今一早收到告警通知，“負(fù)載均衡連并發(fā)連接數(shù)高”

分析

按正常業(yè)務(wù)量看不會(huì)發(fā)生告警，且告警消息來(lái)自夜間2點(diǎn)多，這肯定存在原因的，排除誤報(bào)的可能，排查思路。

1.? 確認(rèn)自有計(jì)劃是否觸發(fā)，如備份，作業(yè)計(jì)劃

2. 程序業(yè)務(wù)是否觸發(fā)，聯(lián)系開(kāi)發(fā)負(fù)責(zé)人及主要業(yè)務(wù)人員

3. 安全異常 ，網(wǎng)絡(luò)攻擊

最后排查結(jié)果是3，那只能查日志分析，以下為nginx日志，從時(shí)間點(diǎn)顯示該時(shí)段大量異常請(qǐng)求信息，如IP地址及請(qǐng)求路徑。得出當(dāng)時(shí)被攻擊了

處理

1. nginx IP黑白名單限制

2. nginx 請(qǐng)求頭限制，如上圖對(duì)python-requests進(jìn)行限制

思考

1. 手動(dòng)排查日志，考慮ELK采集日志，實(shí)現(xiàn)日志可視查詢及日志備份等

2. 智能分析日志，對(duì)同時(shí)段量大的相同ip請(qǐng)求做分析，自動(dòng)添加黑名單