|
Компьютерный форум OSzone.net » Компьютеры + Интернет » Сетевые технологии » Log/Monitoring - [решено] Broadcast адреса: быть или не быть? |
|
|
Log/Monitoring - [решено] Broadcast адреса: быть или не быть?
|
Ветеран Сообщения: 953 |
Профиль | Отправить PM | Цитировать Давно меня тревожит вопрос по широковещательным адресам.
В логах, на пограничным файрволе (он и есть шлюз для локалки) пачками сыпаются широковещательные адреса. Собственно, фаер всех гасит. Но из за них очень сложно в логах найти важные записи, например реальные блокировки. Вот в основном на эти адреса идут: 239.255.255.250 (UDP/3702) 224.0.0.22 (IP/2) 255.255.255.255 (UDP/5678) 224.0.0.1 (IP/2) - тут инициатор адрес 0.0.0.0 На стороне WAN: 192.168.0.0 В сети нет DC, DHCP. сервер win2012, клиенты win7-10. Можно ли это отключить на клиентах, чтоб не генерировали такой трафик и не засоряли логи ? или создать лучше дня них правило отдельно блокировки и отключить у них логирование ? |
|
Отправлено: 09:52, 20-05-2017 |
Забанен Сообщения: 6345
|
Можно не вручную читать логи, а воспользоваться обработчиком, который настроить на
Цитата krec:
|
|
Отправлено: 13:50, 20-05-2017 | #2 |
Для отключения данного рекламного блока вам необходимо зарегистрироваться или войти с учетной записью социальной сети. Если же вы забыли свой пароль на форуме, то воспользуйтесь данной ссылкой для восстановления пароля. |
Ветеран Сообщения: 584
|
Профиль | Отправить PM | Цитировать Может проще не не писать в лог?
Настроить логгирование нужного и всё. |
Отправлено: 15:26, 20-05-2017 | #3 |
Ветеран Сообщения: 953
|
Профиль | Отправить PM | Цитировать Jula0071, нет, так не получится. технически не возможно в нашем случае.
meZon, а как/что настроить то? там все в перемешку сыпается. хочу немного отсеивать, чтоб хоть можно было нагладно что то видеть, а то одни широковещательные пакеты, кстати 255.255.255.255 (UDP/5678) - от микротика как раз. через WAN порт попадает в фаер, который и гасит. |
Отправлено: 23:52, 20-05-2017 | #4 |
Ветеран Сообщения: 1958
|
Профиль | Отправить PM | Цитировать Для начала это мультикаст группа, так же протокол SSDP (по умолчанию порт 1900), так же сервисы UPnP (Universal Plug&Play service).
|
|
Отправлено: 12:19, 21-05-2017 | #5 |
Забанен Сообщения: 6345
|
Цитата krec:
|
|
Отправлено: 16:13, 22-05-2017 | #6 |
Ветеран Сообщения: 953
|
Профиль | Отправить PM | Цитировать Jula0071,
ну syslog да, оборудование поддерживает, но технически не знаю как это все реализовать. |
Отправлено: 20:02, 23-05-2017 | #7 |
Забанен Сообщения: 6345
|
Цитата krec:
grep -v 239\.255\.255\.250 до очень дорогого Splunk. |
|
Отправлено: 20:12, 23-05-2017 | #8 |
Ветеран Сообщения: 953
|
Профиль | Отправить PM | Цитировать Jula0071, К сожалению пока не готов возится с syslog. Надо мне для начала изучать все , а потом уже перейти
|
Отправлено: 21:40, 23-05-2017 | #9 |
Ветеран Сообщения: 953
|
Профиль | Отправить PM | Цитировать Все же решил сделать так:
сделать правило , который принудительно блокирует мильтикасты и на эту запись отключить логирование. получится отсеивается весь этот хлам, а и в логи не пишет. Но не знаю как синтаксис оформить.. Вот пустой бланк для составления правилы: http://images.vfl.ru/ii/1495691454/5...4/17342658.jpg надо под отдельным фильтром гасить вот эти записи: 192.168.0.х > 224.0.0.251 192.168.1.х > 224.0.0.22 192.168.1.х > 239.255.255.250 192.168.0.х > 255.255.255.255 Вот картина из логах: http://images.vfl.ru/ii/1495692381/b...0/17342745.jpg Я не могу понять что за сервис IP/2 , и как для него создать правило. |
Отправлено: 09:07, 25-05-2017 | #10 |
|
Участник сейчас на форуме | Участник вне форума | Автор темы | Сообщение прикреплено |
| |||||
Название темы | Автор | Информация о форуме | Ответов | Последнее сообщение | |
[решено] "не может быть сохранён, так как исходный файл не может быть прочтён" !!! | nunahren | Хочу все знать | 4 | 08-01-2020 00:30 | |
VPN - [решено] VPN - быть или не быть ? | krec | Сетевые технологии | 4 | 14-04-2017 14:15 | |
[решено] Быть или не быть? Разгонять или не разгонять? | russiman | Процесcоры | 3 | 02-02-2015 09:48 | |
Вопрос - NAP. быть или не быть ? | krec | Защита компьютерных систем | 0 | 19-01-2010 17:21 | |
быть или не быть | mikesip | Сетевые технологии | 2 | 21-02-2003 12:27 |
|