如何将Sensu数据包追溯到其原始IP地址？

Question

我正在尝试在引起Sensu通知的我们的环境之一中查找机器。 通知中列出的主机名和IP地址都被弄乱了，因为在创建计算机时，它具有不同的数据。 因此，错误的数据被卡住了，并且机器仍然处于运行状态并且正在踢...我的意思是，从某个地方将错误的数据发送到Sensu服务器。

我试图追踪机器的地址。 在tcpdump的帮助下，我在两个地方找到了与我正在寻找的相同类型的数据包：

1）在运行Sensu客户端的每台计算机上，我看到具有正确有效负载的数据包留给Sensu服务器计算机。 Sensu配置文件告诉我，Sensu与Sensu服务器在同一台计算机上使用RabbitMQ，因此数据包正朝着该方向前进。

2）在Sensu服务器上，我看到了所有从本地10传入的数据包。 。* IP地址，来自各种不同的端口。 当我用wget探测该IP地址时，它会用Sensu仪表板的index.html进行游戏，因此本地地址似乎是同一台机器-可能是RabbitMQ或其他东西，因为Sensu使用了它。

在我们的环境中，可能有多达一百台计算机在运行Sensu客户端，但是传入流量中几乎没有连接或源IP地址。 因此，除了蛮力逐个关闭每台计算机并查看何时弹出另一条通知之外，我无法弄清楚如何找到合适的源计算机。

额外信息：我们的机器全部在AWS中，并在创建后由Puppet进行配置。 Sensu被烘焙到基本的AMI中，因此如果Puppet立即失败，我们可以得到警报。 除了Puppet失败时甚至都不知道他是谁。

编辑：此外，现在考虑到这一点，将Sensu服务器置于Elastic Load Balancer（位于Route 53条目的后面）是很重要的，该条目是所有Sensu客户端正在发送东西的位置。

Answer 1

ELB原来是麻烦。 一旦我将Route 53直接重新路由到Sensu服务器，并且（由于缓存问题）将Sensu服务器从ELB中取出，所有传入的连接都假定使用正确的IP地址。 毕竟不是Sensu问题。