最近因為有大檔案同步的需求
所以找了二個解決方案 rsync bigsync
同時試了一下
樣本都是一個49G的檔案 來源目的都一樣
直接上數据
rsync
sent 49,088,096,429 bytes received 35 bytes 95,039,876.99 bytes/sec
total size is 49,076,114,830 speedup is 1.00
real 8m36.099s
user 3m35.524s
sys 1m17.008s
bigsync
Total read = 45.706 Gb
Total write = 45.706 Gb
Total blocks changed = 3121
Elapsed 10m13s
看起來rsync還是快一點
另外bigsync可以調整每次處理的block大小
順便貼一下數据
500M
Total read = 45.706 Gb
Total write = 45.706 Gb
Total blocks changed = 94
Elapsed 10m32s
1000M
Total read = 45.706 Gb
Total write = 45.706 Gb
Total blocks changed = 47
Elapsed 10m30s
看起來和default 15M並沒有什麼差別
再來看一下如果檔案有小變化時 二方的結果
這次測一個10G的檔
rsync
sent 10,876,360,204 bytes received 35 bytes 65,718,188.76 bytes/sec
total size is 10,873,705,357 speedup is 1.00
real 2m44.831s
user 0m48.460s
sys 0m18.184s
看來rsync並不會把檔案切割計算
bigsync
Total read = 10.127 Gb
Total write = 4 Mb
Total blocks changed = 1
Elapsed 1m33s
結論
如果需求是每次都要同步全新的檔 用 rsync比較快
如果目的檔案已存在 只要同步差異處 用bigsync 可以節省比較多時間
https://rsync.samba.org/
https://github.com/egorFiNE/bigsync
2018/01/28
2018/01/24
2018/01/23
2018/01/19
今天因為工作的需求要安裝一台winserver 2012 R2
每次裝windows就有一種............
原因就是裝好之後的update
今天光是update就花了十多個小時
Orz
從以前就一直在想
為什麼win沒辦法改進這一塊
我裝好linux跑個update最多也就十分鐘
update後另一個問題又來了
50G的HD只剩10多G可以用
哇咧
而且server版預設沒有安裝磁碟清理工具
找了一下
發現只要清理三個資料夾
c:\windows\logs\CBS\
C:\WINDOWS\TEMP
C:\WINDOWS\SoftwareDistribution\Download
因為是剛裝好 所以前二個資料夾裡沒啥資料
第三個裡面就塞了十多G
砍了
http://shaomoon715.blogspot.tw/2016/09/c-cwindowslogscbs.html
每次裝windows就有一種............
原因就是裝好之後的update
今天光是update就花了十多個小時
Orz
從以前就一直在想
為什麼win沒辦法改進這一塊
我裝好linux跑個update最多也就十分鐘
update後另一個問題又來了
50G的HD只剩10多G可以用
哇咧
而且server版預設沒有安裝磁碟清理工具
找了一下
發現只要清理三個資料夾
c:\windows\logs\CBS\
C:\WINDOWS\TEMP
C:\WINDOWS\SoftwareDistribution\Download
因為是剛裝好 所以前二個資料夾裡沒啥資料
第三個裡面就塞了十多G
砍了
http://shaomoon715.blogspot.tw/2016/09/c-cwindowslogscbs.html
2018/01/14
在之前如果要把ovf匯入proxmox要花很多功夫
剛剛發現現在有 qm importovf 跟 qm importdisk 可以用 真是太方便了
試了一下
qm importovf怪怪的無法成功
所以只好把vm先建好
再把ova解開
tar xvf test.ova
使用 qm importdisk
指令如下
qm importdisk 123 test.vmdk local-lvm
會匯入成第二個disk
在管理介面上把剛匯入的那顆hd加上去
然後改一下boot disk
或是匯入之前先把之前建guest的第一個hd砍了
這樣匯入時就會是第一個
https://forum.proxmox.com/threads/procedure-to-import-vmware-ova-to-proxmox-5-0-23-with-zfs-vm-store.36779/
https://pve.proxmox.com/pve-docs/qm.1.html
剛剛發現現在有 qm importovf 跟 qm importdisk 可以用 真是太方便了
試了一下
qm importovf怪怪的無法成功
所以只好把vm先建好
再把ova解開
tar xvf test.ova
使用 qm importdisk
指令如下
qm importdisk 123 test.vmdk local-lvm
會匯入成第二個disk
在管理介面上把剛匯入的那顆hd加上去
然後改一下boot disk
或是匯入之前先把之前建guest的第一個hd砍了
這樣匯入時就會是第一個
https://forum.proxmox.com/threads/procedure-to-import-vmware-ova-to-proxmox-5-0-23-with-zfs-vm-store.36779/
https://pve.proxmox.com/pve-docs/qm.1.html
2018/01/13
2018/01/09
今天想把snort的資料吐進 graylog
記錄一下步驟
首先改一下snort.conf 增加寫到syslog的選項
output alert_syslog: LOG_LOCAL5 LOG_ALERT
在以下的空格貼入 https://github.com/jhaar/mygraylog-patches-extractor-snort/blob/master/extractor-snort 裡的程式碼
之後進來的資料就可以被解析了
https://www.graylog.org/blog/64-visualize-and-correlate-ids-alerts-with-open-source-tools
記錄一下步驟
首先改一下snort.conf 增加寫到syslog的選項
output alert_syslog: LOG_LOCAL5 LOG_ALERT
再來改一下rsyslog.conf
$template GRAYLOGRFC5424,"<%PRI%>%PROTOCOL-VERSION% %TIMESTAMP:::date-rfc3339% %HOSTNAME% %APP-NAME% %PROCID% %MSGID% %STRUCTURED-DATA% %msg%\n"
local5.alert @graylog.server:514;GRAYLOGRFC5424
再來在gralog上加入extractor 加在 收snort log的那個input
system -> input -> manage extractors
import extractors
在以下的空格貼入 https://github.com/jhaar/mygraylog-patches-extractor-snort/blob/master/extractor-snort 裡的程式碼
之後進來的資料就可以被解析了
https://www.graylog.org/blog/64-visualize-and-correlate-ids-alerts-with-open-source-tools
2018/01/07
延續昨天的問題
先把找出來的cid先排序 才能使用 comm 指令
sort data > data_s
mv data_s data
程式跑一個晚上砍不到10000筆 XD
早上停掉
找了一下資料
改用另一種跑法
一樣是先把要砍的欄位資料撈出來
之後以一萬筆為單位拆開 做完後從資料中清除
如下
先把找出來的cid先排序 才能使用 comm 指令
sort data > data_s
mv data_s data
get_10000
sed -n '1,10000p' data > data_del
#grep -v -f data_del data > data_tmp
comm -1 -3 data_del data > data_tmp
mv -f data_tmp data
mv -f data_tmp data
利用上述的檔案生成sql 語法
del_data_10000
for i in `cat data_del`
do
echo -n $i" ,"
done > 000
echo -n 999999999 >> 000
mysql -u user -p123456 snort -e"delete from event where cid in (`cat 000`);"
一次跑100個loop
#!/bin/bash
for i in {1..100};
do
echo $i" times"
./get_10000
echo "get ok"
./del_data_10000
echo "del ok"
wc data
echo " "
done
速度快多了
2018/01/06
記錄一下在librenms上找ip及mac及switch port的方法
如果pc關了 有可能會找不到
首先先利用 arp table 找到mac
然後再利用找到的 mac 到 FDB table 去找
簡單快速
https://blog.michaelfmcnamara.com/2008/02/what-are-the-arp-and-fdb-tables/
如果pc關了 有可能會找不到
首先先利用 arp table 找到mac
然後再利用找到的 mac 到 FDB table 去找
簡單快速
https://blog.michaelfmcnamara.com/2008/02/what-are-the-arp-and-fdb-tables/
前一陣子不知是因為FP還是真的有那麼多攻擊
導致snort的資料庫塞了一堆 OS-WINDOWS Microsoft WINS arbitrary memory modification attempt 有五百多萬筆 XD
rule 是以下這個
alert udp $EXTERNAL_NET any -> $HOME_NET 1027:5000 (msg:"OS-WINDOWS Microsoft WINS arbitrary memory modification attempt"; sid:13826; gid:3; rev:6; classtype:attempted-admin; reference:cve,2008-1451; reference:url,technet.microsoft.com/en-us/security/bulletin/MS08-034; metadata: engine shared, soid 3|13826;)
然後整個web畫面就慢的夭壽慢 一直放著沒處理
今天想想來處理
首先先把 acid_event 這個 table 裡有關 OS-WINDOWS Microsoft WINS arbitrary memory modification attempt 的 cid 找出來
select cid from acid_event where sig_name='OS-WINDOWS Microsoft WINS arbitrary memory modification attempt';
然後寫個 shell 到 event table 去全砍了
#!/bin/bash
for i in `cat 123`
do
echo $i
mysql -u user -p123456 snort -e"delete from event where cid=$i;"
done
或直接寫個sql
DELETE FROM tb1 WHERE tb1.a in (SELECT k from tb2);
接下來再 使用之前寫過的清資料的方法
再跑一次
導致snort的資料庫塞了一堆 OS-WINDOWS Microsoft WINS arbitrary memory modification attempt 有五百多萬筆 XD
rule 是以下這個
alert udp $EXTERNAL_NET any -> $HOME_NET 1027:5000 (msg:"OS-WINDOWS Microsoft WINS arbitrary memory modification attempt"; sid:13826; gid:3; rev:6; classtype:attempted-admin; reference:cve,2008-1451; reference:url,technet.microsoft.com/en-us/security/bulletin/MS08-034; metadata: engine shared, soid 3|13826;)
然後整個web畫面就慢的夭壽慢 一直放著沒處理
今天想想來處理
首先先把 acid_event 這個 table 裡有關 OS-WINDOWS Microsoft WINS arbitrary memory modification attempt 的 cid 找出來
select cid from acid_event where sig_name='OS-WINDOWS Microsoft WINS arbitrary memory modification attempt';
然後寫個 shell 到 event table 去全砍了
#!/bin/bash
for i in `cat 123`
do
echo $i
mysql -u user -p123456 snort -e"delete from event where cid=$i;"
done
或直接寫個sql
DELETE FROM tb1 WHERE tb1.a in (SELECT k from tb2);
再跑一次
忘記從那個版本開始(最近)
要啟動snort都會出現以下的錯誤
FATAL ERROR: /etc/snort/snort.conf(327) => Invalid keyword '}' for server configuration.
今天特別google了一下
有人提到二個解法方法
一個是裝上lzma
一個是不要使用
試了第一個方法
把lzma相關的rpm都上了 還是不行
所以只能拿掉了
改一下 snort.conf
# decompress_swf { deflate lzma } \
decompress_swf { deflate } \
目前是沒問題了
http://seclists.org/snort/2017/q4/146
要啟動snort都會出現以下的錯誤
FATAL ERROR: /etc/snort/snort.conf(327) => Invalid keyword '}' for server configuration.
今天特別google了一下
有人提到二個解法方法
一個是裝上lzma
一個是不要使用
試了第一個方法
把lzma相關的rpm都上了 還是不行
所以只能拿掉了
改一下 snort.conf
# decompress_swf { deflate lzma } \
decompress_swf { deflate } \
目前是沒問題了
http://seclists.org/snort/2017/q4/146
訂閱:
文章 (Atom)