Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 6 replies
  • Subscribers 3 subscribers
  • Views 4043 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

OSSIM - Alien Vault Capped my home license!

ximian
Hello, I implemented OSSIM in my network and the discovery scans of 3 subnets which have a total of about 20 devices caused the UTM to exceed my license with a wooping 761!! Which oddly enough is the total of 3 class C_s!! 

How do I remove the exceeded count of licenses? 
Why the heck is a network scan causing this ? 

Thanks in advance.


This thread was automatically locked due to age.
  • 0
    All I can say is that it is a known issue.  Some scanners can cause issues with UTM license count.
  • 0
    How do I remove the exceeded count of licenses?
    Wait 7 days and the unused IPs will drop off the count.
  • 0
    Wow, how pathetic... How can the UTM count and IP that does not do a 3-way handshake?  Definitely the issue as I see the UTM Reset packets, with Source an IP does not exist but was scanned, in the Firewall log, which I presume is why the UTM is calculating that IP.

    Seriously Sophos, fix this.
  • 0
    Seriously Sophos, fix this.
    This is a user-to-user forum only.  In order for it to be fixed, a number of paid license users would need to report it to Sophos by opening up support cases.
  • 0 in reply to Scott_Klassen
    Hi it's been 14 days! Still having the issue. Port copied on segments no such IP's are being seen. Reluctantly re-installed to 9.3.11.3 everything is now working.

    I think 9.312-8 has a licensing bug when a network has it's own dhcp server.
  • 0
    heres a trick -> SSH into the box, you need to get root Access (or do it via console directly on the box)


    cc
    licensing

    here you have 2 strings relevant for you:


    active_ips@
    user_limit_exceeded$


    enter "active_ips@" -> will open up context and type "=[]"
    Looks like:


    MAIN licensing > active_ips@
       0 10.10.1.41
       1 10.10.1.20
       2 10.10.1.100
       3 10.10.1.11
       4 10.10.1.40
       5 10.10.1.45
       6 10.10.1.10
       7 10.10.1.42
       8 10.10.1.25
       9 10.10.1.5
      10 10.8.1.20
      11 10.12.1.2

    MAIN licensing/active_ips (ARRAY) > =[]


    afterwards type ".."

    go to "user_limit_exceeded$" and use "=0" to reset this Count

    type Exit -- done. Reboot might be necessary