IMPERVA 常用指令 #180004

impcfg --init 重新初始化

impcfg 設定

impctl restart 重新啟動如果是GW 記得通知客戶會斷線

impctl stop 停止服務

impctl start 啟動服務

impctl status 服務狀態確認

impctl (watchdog/db/gateway/server) restart/stop/start/status

watchdog 監看服務
db 資料存取
gateway 收資料(重啟最需注意)
server MX介面部分重新啟動

impctl mutex show

查服務使用狀態

impctl mutex delete --all --force

清除全部服務

impctl db delete

清除資料庫

impctl support get-tech-info

取得GTI檔案,開CASE和狀況分析

full_expimp.sh

取得設定檔案通常不含警告事件

含警告事件備份時間太長

watch -d cat /proc/hades/status

GW 檢查流量

tcpdump_on

封包分析底層確定流量

tcpdump –nn –i any (host x.x.x.x and port xxxx) –s 0 –w /tmp/xxx.pcap

[root@www ~]# tcpdump [-AennqX] [-i 介面] [-w 儲存檔名] [-c 次數] \
[-r 檔案] [所欲擷取的封包資料格式]
選項與參數：
-A ：封包的內容以 ASCII 顯示，通常用來捉取 WWW 的網頁封包資料。
-e ：使用資料連接層 (OSI 第二層) 的 MAC 封包資料來顯示；
-nn：直接以 IP 及 port number 顯示，而非主機名與服務名稱
-q ：僅列出較為簡短的封包資訊，每一行的內容比較精簡
-X ：可以列出十六進位 (hex) 以及 ASCII 的封包內容，對於監聽封包內容很有用
-i ：後面接要『監聽』的網路介面，例如 eth0, lo, ppp0 等等的介面；
-w ：如果你要將監聽所得的封包資料儲存下來，用這個參數就對了！後面接檔名
-r ：從後面接的檔案將封包資料讀出來。那個『檔案』是已經存在的檔案，
並且這個『檔案』是由 -w 所製作出來的。
-c ：監聽的封包數，如果沒有這個參數， tcpdump 會持續不斷的監聽，
直到使用者輸入 [ctrl]-c 為止。
所欲擷取的封包資料格式：我們可以專門針對某些通訊協定或者是 IP 來源進行封包擷取，
那就可以簡化輸出的結果，並取得最有用的資訊。常見的表示方法有：
'host foo', 'host 127.0.0.1' ：針對單部主機來進行封包擷取
'net 192.168' ：針對某個網域來進行封包的擷取；
'src host 127.0.0.1' 'dst net 192.168'：同時加上來源(src)或目標(dst)限制
'tcp port 21'：還可以針對通訊協定偵測，如 tcp, udp, arp, ether 等
還可以利用 and 與 or 來進行封包資料的整合顯示呢！