Splunk

BlueCat Adonis: Primary DNS Server kann nicht erreicht werden, Transfer schlägt fehl -> Wie überwacht man dies mit Splunk?

Durch eine Routingänderung ist es dazugekommen, dass der primäre DNS Server nicht erreicht werden konnte, die fand man im Logfile: Aug 24 11:47:33 b0a881465n named[17221]: transfer of ‚zone.loc/IN/View_GT1‘ from 1.2.1.2#53: failed to connect: timed out Aug 24 10:47:50 b0a881465n named[17221]: transfer of ‚zone.loc/IN/View_GT1‘ from 1.2.1.2#53: Transfer completed: 0 messages, 0 records, 0 bytes, 63.128 secs (0 bytes/sec) Das Irre ist, dass hier die Rede von „Transfer completed“ ist, obwohl kein Transfer stattgefunden hatte. Wenn man bedenkt, dass dies zum Diensteausfall der Sekundären Zone führen kann, wenn dies unbemerkt bleibt, sollte man regelmäßig den erfolgreichen Transfer überwachen. Da alle Daten bei Splunk landen, sollte man einen Report bauen, der es checkt: Wie sollte man es angehen? Warten auf etwas, was gar …

weiterlesen ….

Splunk: Beispiele Abfragen

index=main source=“udp:514″ sourcetype=“udp:514″ host=“10.136.20.101″ si.zgt.de | dedup bind_client bind_query | table bind_client bind_query | rename bind_client AS Client | sort Client index=main source=“udp:514″ sourcetype=“udp:514″ host=“10.136.20.101″ si.zgt.de | dedup bind_client bind_query | stats list(bind_query) by bind_client | sort client index=main source=“udp:514″ sourcetype=“udp:514″ host=“10.136.20.101″ si.zgt.de | stats count(_raw) AS anzahl_events by bind_client, bind_query | table bind_client bind_query anzahl_events | sort bind_client index=main source=“udp:514″ sourcetype=“udp:514″ host=“10.136.20.101″ si.zgt.de earliest=-15m latest=now | stats count(_raw) AS anzahl_events by bind_client, bind_query | lookup dnslookup clientip AS bind_client | table bind_client clienthost bind_query anzahl_events | sort -anzahl_events, bind_client index=main source=“udp:514″ sourcetype=“udp:514″ host=“10.136.20.101″ si.zgt.de earliest=-15h latest=now | stats count(_raw) AS anzahl_events by bind_client, bind_query | lookup dnslookup clientip AS bind_client | table bind_client clienthost bind_query anzahl_events | sort -anzahl_events, …

weiterlesen ….