這是最一個案例分享,也是想要監控的起源,希望在流量異常的時候,可以提醒我們即時上來檢查。

網路異常通常就是 incoming[網卡名稱] is overloading 、 outcoming[網卡名稱] is overloading。
incoming[網卡名稱] is overloading :指的是主機在下載或是對網站做請求流量超過設定值所觸發的訊息。
outcoming[網卡名稱] is overloading :指的是主機在進行上傳的動作流量超過設定值所觸發的訊息。

那真實的案例就是某一天跳出了,流量異常的警報,因為是 incoming ,很怕被弱點掃描,資料庫再次被清空XD。

所以首先查看確切的時間點

然後針對該時間點進行檢查,因為怕被弱掃所以首先就是先檢查 access.log 了,在這個時間點有沒有什麼請求。

grep ‘10:15’ /var/log/aphache2/access.log

但是查看沒有什麼異常的結果 (PS : 這邊就不截圖的,不適合公開)。

排除之後就會去看 /var/log/syslog (PS : 這邊就不截圖的,不適合公開) 找看看有沒有相對應的使用者登入,查看之後確實是有的,那接下來就是找到對應的使用者,對照維運異動記錄表,查看是誰在使用,並且在詢問後真相大白。

因為是開發用的機器,他在 git clone 專案造成的警報,虛驚一場~
總之 跳警報 只要釐清原因,把問題排除就可以了唷~ (警報只是提醒,不代表真的有問題。)

內容如有介紹不周的地方,再麻煩大家提點,感激不盡。
同步發表 2021鐵人賽 再麻煩大家多多指教 謝謝

By zyxu