户表初始化数据文件user_init.sql，并上传至流影mysql部署主机
2. 查看数据库用户密码 cat /etc/my.cnf.d/gl.server.cnf
3. 执行命令mysql -uroot -p server < user_init.sql
4. 按回显要求输入数据库密码，无报错则正常导入数据
5. 此时，即可使用初始用户密码登入web系统