Impossible de charger mes logs IDS

[eRen]

BonjourLeForum,

Depuis hier je ne peux plus consulter mes "logs IDS" c'est le seul journal que je ne peux plus consulter, les autres s'affichent normalement.

L'interface graphique affiche "Waiting for 192.168.1.1" puis "Resolving Link..." ( çà dur un bon moment ) puis plus rien ! pas de messages d'erreurs rien ! Jusque là cette fonctionnalité marchait bien.

Je suis en v1.4.0a1 sans add-on ni update, mes partitions / /boot /var/log affichent respectivement 38% 31% 12% d'espace libre, par contre dans var/log/snort/ j'ai ce fichier :

-rw-r--r-- 1 root root 78793375 Apr 30 17:19 scan.log

hors je ne possède que 80 Mo de RAM et seulement 31836 de libres ansi que seulement 5476 de swap libre. Pensez-vous comme moi que le systeme a atteint ses limites et qu'il ne parviens plus à travailler sur ce monstrueux fichier de log ?

Dans l'affirmative puis-je sans danger ( après avoir recopié le dit fichier sur une de mes Linux box dans le GREEN ), vider ce fichier ?

Merci d'avance

Cordialement

[titchek]

Bonojur,

Tu utilise quoi comme browser ?? Je crois me souvenir qu'il s'agit d'un bug avec mozilla et/ou firebird. Cela doit marcher avec IE...

D'ailleurs, je viens de faire le test (car moi aussi j'ai le pb ce matin...), avec IE no pb, avec firefox NOK
Bon 1er mai

[eRen]

Bonjour,

Tout d'abord merci pour ta réponse

Effectivement j'ai fais le même test que toi ( il me reste un vieux Windows 98 SE ), cela fonctionne avec IE. Il peine, mais il y arrive. Me reste à étudier pour quoi Mozilla n'y arrive plus, car jusqu'à il y a deux jours il y parvenait encore !!! ce qui me fait penser que c'est la taille du fichier de logs à traiter qui le tracasse.

Serait-ce une piste pour les autres du forum qui ont ce probleme ?

Cordialement

[eRen]

Re-bonjour,

Ma première idée était la bonne ( voir mon premier post )

Je me suis connecté en ssh sur IPCop puis j'ai taré et gzipé tout le contenu du repertoire /var/log/snort/

ensuite j'ai fait un scp de l'archive sur mon PC depuis lequel j'administre IPCop au cas où (au passage la commande scp fournie dans la doc en Anglais ne marche chez moi ( Debian Sarge scp version 3.8p1-3 )

Ceci fait, j'ai effacé purement et simplement le contenu de /var/log/snort sauf les fichiers *.gz parceque je ne connais pas leur rôle.

Puis j'ai re-créé les fichiers alert et scan.log vides avec la commande ">alert" et ">scan.log"

J'ai relancé la connexion, relancé le service IDS sur le GREEN et le VERT et maintenant Mozilla veut bien me réafficher mes logs IDS comme tous les autres d'ailleurs je re-précise que mon Mozilla fonctionne à merveille dans tous les menus et sur tous les boutons boites de dialogues etc ... de l'interface AW

J'en conclu que Mozilla tombe dans une sorte de "time out" quand le fichier scan.log et/ou le repertoire /var/log/snort devient trop volumineux. Je précise que même la version Mozilla Windows échouait ce qui élimine un problème d'OS

Pour moi ceci est trés grave ! en effet nous sommes nombreux à avoir des machines sous Linux dans notre zone GREEN et donc pas d'Internet Explorer, hors si aucun navigateur Linux ( à confirmer ), ne parvient à afficher les logs IDS quant-il y en a trop çà craint !

Merci de votre attention

[Franck78]

ce qui craint c'est que ton fichier est atteint 80gigas et pas le fait que ton navigateur explose (d'ailleurs c'est pas lui) pour l'afficher.

C'est ipcop qui mouline (en perl) pour te présenter un page potable.
Combien ram et de temps faut-il pour analyser ou juste lire un fichier de 80gigas d'après toi ?

Donc, si tu as conservé ce fichier, essaie de l'ouvrir avec wordpad ou mieux "vi" et cherches la ligne indéfiniment répétées.


Bye

[eRen]

ce qui craint c'est que ton fichier est atteint 80gigas et pas le fait que ton navigateur explose (d'ailleurs c'est pas lui) pour l'afficher.

Merci pour ta réponse je désespérais de pouvoir partager mes interrogations avec quelqu'un

Je pense qu'il y a confusion, le fichier ne fait que 80Mo ce qui est déjà pas mal d'ailleurs je n'ai qu'un disque de 1.2Go

C'est ipcop qui mouline (en perl) pour te présenter un page potable.

Non Franck je suis sûr de ce que je dis. C'est pas IPCop qui mouline c'est Mozilla. J'ai fais les tests sous Win98 celeron 333 et sous XPPro Pentium IV, avec le couple IE et Mozilla. dans tous les cas, IE m'affiche les résultats et pas Mozilla, sauf si je vide le répertoire. Là les quatre navigateurs ( 2 couples par machines ), affichent la page sans problème ce qui prouve qu'IPCop fait bien son boulot mais que Mozilla ne sait plus l'exploiter

Combien ram et de temps faut-il pour analyser ou juste lire un fichier de 80gigas d'après toi ?
Je sais pas je n'ai pas de fichier de 80Go mais je te répète que IE sur l'une ou l'autre machine y parviens, pourtant le temps de traitement du script cgi ou perl est le même pour la machine IPCop

Donc, si tu as conservé ce fichier, essaie de l'ouvrir avec wordpad ou mieux "vi" et cherches la ligne indéfiniment répétées.
OK j'ai effectivement conservé ce fichier et vais faire la manip mais maintenant celà ne saire plus à grand chose vu que je suis reparti sur une base vierge.

Par contre celà va me permettre de savoir si je n'ai pas été victime d'un flood puiséventuellement de mettre en place un patch qui empêcherait ce genre de maneuvre non ?

D'où l'importance capitale de pouvoir à tous moments lire ses logs !

Bye


Bye

[Franck78]

Ok, voila ce que je pense:
IE affiche la page avec au fur et a mesure qu'il la recoit (tu vois l'ascenseur rapetisser) alors que l'autre attend peut être d'avoir tout pour calculer et afficher la page.
Comme elle est longue générer (80mo de data ) time out ?


Essaye "Firefox" sous linux, c'est un descendant de mozilla.

Pour info je plante complétement mon linux en recevant une page HTML trop grosse. Ca commence par swapper, plus de réaction au clavier...
Mdk9.2, 192Mo, Konqueror. Le fichier:la base de données adult de squidguard renvoyée au format HTML pour consulter.



J e regarderais un jour comment ipcop génére les logs. A priori , il limite la taille de chaque page, par jour ça c'est sur , mais aussi en taille (nombre de lignes) à vérifier. Donc un fait ce ne devrait pas perturber un naviguateur... à suivre !


bye

[eRen]

OK Franck78 merci pour cette nouvelle réponse. Je poursuis mon étude, et en effet si on a des nouvelles on se les transmets. Pour l'instant je suis sur les forums Mozilla, et j'installe la dernière version d'IPCop aussi pour voir à tous hasard ...

Cordialement

René