Host Intrusion Detection System Administrator's Guide Release 3.1
Contents
xii
Forcing Active Agent to Reread Configuration File . . . . . . . . . . . . . . . . . . . . . . . . . 219
Log File Rotation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 219
Global Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 220
Correlator Process Configuration . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 221
Data Source Process Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Kernel Audit Data DSP . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 222
Remote Communication Configuration. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 224
F. Messages
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 228
Agent Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 229
System Manager Messages . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 236
G. Troubleshooting
Summary . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 244
Troubleshooting . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 246
Agent and System Manager cannot communicate with each other. . . . . . . . . . . . . 246
Agent complains that idds has not been enabled, yet lsdev shows /dev/idds is present
247
Agent does not start on system boot . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 247
Agent halts abnormally, leaving ids_* files and message queues . . . . . . . . . . . . . . 248
Agent host appears to hang and/or you see message “disk full” . . . . . . . . . . . . . . . 248
Agent needs further troubleshooting. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 248
Agent does not start after installation. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Agents appear to be stuck in polling status . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Alert date/time sort seems inconsistent . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 249
Alerts are not being displayed in the alert browser . . . . . . . . . . . . . . . . . . . . . . . . . 249
Buffer overflow triggers false positives . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Duplicate alerts appear in System Manager. . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Idsadmin needs installed agent certificates . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 250
Idsadmin notifies of bad certificate when pinging a remote agent . . . . . . . . . . . . . 250
IDS_checkInstall fails with a kmtune error . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
IDS_genAdminKeys or IDS_genAgentCerts does not complete successfully . . . . . 251
IDS_genAdminKeys or idsgui quits early . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 251
Large files in /var/opt/ids . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252
Log files are filling up . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . . 252