如何將Sensu數據包追溯到其原始IP地址？

Question

我正在嘗試在引起Sensu通知的我們的環境之一中查找機器。 通知中列出的主機名和IP地址都被弄亂了，因為在創建計算機時，它具有不同的數據。 因此，錯誤的數據被卡住了，並且機器仍然處於運行狀態並且正在踢...我的意思是，從某個地方將錯誤的數據發送到Sensu服務器。

我試圖追蹤機器的地址。 在tcpdump的幫助下，我在兩個地方找到了與我正在尋找的相同類型的數據包：

1）在運行Sensu客戶端的每台計算機上，我看到具有正確有效負載的數據包留給Sensu服務器計算機。 Sensu配置文件告訴我，Sensu與Sensu服務器在同一台計算機上使用RabbitMQ，因此數據包正朝着該方向前進。

2）在Sensu服務器上，我看到了所有從本地10傳入的數據包。 。* IP地址，來自各種不同的端口。 當我用wget探測該IP地址時，它會用Sensu儀表板的index.html進行游戲，因此本地地址似乎是同一台機器-可能是RabbitMQ或其他東西，因為Sensu使用了它。

在我們的環境中，可能有多達一百台計算機在運行Sensu客戶端，但是傳入流量中幾乎沒有連接或源IP地址。 因此，除了蠻力逐個關閉每台計算機並查看何時彈出另一條通知之外，我無法弄清楚如何找到合適的源計算機。

額外信息：我們的機器全部在AWS中，並在創建后由Puppet進行配置。 Sensu被烘焙到基本的AMI中，因此如果Puppet立即失敗，我們可以得到警報。 除了Puppet失敗時甚至都不知道他是誰。

編輯：此外，現在考慮到這一點，將Sensu服務器置於Elastic Load Balancer（位於Route 53條目的后面）是很重要的，該條目是所有Sensu客戶端正在發送東西的位置。

Answer 1

ELB原來是麻煩。 一旦我將Route 53直接重新路由到Sensu服務器，並且（由於緩存問題）將Sensu服務器從ELB中取出，所有傳入的連接都假定使用正確的IP地址。 畢竟不是Sensu問題。