這是最一個案例分享,也是想要監控的起源,希望在流量異常的時候,可以提醒我們即時上來檢查。
網路異常通常就是 incoming[網卡名稱] is overloading 、 outcoming[網卡名稱] is overloading。
incoming[網卡名稱] is overloading :指的是主機在下載或是對網站做請求流量超過設定值所觸發的訊息。
outcoming[網卡名稱] is overloading :指的是主機在進行上傳的動作流量超過設定值所觸發的訊息。
那真實的案例就是某一天跳出了,流量異常的警報,因為是 incoming ,很怕被弱點掃描,資料庫再次被清空XD。
所以首先查看確切的時間點
然後針對該時間點進行檢查,因為怕被弱掃所以首先就是先檢查 access.log 了,在這個時間點有沒有什麼請求。
grep ‘10:15’ /var/log/aphache2/access.log
但是查看沒有什麼異常的結果 (PS : 這邊就不截圖的,不適合公開)。
排除之後就會去看 /var/log/syslog (PS : 這邊就不截圖的,不適合公開) 找看看有沒有相對應的使用者登入,查看之後確實是有的,那接下來就是找到對應的使用者,對照維運異動記錄表,查看是誰在使用,並且在詢問後真相大白。
因為是開發用的機器,他在 git clone 專案造成的警報,虛驚一場~
總之 跳警報 只要釐清原因,把問題排除就可以了唷~ (警報只是提醒,不代表真的有問題。)
內容如有介紹不周的地方,再麻煩大家提點,感激不盡。
同步發表 行雲部落格 再麻煩大家多多指教 謝謝
行雲者研發基地官網 粉絲專頁