我们试图弄清楚是否有一种方法可以创建一个流/警报,以检测电子邮件地址何时在日志中超过 X 次。据我们所知,我只能计算与流匹配的消息总数。
例如,如果在过去一分钟内该值相同超过 10 次,我们希望在名为“mailaddress”的字段上发出警报。有人对如何做到这一点有想法吗?
在超过我们的第一个 VRRP 组中的 IP 限制后,我们遇到了向 vyatta 设备添加新 IP 的问题。工作中列出的所有 IPvrrp-group 1都很好,但我添加的任何IPvrrp-group 2都没有。
我们可以看到流量进入,但我们想要工作的流量 (443) 永远不会到达 NAT。但是,ping 流量进来并返回(这应该不起作用)。NAT 位于防火墙之前,但我们已经检查过它以确保我们没有遗漏任何东西并且它有 0 次命中。任何想法将不胜感激。
流量从端口 443 进入但不退出
tcpdump: listening on bond1, link-type EN10MB (Ethernet), capture size 65535 bytes
12:07:50.003063 IP (tos 0x0, ttl 52, id 63499, offset 0, flags [DF], proto TCP (6), length 64)
2.2.2.2.62111 > 1.1.1.1.443: Flags [S], cksum 0xd629 (correct), seq 237589496, win 65535, options [mss 1380,nop,wscale 5,nop,nop,TS val 1539048232 ecr 0,sackOK,eol], length 0
12:07:50.709156 IP (tos 0x0, ttl 52, id 37525, offset 0, flags [DF], proto TCP (6), length 64)
2.2.2.2.62113 > 1.1.1.1.443: Flags [S], cksum 0x412b (correct), seq 2830126052, win 65535, options [mss 1380,nop,wscale 5,nop,nop,TS val 1539048881 ecr 0,sackOK,eol], length 0
12:07:57.131533 IP (tos 0x0, ttl 52, id 34718, offset 0, flags [DF], proto TCP (6), length 64)
2.2.2.2.62137 > 1.1.1.1.443: Flags [S], cksum 0xc2c7 (correct), seq 3549136583, win 65535, options [mss 1380,nop,wscale 5,nop,nop,TS val 1539055166 ecr 0,sackOK,eol], length 0
防火墙命中的 NAT 表中没有任何内容
sh nat destination translations | match 1.1.1.1
sh firewall name out2in rule 100
-----------------------------
Rulesets Information
-----------------------------
IPv4 Firewall "out2in":
Active on traffic to -
zone [inside] from zone [outside]
rule action proto packets bytes
---- ------ ----- ------- -----
100 accept tcp 0 0
condition - saddr 0.0.0.0/0 daddr 10.0.0.100
Ping 有效(但不翻译)
15:11:31.052571 IP (tos 0x0, ttl 52, id 65344, offset 0, flags [none], proto ICMP (1), length 84)
2.2.2.2 > 1.1.1.1: ICMP echo request, id 28473, seq 117, length 64
15:11:31.052585 IP (tos 0x0, ttl 64, id 9409, offset 0, flags [none], proto ICMP (1), length 84)
1.1.1.1 > 2.2.2.2: ICMP echo reply, id 28473, seq 117, length 64
15:11:32.055675 IP (tos 0x0, ttl 52, id 32001, offset 0, flags [none], proto ICMP (1), length 84)
2.2.2.2 > 1.1.1.1: ICMP echo request, id 28473, seq 118, length 64
NAT
set nat destination rule 100 destination address '1.1.1.1'
set nat destination rule 100 destination port 'https'
set nat destination rule 100 inbound-interface 'bond1'
set nat destination rule 100 protocol 'tcp'
set nat destination rule 100 translation address '10.0.0.100'
防火墙
set firewall name out2in rule 100 action 'accept'
set firewall name out2in rule 100 destination address '10.0.0.100'
set firewall name out2in rule 100 destination port '443'
set firewall name out2in rule 100 protocol 'tcp'
VRRP 配置
set interfaces bonding bond1 address '1.1.1.4/28'
set interfaces bonding bond1 hash-policy 'layer3+4'
set interfaces bonding bond1 mode '802.3ad'
set interfaces bonding bond1 vrrp vrrp-group 1 advertise-interval '1'
set interfaces bonding bond1 vrrp vrrp-group 1 preempt 'false'
set interfaces bonding bond1 vrrp vrrp-group 1 priority '253'
set interfaces bonding bond1 vrrp vrrp-group 1 'rfc3768-compatibility'
set interfaces bonding bond1 vrrp vrrp-group 1 sync-group 'vgroup1'
set interfaces bonding bond1 vrrp vrrp-group 1 virtual-address '1.1.1.230/28'
set interfaces bonding bond1 vrrp vrrp-group 1 virtual-address '1.1.2.80/28'
set interfaces bonding bond1 vrrp vrrp-group 1 virtual-address '1.1.3.172/29'
...
set interfaces bonding bond1 vrrp vrrp-group 2 advertise-interval '1'
set interfaces bonding bond1 vrrp vrrp-group 2 preempt 'false'
set interfaces bonding bond1 vrrp vrrp-group 2 priority '253'
set interfaces bonding bond1 vrrp vrrp-group 2 'rfc3768-compatibility'
set interfaces bonding bond1 vrrp vrrp-group 2 sync-group 'vgroup1'
set interfaces bonding bond1 vrrp vrrp-group 2 virtual-address '1.1.1.1/28'
为 zone-policy 添加了新的子接口
set zone-policy zone outside interface 'bond1'
set zone-policy zone outside interface 'bond1v1'
set zone-policy zone outside interface 'bond1v2'
路由匹配bond1v1中的相似路由
1.1.3.172/28 is directly connected, bond1v1
1.1.1.1/28 is directly connected, bond1v2
我们正在尝试使用 ELB 来负载平衡两个 graylog 节点。在大多数情况下,它可以正常工作,但对于某些操作,例如进入系统节点,它会超时,我们会收到以下信息。如果我们直接访问日志中的 URL,我们会看到 HTTP 405 错误。
AWS 表示这意味着Cause: The length of the method in the request header exceeds 127 characters,但除了检查标头长度之外不提供任何解决方案。
有没有人有尝试解决这个问题的建议?
[ProxiedResource] Unable to call https://URL:12900/system/metrics/multiple on node <153cd269-ce5c-400a-87b6-557235448be7>, caught exception: connect timed out (class java.net.SocketTimeoutException)
我们有一个 rabbitmq 集群,它从一个应用程序接收消息,然后被第二个应用程序接收。我们遇到了一个问题,我们的队列中有大量“未确认”消息。我们总共有三台服务器运行第二个应用程序并重新启动了所有服务器,但未接收到未确认的消息。我们收到一个错误,看起来像是我们的代码有问题(我们正在单独研究)。
在做了一些研究之后,我们意识到这些消息可能已经发送但没有正确确认。我们想知道是否有一种方法可以查看类似于就绪队列中的未确认消息,以便我们进一步调查。
有没有人在 ansible 模板中为循环组合组。我们想要做的是获取两个组的共同成员并循环它们以创建我们的配置。我们正在尝试在主机限制中有效但收到的相同格式'dict object' has no attribute 'tag_function_psql:&tag_release_dev'
{% for host in groups['tag_function_psql:&tag_release_dev'] %}
我们在 CentOS7 上有一些 HAProxy/keepalived 集群,发现用 keepalived 管理的虚拟 IP 已经在 DNS 中注册。有谁知道阻止 dns 注册使用 keepalived 注册的地址或阻止接口的 DNS 注册(同时保持 DHCP 开启)的方法?