NO ALERTS IN WEB INTERFACE (Standalone architecture)

[Amelie80]

Bonjour, J'ai déployé Security Onion depuis déjà 3 mois environs et tout fonctionnait bien. Depuis maintenant une semaine, j'ai remarque que les alertes ne remontaient pas (pas d'alertes dans l'onglet alerts)

J'ai essayé de résoudre ce problème en me basant sur les recommandations qui on déjà été fourni dans certaines discussion qui traitaient plus ou moins la même problématique (mise à jour des règles ) mais cela n'a pas été favorable;

j'ai donc, effectuer un so-test :
sauf qu'ici les alertes s'affichent, mais les alertes qui sont remontées ne concernent pas du tout mon réseau , c'est des plages d'adresse IP qui ne font pas du tout partis de mon réseau à surveiller . Avez-vous une idée ou une suggestion sur la manière de résoudre ce problème d'alertes? Aussi j'aimerais mentionner que certes les fausse alertes s'affiche (avec les mauvaise plages d'adresse), mais le lendemain lorsque je reviens tout redeviens comme avant (pas d'alertes carrément). et je refais à chaque fois le so-test …Merci d'avance pour votre assistance .

Architecture : standalone
RAM : 64 Go
disk : 250 Go

[rh-ops]

Lets check a few things. First your storage. What is the result of the following command? df -h /nsm.

Then we can check your cluster health with the next command sudo so-elasticsearch-query _cluster/health?pretty

If the result shows the cluster status as yellow or red, run the following command sudo so-elasticsearch-query _cluster/allocation/explain?pretty and reply with the result.

[Amelie80]

Voici les sorties :

~]$ df -h /nsm
Filesystem Size Used Avail Use% Mounted on
/dev/mapper/system-nsm 151G 70G 82G 47% /nsm

pour la requete : sudo so-elasticsearch-query _cluster/health?pretty
"cluster_name" : "securityonion",
"status" : "green",
"timed_out" : false,
"number_of_nodes" : 1,
"number_of_data_nodes" : 1,
"active_primary_shards" : 191,
"active_shards" : 191,
"relocating_shards" : 0,
"initializing_shards" : 0,
"unassigned_shards" : 0,
"delayed_unassigned_shards" : 0,
"number_of_pending_tasks" : 0,
"number_of_in_flight_fetch" : 0,
"task_max_waiting_in_queue_millis" : 0,
"active_shards_percent_as_number" : 100.0
}

[rh-ops]

Alright all that looks good. This may be a networking issue then. Lets run a tcp dump on your bond0 interface with the following command tcpdump -nni bond0. Depending on if you see any layer 7 or layer 2 traffic will tell us where the issue is.

[Amelie80]

d'après la sortie de tcpdump -nni bond0, il s'agit d'un trafic de couche 2 :
Voici une pétite capture :

[rh-ops]

Alright so in that case I'd recommend checking all your physical connections.