今一早收到告警通知,“负载均衡连并发连接数高”
分析
按正常业务量看不会发生告警,且告警消息来自夜间2点多,这肯定存在原因的,排除误报的可能,排查思路。
1. 确认自有计划是否触发,如备份,作业计划
2. 程序业务是否触发,联系开发负责人及主要业务人员
3. 安全异常 ,网络攻击
最后排查结果是3,那只能查日志分析,以下为nginx日志,从时间点显示该时段大量异常请求信息,如IP地址及请求路径。得出当时被攻击了
处理
1. nginx IP黑白名单限制
2. nginx 请求头限制,如上图对python-requests进行限制
思考
1. 手动排查日志,考虑ELK采集日志,实现日志可视查询及日志备份等
2. 智能分析日志,对同时段量大的相同ip请求做分析,自动添加黑名单
网友评论