常见问题#

安装、使用中问题与解答#

注意: 本问题列表来自于大家的使用反馈，会不断完善更新。

部署相关问题#

Q: 支持哪些部署方式?#

• 支持从源码进行编译安装
• 支持 Release 发行版的安装部署，提供 X86_64 的 CentOS7 环境的 Release 和一键部署安装包
• 支持虚拟机镜像部署，提供了 vmware 虚拟镜像

Q: 有安装部署教学视频吗？#

• 安装使用相关视频发布在 B 站，点击查看：流影安装使用教学视频

Q: 各类型功能节点部署方式?#

• 采集、分析、管理、可视化界面可集成部署于同一机器内，也可部署于不同机器。建议根据实际流量大小和节点性能进行适当划分。
• 小流量环境下，四个模块可以部署于一个节点上。
• 采集、分析部署于同一节点环境下，前端 UI 才可检索展示数据包相关信息。这是由于目前采集节点可留存用于追溯威胁的数据包，但是仅留存于采集节点本地。建议采集、分析节点同机部署。

流量接入问题#

Q: 镜像流量如何接入？#

• 支持旁路镜像的方式接入流量，可以参见 ESXi 环境下流量接入设置。

Q: 如何测试流量数据包?#

可以考虑以下两种方式：

1. 正常启动探针，监听网卡流量，使用 tcpreplay 或类似数据包回放工具，将 ly_probe 中所附测试数据包回放至指定网卡，采集流量 netflow 信息。
2. 指定探针参数 -i 数据包文件，直接读取测试数据包，将采集数据包 netflow 信息。

系统测试问题#

Q: 如何测试系统数据流转正常?#

可以从以下步骤，进行系统数据流转测试验证：

1. 启动探针监听网卡，接入回放的流量或真实流量。
2. 验证接收器能够正常接收数据： /data/flow/3/ 目录下是否存在 nfcapd 文件，且单个文件大小大于 276 字节。
3. 分析引擎正常产出数据： /Agent/data/db/ 目录下是否存在 以日期命名的目录，且日期目录中不为空。
4. 管理端、Web 可视化页面正常显示数据：WEB 端访问正常，检测到测试数据包中包含的告警事件。

注意: 系统为流水线式作业，每个节点间数据流转存在约 5 分钟的时间差，从接入流量至 web 端监测到事件，存在 10 分钟左右的延迟。

配置问题#

Q: 安装部署后，发现数据写入失败的问题。#

可能是目录权限问题。查看 /Agent/data 目录权限，修改为 apache:apache 权属。

Q: 如何配置两个探针？#

探针和采集器一一对应，第二个 probe 需对应启动第二个 cap

1. 采集器 nfcap 启动时，-p参数指定监听的端口，-l指定接收到的数据存储的位置。第二个采集器调整为类似/Agent/bin/nfcapd -w -D -l /data/flow/5 -p 9996
2. 探针中参数，-i指定网卡，-n指定数据发向的位置。第二个探针参数修改类似为-n 127.0.0.1:9996, 对应接收器的端口。
3. 登录系统界面，在菜单 "配置"-"系统"-"数据节点" 下，默认存在两个数据节点配置，只需修改第二条配置 "禁止使用" 即可。

Q: 流影安装和使用中是否需要联网？#

• 流影系统安装部署过程中，依照说明可能需要在线安装相关依赖环境。若连接互联网受限，所需依赖环境可自行下载 rpm 包进行安装。
• 流影系统运行过程，对告警的检测无需联网，可由本地完成计算。生成告警时所匹配的情报特征在本地存放。
• 在开源版流影中情报特征数据不支持联网自动更新。目前仅支持通过开源项目的维护，手动更新相关情报配置。情报检测配置文件位于/Agent/data目录下，更新时，从开源项目 ly_analyser 的ti文件夹中获取，包括 sus_threat、ti_dns、mining_domain、mining_ip，覆盖/Agent/data中相应文件。
• 使用流影系统时，前端界面涉及到情报查询操作，情报查询需要联网请求自建情报接口，服务地址 IP 为119.80.10.69、端口16380。此接口仅仅支持威胁情报信息查询拓线，不影响系统威胁检测告警。

规则配置问题#

Q: 自定义规则的添加有几种途经？#

1. 在配置的追踪页面，可添加基于 5 元组的规则，监控指定 IP，或指定端口的流量。
2. 在配置的规则页面，URL 内容识别栏目中，可添加正则表达式语法，匹配 http 中 url 内容。
3. 流量特征规则，在后台应用于探针 lyprobe 处，在开源项目中的 Readme 说明文档中有相关介绍。特征规则基于正则语法，可自行修改或补充特征规则文件，替换原有文件，重启探针 lyprobe 以应用。
4. IP 与域名情报，开源版本中不支持自动更新，会不定时在开源项目中更新特征文件，需手动替换，也可自行编辑文件。

Q: 威胁情报 IOC 检测配置文件位置？#

• 威胁情报 IOC 检测配置文件位于/Agent/data目录下，相关情报文件包括 sus_threat、ti_dns、mining_domain、mining_ip，更新时从开源组件 ly_analyser 的ti目录中获取最新文件直接替换即可。

账户管理问题#

Q: 用户密码锁定后如何解锁？如何重置管理员账号密码？#

对于尝试多次被锁定的用户，可由管理员权限用户在 "配置"-"系统"-"用户 " 处进行解除锁定操作。 请谨慎保管管理员用户的账户密码。在忘记系统管理员登录密码的情况下，可通过修改数据库用户账号恢复密码。参照如下步骤进行：

1. 使用数据库用户表初始化数据文件 user_init.sql，并上传至流影 mysql 部署主机
2. 查看数据库用户密码 cat /etc/my.cnf.d/gl.server.cnf
3. 执行命令mysql -uroot -p server < user_init.sql
4. 按回显要求输入数据库密码，无报错则正常导入数据
5. 此时，即可使用初始用户密码登入 web 系统