2017年8月28日月曜日

BGPDUMPデータをElasticsearchで読んでみるメモ

需要はないと思うけど、BGPDUMPのデータをElasticsearchに取り込んでみた時のやり方をメモ。

  1. Routeviewsからデータをdownload(UPDATEのほう。RIBのほうはdownloadしてない)
  2. bgpdump -M (ファイル名) >> bgpdump.txt とかやって、見てみたい部分をテキストにする
  3. logstashで上記ファイルを読み取り、Elasticsearchに食わせる
  4. kibanaで見る

単純ですが、これだけ。logstashのconfigは以下のような感じです。

---
input {
  file {
    path => "/tmp/bgpdump.txt"
    start_position => "beginning"
  }
}
filter {
  csv {
    columns => ["MessageType","date","ANNOUNCE_WITHDRAW","NEXT_HOP","ANNOUNCE_AS","Prefix","AS-PATH","ORIGIN"]
    separator => "|"
  }
  date {
    match => [ "date", "MM/dd/YY HH:mm:ss" ]
  }
}
output {
  elasticsearch {
    hosts => ["localhost"]
    index => "bgpdump"
  }
}
---
(bloggerで見やすく表示させる方法がわからない。。。)

RFC見てないから項目の意味は間違ってるかも。
とはいえ、経路の広告状況とかはささっとわかると思います。
監視者が「すぐにわかる」という点ではこれくらいがいいのかなと思います。
(改善点等はあると思いますが)

2017年8月27日日曜日

AS15169_2017/8/25

誰かやってる気はしますが、とりあえずささっと可視化してみました。時間がUTCのままなのはご愛嬌。
(RouteViewsのDIX-IEで公開されている情報をBGPDUMPでTEXTにしてElasticsearchで見てみました)
なんか短時間で10万経路ぐらいくべられています。

(AはANNOUNCE、WはWITHDRAW)
自称発生時を少し細かくしてみました。過去に書かれていた通り数分で戻すためのオペレーションをしたと思われます。

この際に広告されていたPrefix(誰でも見えるはずのものですが、あえて画像だけです。お察しください)

見ればわかるかもしれませんが、どう見てもAS-PATHがおかしいものばかりです。
これも過去に書かれているとおりですが、「701_15169」が多数見られます。2497_4713なんて直接つながってそうなものも「701_15169」経由です。

AS-PATHに15169が含まれるものを抽出すると以下のように出ました。
やはりそれなりの経路を広告してしまったように見えます(そういえばPrefixまでは見てなかったかも)
短時間で10万経路の変動があったら、おかしくなるルータも出てくるかもしれませんね。
(ほかにも気になるものは見えましたが、AS15169の挙動はこのくらい)

# ElasticsearchのConfigはそのうち書こう。。。
# もう少し工夫すればいろいろ見えるツールにできる気がします。

2017年8月25日金曜日

2017/8/25のルーティング障害


多分巷に出ている情報が正しそうだけど、気になったので調べてみました。

最初はインターネットに関わってない部署だからその術もないとか思ったけど、その気になれば公開されている情報で辿れそうですね。
(消したほうが良ければお知らせください。消すので)

2017年7月13日木曜日

EMUI 5.0 on Mediapad M3

Mediapad M3のEMUI 5.0(Android 7)のアップデートって確か今日(7/13)からだった気がしますが、初日に引いてしまったようです。

とりあえずアップデートを始めてみました。
10分ぐらいで終わりました。
radikoが動かないという話が2chでありましたが、自分のmediapadも動きませんでした。
(個人的にはほとんど使わないので、radikoのアップデート待ちです)
#NHKラジオは動きました。まあ関係ないか

2017年4月9日日曜日

bloggerに移しました

いままでさくらのレンタルサーバにおいてたのですが、ほとんど更新もしないし、レンタルサーバの用途もこれぐらいしかなかったので、コンテンツをbloggerに移しました。
そこそこ手間がかかりましたが、なんとかなるものですね。
レンタルサーバーはそのうち解約する予定です。

ほとんど読まれないコンテンツのためにお金をかけたくない、というのが本当のところかもしれません。

IFTTTの代わりにPowerAutomateを使ってみる の続き

以前にIFTTTの代わりとしてPowerAutomateを使ってみたとblogに書いたのですが、ほったらかしにしていたら上記の警告メールが来てしまいました。。。 どうやら定期的にblogを書かないといけないらしい。。。メール内には以下の記載がありました。 過去 90 日間にまった...