+2

Проблема при отображении событий

Валерий Мельников 3 weeks ago • updated by Evgeny Petrov 2 weeks ago 9

Здравствуйте!
Пытаюсь добиться отображения хоть каких-то событий на FreeView Sensor, но ничего не выходит.
Заливал ВМ на сервер через VMware Workstation "Подключение к удалённому серверу" (сначала импортировал себе машину, потом "выгрузил" на удаленный сервер и поменял конфигурацию ВМ на 16 ГБ и 8 ядер). На том сервере стоит только гипервизор VMware ESX. После установки исима настройки сети не менял (IP для eth0 получил по dhcp, eth1 и bond не трогал) попробовал сделать tcpdump на интерфейсе bond0 - трафик вижу (правда при пинге вижу только пару запросов ARP "who-has", никаких ICMP и в помине там нет; зато есть HTTP, когда включаю браузер на тестируемых машинах), однако на вкладке "События" в веб-интерфейсе не вижу ничего всё равно: ни HTTP, ни ICMP, вообще ничего.
При диагностике возникают ошибки в службе базы событий и службе dpi. Для базы событий в журнале есть строчка "failed at step EXEC spawning /usr/bin/chown: no such file or directory", которая и через systemctl status clickhouse-server.service также высвечивается. У DPI пишет про dependency failed for "ptdpi capturing main process". Логи прикрепляю.

Буду очень признателен, если сможете помочь!

Логи

Кстати, служба базы событий периодически начинает работать нормально (ОК), чего нельзя сказать о DPI.

+1

Добрый день! Укажите, пожалуйста, версию вашего гипервизора, а также прошу выполнить в консоли команда ifconfig и выслать ее вывод. 

+1

Здравствуйте! Если не затруднит, то приложите ещё системные логи (/var/log/syslog*). По неизвестной мне причине, они не были собраны граббером.

VMware ESXi 6.0.0 (VMKernel Release Build 2809209)

ifconfig:

syslog

syslog.1


syslog.1


Прошу прощения, случайно отправил неправильный syslog.1 в прошлом сообщении
+1

Скажите пожалуйста:

ВМ корректно была импортирована на ESXi (? я так и не понял какой гипервизор используется...)

  1. Я больше хотел узнать про разрядность ОС, которая была задана при разворачивании ВМ. Не могло ли там быть задано - "Импортировать образ, как х32?"
  2. Ещё не отказался бы от модели процессора. Но тут полагаю какой-то Intel Xeon стоит...

Судя по логам, DPI падаем с ошибкой SIGILL (т.е. некорректная инструкция). Похожее я наблюдал, когда задавались кастомные настройки (отличные от рекомендованных) для ВМ.

+1

Посмотрел cpuinfo.

Судя по всему (предположение) для процесса не настроены/запущены/скомпилированы AVX инструкции. В этом случае DPI должен ругаться на несовместимость с процессором. Но он этого не делает. И на это у нас есть баг. 

Более детально скажу чуть позже, после уточнения информации. 

vSphere

Я сейчас проверил, в VMware Workstation стояло, что гостевая операционная система на ВМ была отмечена как "Другая". Попробовал поменять на "Другая (x64)" (вообще "другую" он выбрал автоматически при импорте машины), перезалить виртуалку на сервер. IP веб-интерфейса изменился на 10.3.144.33.

Прикрепляю на всякий случай новые логи: syslog   
syslog.1

Модель процессора: 2x Intel(R) Xeon(R) E5405 (2 ГГц)

Настройки перед тем, как залить на сервер импортированную на мой компьютер машину, я поменял на 16 ГБ оперативной, 8 ядер и 300 ГБ дискового пространства. Изначально стояли другие, выбора между разными вариантами (минимальная, рекомендованная конфигурация) мне не предлагалось, так что менял вручную.

То есть если в руководстве предлагается импортировать машину уже на сервер, на котором она и будет работать, то у меня ситуация другая: я сначала импортирую машину себе, меняю конфигурацию на рекомендованную, после чего делаю upload на удаленный сервер через VMware Workstation.

Пытаемся разобраться с данной проблемой, но пока никак не можем воспроизвести. 

У меня будет ещё одна просьба.

Состояние DPI на момент падения должно было сохраниться в файл "/opt/ptsecurity/dpi/core".

Если вас не затруднит, не могли бы вы его предоставить?

Единственная проблема - он весит около 1 Гб и я не уверен, что данный форум позволит его загрузить. Возможно тут придётся воспользоваться каким-либо облаком.