免费注册 查看新帖 |

Chinaunix

  平台 论坛 博客 文库
论坛 IT运维 监控及自动化运维技术 日志监控很重要!!!一个运维的伤心史……
12345下一页
最近访问板块 发新帖
楼主: stay_sun
打印 上一主题 下一主题

[其他] 日志监控很重要!!!一个运维的伤心史…… [复制链接]

lsstarboy

论坛徽章:
54
2017金鸡报晓 日期:2017-02-08 10:39:42操作系统版块每日发帖之星 日期:2016-03-08 06:20:00操作系统版块每日发帖之星 日期:2016-03-07 06:20:00操作系统版块每日发帖之星 日期:2016-02-22 06:20:00操作系统版块每日发帖之星 日期:2016-01-29 06:20:00操作系统版块每日发帖之星 日期:2016-01-27 06:20:00操作系统版块每日发帖之星 日期:2016-01-20 06:20:00操作系统版块每日发帖之星 日期:2016-01-06 06:20:0015-16赛季CBA联赛之江苏 日期:2015-12-21 20:00:24操作系统版块每日发帖之星 日期:2015-12-21 06:20:00IT运维版块每日发帖之星 日期:2015-11-17 06:20:002015亚冠之广州恒大 日期:2015-11-12 10:58:02
11 [报告]
发表于 2015-11-15 09:51 |只看该作者
回复 10# sync_1521

具体特征字符串的不好说,因为跟我们的系统有关。只能说大致通用的一些:
1)在GET中有单引号、双引号、重点符号等特殊字符,还在转成%xx形式的,这种非(jian)即盗,可以毫不留情。
2)对于大多数应用来说,GET超过100字符,特别是经过url净化过的系统,肯定不是什么好的请求。
3)请求中一些关键字:比如and、eval等
4)post到不应该post的位置

跟防火墙联动则比较简单,向防火墙写规则就是。
我现在用的是我自己用ipfw做的,通过table写,很轻松。也可以通过telnet、ssh向硬防添加过规则,有web界面的就更好处理了。

日志的数量上,两三分钟的日志不会太多吧,要是这几分钟都上了G,那就不是我这种穷凑合了。
每次读日志前先另存个文件,然后重置日志,分析完就打包归档。在另存的时候可能会丢几条日志,但应该不是大问题,毕竟攻击的话不会那一两秒就停止了。如果真的不能丢任何一条日志,那就让syslog或nginx辛苦一下,定时弄个备份出来,况且nginx之类的还能随时重置日志。


   

评分

参与人数 1信誉积分 +5 收起 理由
sync_1521 + 5 赞一个!

查看全部评分

实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
nail78

论坛徽章:
4
IT运维版块每日发帖之星 日期:2015-08-04 06:20:00IT运维版块每日发帖之星 日期:2015-10-10 06:20:002015亚冠之阿尔艾因 日期:2015-11-08 10:27:01CU十四周年纪念徽章 日期:2020-11-05 14:10:23
12 [报告]
发表于 2015-11-15 19:07 |只看该作者
1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
  遇到最严重的一次,是移动运营商的系统,监控系统失效了,没有报警,导致磁盘写满了,生成了很多扣费异常的话单,最后只能回滚重新处理,故障发生时间在除夕春节期间,印象特别深刻。

2 大家都在使用什么日志分析软件?
   象移动运营商,都有自己的网管系统,进行监控

3 你觉得还有什么好的办法解决这样的问题呢?
  重要的生产系统,除了有监控系统,进行声光报警,短信报警之类,还要有值班人员,出了问题才能及时处理。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
niao5929

求职 : Linux运维
论坛徽章:
19
CU大牛徽章 日期:2013-03-13 15:15:0815-16赛季CBA联赛之山东 日期:2016-10-31 10:40:10综合交流区版块每日发帖之星 日期:2016-07-06 06:20:00IT运维版块每日发帖之星 日期:2016-02-08 06:20:00数据库技术版块每日发帖之星 日期:2016-01-15 06:20:00IT运维版块每日发帖之星 日期:2016-01-15 06:20:00IT运维版块每日发帖之星 日期:2016-01-10 06:20:00黄金圣斗士 日期:2015-11-24 10:45:10IT运维版块每日发帖之星 日期:2015-09-01 06:20:00IT运维版块每日发帖之星 日期:2015-08-13 06:20:00IT运维版块每日发帖之星 日期:2015-07-30 09:40:012015年亚洲杯之巴勒斯坦 日期:2015-05-05 10:19:03
13 [报告]
发表于 2015-11-16 14:32 |只看该作者
攻击从未停止,唯有日志可查。
我们系统遭受内部破坏两次都是因为良好的日志记录将攻击源进行了锁定并找到了内部攻击行为人。教训是惨痛的,深刻的。
日志是系统的历史,也是系统和人的对话。好的日志系统就是良好的对话机制。可以让问题解决轻松N倍。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
cnlnzz01

论坛徽章:
9
IT运维版块每日发帖之星 日期:2015-08-27 06:20:00IT运维版块每日发帖之星 日期:2015-10-14 06:20:00IT运维版块每日发帖之星 日期:2015-10-23 06:20:00IT运维版块每日发帖之星 日期:2015-11-22 06:20:00操作系统版块每周发帖之星 日期:2015-12-02 15:01:04白银圣斗士 日期:2015-12-07 18:37:03数据库技术版块每日发帖之星 日期:2015-12-10 06:20:00数据库技术版块每周发帖之星 日期:2016-02-03 16:55:092017金鸡报晓 日期:2017-01-10 15:19:56
14 [报告]
发表于 2015-11-16 17:10 |只看该作者
提示: 作者被禁止或删除 内容自动屏蔽
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
lyhabc

求职 : Linux运维
论坛徽章:
203
拜羊年徽章 日期:2015-03-03 16:15:432015年辞旧岁徽章 日期:2015-03-03 16:54:152015年迎新春徽章 日期:2015-03-04 09:57:092015小元宵徽章 日期:2015-03-06 15:58:182015年亚洲杯之约旦 日期:2015-04-05 20:08:292015年亚洲杯之澳大利亚 日期:2015-04-09 09:25:552015年亚洲杯之约旦 日期:2015-04-10 17:34:102015年亚洲杯之巴勒斯坦 日期:2015-04-10 17:35:342015年亚洲杯之日本 日期:2015-04-16 16:28:552015年亚洲杯纪念徽章 日期:2015-04-27 23:29:17操作系统版块每日发帖之星 日期:2015-06-06 22:20:00操作系统版块每日发帖之星 日期:2015-06-09 22:20:00
15 [报告]
发表于 2015-11-16 20:32 |只看该作者
ELK stack不支持Windows是软肋
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenxing2

论坛徽章:
13
数据库技术版块每日发帖之星 日期:2015-08-06 06:20:002017金鸡报晓 日期:2017-02-08 10:39:422017金鸡报晓 日期:2017-01-10 15:13:29极客徽章 日期:2016-12-07 14:08:02JAVA 日期:2016-10-25 16:01:09luobin 日期:2016-06-17 17:46:362016猴年福章徽章 日期:2016-02-18 15:30:3415-16赛季CBA联赛之天津 日期:2015-12-16 22:35:03黄金圣斗士 日期:2015-11-24 10:43:13IT运维版块每日发帖之星 日期:2015-10-09 06:20:002015亚冠之广州恒大 日期:2015-09-21 21:40:222015七夕节徽章 日期:2015-08-21 11:06:17
16 [报告]
发表于 2015-11-17 16:55 |只看该作者
讨论问题 :
    1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?

       遇到的问题跟你差不多吧,我们网站注册有个手机获取验证码的功能,当时不知道为啥没加验证码,结果被人调用接口发了1天多,3、4千块钱的短信费就没了。

       要是有日志监控,就会发现频繁的接口调用,而不至于损失这么多了。

    2 大家都在使用什么日志分析软件?

       现在还没用,打算使用ELK 手机nginx的日志,这个ELK最近查了下资料不需要做什么开发,只要配置下就OK了,这个不错,可以快速部署上去,监控接口的访问情况,页面的访问情况,以及服务器的信息已确定是否需要扩展(硬件或软件)
       同时使用flume手机tomcat的访问日志,做一些用户行为分析。

       还有Scribe等工具,选择适合自己的即可

    3 你觉得还有什么好的办法解决这样的问题呢?

        > 上日志监控是必须的
        > 服务器密码设置的复杂些,经常换个密码
        > 安装的应用尽量不在root下,避免漏洞导致其他问题
        > 一些应用也要加上密码等,如redis、mongodb等
        > 对一些应用的访问应该设置IP列表,不应该让随便访问
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenryn

论坛徽章:
1
狮子座 日期:2013-11-13 22:28:35
17 [报告]
发表于 2015-11-18 11:58 |只看该作者
回复 4# 虫虫猫


    一般来说,java版本不会是太大的问题,不过运维讨厌在前端机上跑java也可以理解,所以才会有logstash-forwarder出现啊。

    And,logstash-forwarder已经不再维护了,现在代替它的是filebeat。你可以用这个在前端机上收集日志发给indexer端的logstash。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenryn

论坛徽章:
1
狮子座 日期:2013-11-13 22:28:35
18 [报告]
发表于 2015-11-18 12:00 |只看该作者
回复 6# hiyachen


zabbix和ganglia需要你预先处理日志信息变成数值数据吧。不太灵活
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
chenryn

论坛徽章:
1
狮子座 日期:2013-11-13 22:28:35
19 [报告]
发表于 2015-11-18 12:03 |只看该作者
回复 15# lyhabc


    支持windows的啊
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
shyjmayue

论坛徽章:
5
2015年辞旧岁徽章 日期:2015-03-03 16:54:152015元宵节徽章 日期:2015-03-06 15:50:392015七夕节徽章 日期:2015-08-21 11:06:17平安夜徽章 日期:2015-12-26 00:06:302016猴年福章徽章 日期:2016-02-18 15:30:34
20 [报告]
发表于 2015-11-18 12:09 |只看该作者
完全不吐不快   

1 上述案例告诉我们,日志监管真的很重要,你们遇到过什么问题?
日志不是万能的,但是有时候确实很好用,大多数日志的价值是为了排查问题,不出问题的时候谁去看日志啊?其实最好应该把问题前置,防患于未然。开发人员如果日志写的好,说明他足够nb,给他点1w个赞。

    2 大家都在使用什么日志分析软件?
splunk

    3 你觉得还有什么好的办法解决这样的问题呢?
购买入侵检测设备或工具,前置。服务挂了才想起来看日志,机器挂了日志看不到咋办?很多时候攻击都是菜鸟,中鸟在练手,高手如果出手,你在服务器上很难看到有用的日志。
亡羊补牢,犹未晚矣。建议对暴露在互联网上的设备,服务全方位监控,日志监控只是途径之一。


以上,仅仅是扯d而已,自娱自乐。
实战分享:从技术角度谈机器学习入门| 【大话IT】RadonDB低门槛向MySQL集群下战书 | ChinaUnix打赏功能已上线! | 新一代分布式关系型数据库RadonDB知多少?
12345下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 注册

本版积分规则 发表回复

  

北京盛拓优讯信息技术有限公司. 版权所有 京ICP备16024965号-6 北京市公安局海淀分局网监中心备案编号:11010802020122 niuxiaotong@pcpop.com 17352615567
未成年举报专区
中国互联网协会会员  联系我们:huangweiwei@itpub.net
感谢所有关心和支持过ChinaUnix的朋友们 转载本站内容请注明原作者名及出处

清除 Cookies - ChinaUnix - Archiver - WAP - TOP