|
Ключ
Эта строка удалена.
Это слово было удалено. Это слово было добавлено.
Эта строка добавлена.
|
Изменения (13)
просмотр истории страницы*Устанавливаем wireshark* {panel} yum install \-y wireshark {panel} |
*Включаем сбор дампов по cron* |
Для этого, добавляем в /etc/crontab /app/reductor/etc/crontab строчку: |
{panel} |
45 * * * * root /app/reductor/usr/local/Reductor/bin/revisor_dump.sh /usr/local/Reductor/bin/revisor_dump.sh 1.1.1.1 eth1 3600 1 |
{panel} Где |
* 1.1.1.1 - IP-адрес Ревизора/Carbon Reductor Satellite; * eth1 - интерфейс, принимающий зеркало; |
* 1.1.1.1 - IP-адрес Ревизора/Carbon Reductor Satellite (необходимо указать IP Вашего Ревизора); * eth1 - интерфейс, принимающий зеркало (необходимо указать интерфейс, принимающий зеркало на Вашем сервере); |
* 3600 - время сбора дампа в секундах; * 1 - тип трафика (0 - весь трафик, 1 только http/https/dns). |
По умолчанию он сохраняется в "/var/revisor_dump/". Возможно в качестве аргумента передать директорию для хранения дампов: |
|
{panel} 45 * * * * root dumpdir="/home/root/" /app/reductor/usr/local/Reductor/bin/revisor_dump.sh 1.1.1.1 eth1 3600 1 {panel} |
После того, как дамп собран, открываем отчет от АС "Ревизор" с зафиксированными нарушениями. В нем нас интересует url/ip и время пропуска. Также при анализе стоит учитывать, что существует поле "Адрес перенаправления". Это именно тот адрес, на который обращался АС "Ревизор". |
*Скачиваем сформированный, например, в три часа ночи дамп с Carbon Reductor на машину с установленным tshark/wireshark.* |
{panel} |
\#scp /app/reductor/var/revisor_dump/1.1.1.1/2017.03.16/03/duplex.pcap root@2.2.2.2:/home/user/dump/duplex.pcap |
{panel} |
... |
В левой колонке видим tcp-stream с IP-адресом,который указан в отчете АС "Ревизора" и время совпадает, а именно {color:#000000}{*}54.236.109.144{*}{color}{color:#000000}, следовательно наш tcp-stream{color} 4944. |
Также возможен случай, когда в сервер с Carbon Reductor не попал GET-запрос, тогда стоит искать по ip-адресу ресурса, который всегда фигурирует в файле отчёта агента: |
|
*2. Сортируем дамп по полю tcp-stream* |
{panel} \# tshark \-T fields \-e tcp.stream \-e frame.time \-e ip.src \-e ip.dst \-e \_ws.col.Info \-e http.host \-r /home/user/dump/duplex.pcap \| grep "52.0.182.227" {panel} |
|
Признаком того, что проблема с отсутствием GET-запроса в конкретном стриме - наличие пакета, который tshark пометит как +"TCP Previous segment not captured"+ Проблема в таком случае +в копировании трафика для зеркала+ или +в его доставке+ (где-то в сети на пути прохождения трафика есть "узкое" место) до Carbon Reductor. *2. Смотрим в дампе конкретный стрим, который мы нашли ранее:* |
{panel} \# tshark \-R "tcp.stream eq 4944" \-2 \-T fields \-e frame.time \-e frame.number \-e ip.src \-e ip.dst \-e \_ws.col.Info \-e http.host \-r /home/user/dump/duplex.pcap |
... |