IDS avec 1.4.6 : pb de "désactivation" du service

Forum traitant de la distribution sécurisée montante nommée IP cop et basée sur la distribution Smoothwall. C'est à l'heure actuelle le forum le plus actif du site.

Modérateur: modos Ixus

Publier une réponse

IDS avec 1.4.6 : pb de "désactivation" du service

Messagepar c3dx4 » 26 Mai 2005 22:04

Bonjour,
après une bonne demi-heure de recherche, je n'ai rien trouvé à ce sujet ...
voici ma config : IPCop 1.4.6 + IDS
Je n'ai lancé le service d'IDS que depuis que suis en 1.4.6 et voici mes problèmes :
- mémoire utilisée x2.5 : même si c'est très certainement normal d'avoir une
augmentation de la mémoire utilisée, liée aux ressources que consomment ce
genre de service, cette augmentation me paraît un peu élevée...
- le vrai problème me semble être la "désactivation" du service au bout d'un temps
relativement aléatoire qui va de 5min à 2h ... c'est-à-dire que j'ai bien eu des remontées
de logs pendant une journée entiere (en moyenne une "attaque" type "scan port" toute les
5 min), ce qui prouve son bon fonctionnement durant cette journée.
Cependant, le lendemain ces logs se sont soudainement arrétés.... et la charge de mémoire
est revenue à la valeur habituelle (sans le service IDS) même s'il apparaissait toujours actif
dans l'état des services....
---------- erratum : lorsque le service est toujours actifs, mais qu'il n'y plus de logs, la conso en
mémoire reste la même ... :) ---------------------------
Ensuite, après un reboot, les logs reviennent pour quelques temps ....
Sachant que je n'ai pas intallé de SysLog, le problème pourrai venir soit du service lui-même, soit de l'affichage de ces logs.....
Pour finir, ces problèmes sont récurrents et ce malgré quelques reboots et redémarrages du service...

Est ce que ce problème est connu ? lié à l'update 1.4.6 ? et si quelqu'un avait une solution ....

Merci ;)
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris
Haut

Messagepar Gesp » 27 Mai 2005 11:11

Quelle est ta configuration matérielle et la mémoire installée?


Est-ce que tu utilises le proxy aussi, avec combien de cache?

A priori, tu dois avoir des messages dans le log si snort est tué pour cause de manque de mémoire.
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00
Haut

Messagepar c3dx4 » 27 Mai 2005 16:13

Bonjour,
Alors, comme RAM j'ai 128Mo qui n'ont jamais été saturé ...
ensuite, pour répondre à ta question, je ne pense pas que le
service soit killé puisqu'il apparaît toujours actif dans l'état des
services...
De plus, je pense que lorsque la mémoire (RAM) est saturée,
les ressources mémoires sont "pompées" dans le SWAP (pour avoir
déjà eu le cas sur une autre machine avec IPCop 1.3.x ...)
Pour le Proxy, je ne l'ai pas mis en place.
Donc pour finir, mon problème est toujours d'actualité...
"Un con qui marche va toujours plus loin
que 2 intelligents assis."
Michel Audiard
Image
c3dx4
Second Maître
Second Maître
 
Messages: 36
Inscrit le: 02 Juin 2004 14:13
Localisation: Saint-Brieuc / Paris
Haut

Messagepar Gesp » 27 Mai 2005 17:30

Es-ce que snort est encore actif dans la liste des processus si tu te logues sur la machine IPCop et tapes
ps -ax | grep snort
Avatar de l’utilisateur
Gesp
Amiral
Amiral
 
Messages: 4481
Inscrit le: 29 Déc 2002 01:00
Haut
Publier une réponse

Retour vers IPCop

Qui est en ligne ?

Utilisateur(s) parcourant actuellement ce forum : Aucun utilisateur inscrit et 1 invité

Powered by boolaz
cron