ฉันรู้ว่าหัวข้อนี้เก่า แต่เพื่อความสมบูรณ์:
หาก CPU สูงเกิดขึ้นแบบสุ่มและคุณไม่สามารถระบุกระบวนการที่ทำให้เกิดสิ่งนี้เราสามารถสร้างสคริปต์ด้านล่าง
ด้วยสคริปต์นี้เราจะจับกระบวนการอย่างกว้างขวางเมื่อกระบวนการเพิ่มมากกว่าเกณฑ์ปกติหรือที่คาดไว้สิ่งนี้ไม่ควรรบกวนการรับส่งข้อมูลใด ๆ แต่ยังแนะนำให้ใช้ MW อย่างไรก็ตามฉันเห็นว่าคุณได้ จำกัด ให้เป็น RPD
snmp {
health-monitor {
interval 30;
rising-threshold 60;
falling-threshold 50;
}
}
event-options {
policy MONITOR-CPU {
events snmpd_health_mon_thresh_cross;
attributes-match {
snmpd_health_mon_thresh_cross.event-name matches "Health Monitor.+CPU.+rising";
}
then {
execute-commands {
commands {
"show system processes extensive";
}
output-filename cpu-processes;
destination local-flash;
output-format text;
}
}
}
destinations {
local-flash {
archive-sites {
/var/tmp;
}
}
}
}
DISPLAY SET OUTPUT>
set snmp health-monitor interval 30
set snmp health-monitor rising-threshold 60
set snmp health-monitor falling-threshold 50
set event-options policy MONITOR-CPU events snmpd_health_mon_thresh_cross
set event-options policy MONITOR-CPU attributes-match snmpd_health_mon_thresh_cross.event-name matches "Health Monitor.+CPU.+rising"
set event-options policy MONITOR-CPU then execute-commands commands "show system processes extensive"
set event-options policy MONITOR-CPU then execute-commands output-filename cpu-processes
set event-options policy MONITOR-CPU then execute-commands destination local-flash
set event-options policy MONITOR-CPU then execute-commands output-format text
set event-options destinations local-flash archive-sites /var/tmp
คุณได้ตรวจสอบด้วยหรือไม่หากมีการรายงานข้อความ ddos? คุณสามารถเรียกใช้คำสั่งต่อไปนี้:
show ddos-protection protocols statistics brief
show ddos-protection statistics
show ddos-protection version
จากนั้นขึ้นอยู่กับสิ่งที่คุณเห็นมันสามารถถูก จำกัด ให้แคบลงตัวอย่างเช่น:
show ddos-protection protocols ttl statistics
show ddos-protection protocols ttl violations
show ddos-protection protocols ttl flow-detection detail */*this cm needs prior config*/*
จูนิเปอร์ยังมีรายการคอลเลกชันสำหรับปัญหาประเภทนี้ภายใต้ KB22637
คำสั่งCPU CLI สูง
set cli timestamp
show chassis routing-engine (multiple snapshots, atleast 5)
show system processes extensive (multiple snapshots atleast 5)
show system users
show system connections
show system statistics
เปิดการบัญชีงานและรวบรวมเอาท์พุทรายละเอียดการบัญชีงาน (สามครั้งด้วยระยะห่าง 30 วินาที) อย่าลืมปิดหลังจากเสร็จสิ้น
set task accounting on
show task accounting detail
set task accounting off
show task memory detail
show task memeory summary
show task io
show task history
show task statistics
show task job
show task jobs
show krt queue
show krt state
ท่อน
เก็บถาวร / var / log ตามที่ระบุในขั้นตอนที่ 1 ด้านบน Traceoptions
user@router# show routing-options
traceoptions {
file routing-trace size 10m files 20 world-readable;
flag task;
flag state;
flag timer;
}
นอกจากนี้หากคุณใช้เวอร์ชั่นเก่าซึ่งมีแนวโน้มที่จะเกิดข้อบกพร่องคุณอาจต้องการตรวจสอบการสนับสนุนชีวิตของรหัส:
http://www.juniper.net/support/eol/junos.html
อีกจุดที่กล่าวถึงซึ่งอาจเป็นการโจมตีแบบเวกเตอร์ไม่มีการป้องกัน RE ของคุณจากทราฟฟิกที่ไม่ต้องการ ตรวจสอบให้แน่ใจว่าคุณมีตัวกรองไฟร์วอลล์ภายใต้ลูปแบ็ค
ฉันเคยเห็นในสคริปต์ที่ผ่านมาในเราเตอร์ที่ก่อให้เกิดซีพียูสูงไม่แน่ใจว่า rpd เข้ามาในมุมมองของฉัน แต่นี่เป็นสิ่งที่คุณอาจไม่ต้องการมองข้าม
หากคุณเห็นในบันทึกการเข้าชมจำนวนมากด้วย RPD_MPLS_PATH_BANDWIDTH_CHANGE คุณอาจกำลังใช้ช่วงการปรับตัวที่ก้าวร้าวมาก
ตรวจสอบหยดใด ๆ ใน "show system queue: นี่คือเคอร์เนลคิวบางส่วนอาจปรากฏขึ้น