전체보기 (45) 썸네일형 리스트형 [logstash/beat] Failed to publish events caused by : write tcp write: connection reset 0. 들어가며ElasticStack을 구축하며 beat와 logstash를 연동하여 운영하는데, beat를 통해 데이터를 수집하는 서버에서 아래 이미지와 같은 에러가 지속적으로 발생함을 알수있었다. 해당 글은 지속적으로 발생하는 해당 에러를 조치하는 방안을 작성한 글이다. 1. 원인 파악원인을 파악하기 위해 클라이언트(beat)에서 로그스태시로 telnet 접속시도를 했는데 정상적으로 커넥션이 되는걸 확인할 수 있었다. 즉 통신에는 문제가 없음을 확인하였고, 로그를 확인해보니 내용에 나와있는 connection reset by peer의 경우 클라이언트가 아닌 서버측에서 RST를 던져서 접속이 끊길때 발생하는 에러이기에, RST를 던진쪽이 서버(logstash)인지 상단 또는 네트워크장비인지 확인을 하기.. No configuration file found at /root/.esmtprc or /etc/esmtprc 0. 들어가며Rocky OS를 운영하며 제목과 같은 에러가 주기적으로 /var/log/messages에 발생하는것을 확인 할 수 있었습니다.해당 메시지는 crontab에 등록된 작업이 실패 할 경우에 다량으로 발생하는것을 확인하였는데,이 글은 위에 대한 조치 방안에 대해서 작성하였습니다.1. 발생 원인cron은 기본적으로 작업 실행 결과에 대한 내용을 메일로 발송하게끔 구성되어있습니다.이로 인해 crontab에서 시행한 결과를 발송하려했으나, 서버내에 메일에 대한 설정이 없을 경우에 제목과 같은 에러가 발생합니다. 2. 조치 방안조치 방안은 크게 두가지 방안이 있습니다. 2-1) 메일 프로세스 설치 간단한 조치 방법으로 메일서버를 설치해주면 해당 에러는 더이상 발생하지 않습니다.[root@test ~.. beat-rsyslog 연동 이슈 0. 들어가며auditbeat가 구동중인 linux 서버에서 rsyslog를 연동 할 경우 messages 로그에 설정한 auditbeat log가 남는것을 확인 할 수 있다. 이는 로그를 관리해야하는 입장에서 시스템 로그와 섞이기에 로그확인에 불편항 사항을 초래 할 수있다. 하지만 추가 설정 없이 기본 설정으로 운영 할 경우 rsyslog를 통하여 messages 로그에 남는 auditbeat 로그의 컨트롤 (ex.예외처리,파일분리 등)이 불가한데 아래는 이와같은 문제를 해결해나가는 과정이다.1. auditbeat facility 확인auditbeat 의 공식 docs를 찾아봐도 syslog의 facility에 대한 내용이 남겨져있는건 확인을 못했다.(필자가 못찾은거일수도..)서치중에 아래와 같이 li.. ElastAlert2 Alert UTC 타임존 문제 해결 0. 들어가며Elasticsearch는 기본적으로 UTC 타임존을 사용하여 데이터를 저장합니다. 이는 시스템 간 일관성을 유지하는 데 유리하지만, 사용자나 클라이언트가 있는 지역에 맞춰진 로컬 타임존으로 데이터를 보여줘야 하는 경우에는 불편할 수 있습니다. 특히 Kibana와 같은 시각화 프로그램은 타임존을 자동으로 변환하여 표시하지만, ElastAlert2는 기본적으로 이 기능을 제공하지 않기 때문에 알람에 표시되는 시간이 UTC로 나타납니다.1. Enhancement ModuleElastAlert2에서는 알람 발송 전에 사용자의 환경 또는 니즈에 맞춰서 알람 match를 변경할 수 있는 enhancement 모듈을 지원합니다. 이를 통해 타임스탬프 데이터를 알람이 전송되기 전에 적절한 타임존(KST).. SFTP서버 운영간 SSH 세션 관리 0. 들어가며서버를 관리하면서 SFTP(Secure File Transfer Protocol)를 사용하다 보면, 아래와 같이 SFTP 세션이 종료된 후에도 SSH(Secure Shell) 세션이 끊어지지 않고 유지되는 현상을 경험할 수 있습니다. ps -ef | grep sshroot 115547 1079 0 13:19 ? 00:00:00 sshd: testuser [priv]testuser 115549 115547 0 13:19 ? 00:00:00 sshd: testuser@nottyroot 116144 1079 0 15:19 ? 00:00:00 sshd: testuser [priv]testuser 116147 116144 0 1.. 이전 1 2 3 4 5 ··· 9 다음
