Graylog 是我很常用來分析記錄的系統之一,有天忽然發現操作速度變慢且記錄量忽然暴增,本文記錄該次處理經過與心得。
Graylog 記錄爆炸性成長
平常我的 Graylog 系統使用起來都相當順暢,但這次開始發生操作遲緩的現象,而在 Search 的時間趨勢中看到了驚人的狀況。
Graylog 記錄爆炸性成長
在上圖來看,每個長條是以 10 分鐘為單位的記錄量,平常都是大約近 10 分鐘 1 萬筆左右的記錄量,但卻在 18:30 左右開是成長到 10 分鐘 30 萬筆左右的記錄量,成長了 30 倍!
在下方的記錄細節,看到的記錄來源都是我所工作用的 MacBook Pro 發出封包,在我以 pfSense 建置做為 VPN 伺服器收到的廣播封包至的 5353 連接埠被擋下。
pfSense 檢視記錄狀況
既然確認是 pfSense 所看到的事件,那麼就到 pfSense 系統上也確認一下相關的資料。
pfSense 防火牆記錄檢視
在這裡也明確的看到防火牆攔截到許多從我工作筆電發出的廣播封包,而且頻率極高。
看到了 5353 連接埠的廣播封包,又是來自 Apple 的系統,自然就會聯想到 Bonjour 通訊協定。到我在筆電上查看並沒有在使用 AirPlay、Music 等等的應用程式,而且就算有也不應該這麼頻繁的發送封包,明顯不是正常的行為。
Wireshark 網路封包分析
無法從正常的應用程式行為推測,那麼就直接來看網路封包的狀況,判斷問題原因。
Wireshark 封包分析結果
一打開封包監聽功能,就開是不停的刷新畫面長出新資料,很顯而易見的在封包內容看到的 nomachine MDNS 這些關鍵字,頓時明白兇手是誰了。
NoMachine 關閉自動網路探索
我有使用一款名為 NoMachnine 的遠端連線服務軟體,用來做為遠端遙控放在 Proxmox VE 虛擬機裡的 Windows,對照 Graylog 記錄量開始暴增的時間也正好是我開啟 NoMachine 連線至 Windows 的時間無誤。
而 NoMachine 有一個功能,會自動探索同一個區網中有那些主機也安裝了 NoMachine Server 功能,可以方便的做為遠端操作選取目標。但 NoMachine 的自動探索功能卻會發送過於巨量的封包,不僅造成網路流量大增、電腦效能變慢,更是造成此次記錄量暴增問題的原因。
因此,當我將 NoMachine Client 的自動探索功能關閉,這些狀況就不再發生了。
停用 NoMachine 自動探索
至此,問題確認且成功排除。
