ELK+logstash 监控华为交换机日志

最新推荐文章于 2024-06-21 17:13:04 发布
最新推荐文章于 2024-06-21 17:13:04 发布
阅读量750 收藏 5
点赞数 1
文章标签: elk 华为 jenkins
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/L1198773880/article/details/133684506
版权

系统版本:centos7.7

一、Elasticsearch+Kibana 搭建

ES主机IP:155.159.255.122

#关闭防火墙

systemctl stop firewalld #暂停防火墙

systemctl disable firewalld #移除防火墙

#安装vim wget

yum install -y vim wget


#安装java

wget https://download.java.net/java/GA/jdk11/13/GPL/openjdk-11.0.1_linux-x64_bin.tar.gz

tar -zxvf openjdk-11.0.1_linux-x64_bin.tar.gz -C /usr/local

#java 环境变量设置,

vi /etc/profile

#测试java

java -version

#末行添加

export JAVA_HOME=/usr/local/jdk-11.0.1/

export PATH=$PATH:$JAVA_HOME/bin

export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH

#让配置文件生效

source /etc/profile

#安装Elasticsearch,下载地址:下载中心 - Elastic 中文社区

wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.5.0-x86_64.rpm

rpm -ivh elasticsearch-7.5.0-x86_64.rpm

#Elasticsearch 配置文件,修改下列参数

[root@HK1-R31-133 ~]# cat /etc/elasticsearch/elasticsearch.yml |grep -v "^#"

node.name: node-1

path.data: /var/lib/elasticsearch

path.logs: /var/log/elasticsearch

network.host: 0.0.0.0

http.port: 9200

cluster.initial_master_nodes: ["node-1"]

#在配置文件末行添加下列参数

xpack.security.enabled: true

xpack.license.self_generated.type: basic

xpack.security.transport.ssl.enabled: true

http.cors.enabled: true

http.cors.allow-origin: "*"

http.cors.allow-methods: OPTIONS, HEAD, GET, POST, PUT, DELETE

http.cors.allow-headers: "X-Requested-With, Content-Type, Content-Length, X-User"

#修改运行内存

vim /etc/elasticsearch/jvm.options

-Xms1g

-Xmx1g

#设置内核

vi /etc/sysctl.conf

vm.max_map_count=655360

#使其配置生效

sysctl -p

#配置limits,末行添加,重新连接ssh后生效

vim /etc/security/limits.conf

* soft nofile 65536

* hard nofile 65536

* soft nproc 4096

* hard nproc 4096

#开启ES

systemctl start elasticsearch

systemctl enable elasticsearch

#配置ES密码,需要设置多个密码,建议都设置为同一个方便记忆

/usr/share/elasticsearch/bin/elasticsearch-setup-passwords interactive

#测试

访问:http://155.159.255.122:9200

用户名:elastic

密码: 自己设置的密码

二、安装kibana

wget https://artifacts.elastic.co/downloads/kibana/kibana-7.5.0-x86_64.rpm

rpm -ivh kibana-7.5.0-x86_64.rpm

#Kibana 配置文件设置,修改下列参数

# cat /etc/kibana/kibana.yml |grep -v "^#"

server.port: 5601

server.host: "0.0.0.0"

elasticsearch.hosts: ["http://localhost:9200"]

elasticsearch.username: "kibana"

elasticsearch.password: "asjh123."

i18n.locale: "zh-CN"

#开启Kibana,并设置开机启动
systemctl start kibana

systemctl enable kibana

#测试

访问:http://155.159.255.122:5601

用户名:elastic

密码: 自己设置的密码

三、配置Rsyslog和logstash

logstash主机IP:155.159.255.114

#关闭防火墙

systemctl stop firewalld #暂停防火墙

systemctl disable firewalld #移除防火墙

#安装vim wget

yum install -y vim wget


#安装java

wget https://download.java.net/java/GA/jdk11/13/GPL/openjdk-11.0.1_linux-x64_bin.tar.gz

tar -zxvf openjdk-11.0.1_linux-x64_bin.tar.gz -C /usr/local/

#java 环境变量设置,

vi /etc/profile

#末行添加

export JAVA_HOME=/usr/local/jdk-11.0.1/

export PATH=$PATH:$JAVA_HOME/bin

export CLASSPATH=.:$JAVA_HOME/lib/tools.jar:$JAVA_HOME/lib/dt.jar:$CLASSPATH

#安装logstash

wget https://artifacts.elastic.co/downloads/logstash/logstash-7.5.0.tar.gz

tar -zxvf logstash-7.5.0.tar.gz -C /usr/local/

#创建logstash配置

# vim /usr/local/logstash-7.5.0/config/logstash.conf

input {

file {

path => "/mnt/huawei/168.206.255.129.log"

start_position => "beginning"

type => "elasticsearch"

}

}

filter{

date{

match => ["datetime", "yyyy-MM-dd HH:mm:ss,SSS"]

target => "@timestamp"

}

mutate {

# 屏蔽掉不想要的属性

remove_field => ["path","host", "@version", "_id", "_score","_type","_index","type"]

}

}

output {

stdout {

codec => rubydebug

}

elasticsearch {

hosts => ["http://155.159.255.122:9200"]

index => "test-route-%{+YYYY.MM}"

user => "elastic"

password => "自己设置的密码"

}

}

#配置rsyslog

systemctl start rsyslog

systemctl enable rsyslog

#修改下列参数

# egrep -v "*#|^$" /etc/rsyslog.conf

$ModLoad imudp

$UDPServerRun 514

$ModLoad imtcp

$InputTCPServerRun 514

$WorkDirectory /var/lib/rsyslog

$template myformat,"%$NOW% %TIMESTAMP:8:15% %hostname% %syslogtag% %msg%\n"

$ActionFileDefaultTemplate myformat

$IncludeConfig /etc/rsyslog.d/*.conf

$OmitLocalLogging on

*.info;mail.none;authpriv.none;cron.none;local6.none /var/log/messages

authpriv.* /var/log/secure

mail.* -/var/log/maillog

cron.* /var/log/cron

*.emerg :omusrmsg:*

uucp,news.crit /var/log/spooler

local7.* /var/log/boot.log

$template huawei,"/mnt/huawei/%FROMHOST-IP%.log"                #末行添加

local6.* ?huawei                #末行添加

#重启rsyslog

systemctl restart rsyslog

#华为交换机配置-R31

info-center loghost source Vlanif1310     #选择交换机和服务器互联的vlan

info-center loghost 155.159.255.114 facility local6   #设置消息等级以及指定rsyslog服务器地址

#启动logstash服务,指定配置文件

/usr/local/logstash-7.5.0/bin/logstash -f /usr/local/logstash-7.5.0/config/logstash.conf

#成功后

#在ES服务器上建立索引

最后 点击下一步 完成即可

#不通过rsyslog,直接通过logstash监控日志的方法

systemctl stop rsyslog      #展厅rsyslog服务

#安装logstash方法同上,安装好后

#创建并配置logstash文件

# vi /usr/local/logstash-7.5.0/config/switch.conf 
input{
    tcp { port => 5002 
    type => "Cisco"}
    udp { port => 514
    type => "HUAWEI"}
    udp { port => 5002
    type => "Cisco"}
    udp { port => 5003
    type => "H3C"}
}
filter {
    if [type] == "Cisco" {
    grok {
    match => { "message" => "<%{BASE10NUM:syslog_pri}>%{NUMBER:log_sequence}: .%{SYSLOGTIMESTAMP:timestamp}: %%{DATA:facility}-%{POSINT:severity}-%{CISCO_REASON:mnemonic}: %{GREEDYDATA:message}" }
    match => { "message" => "<%{BASE10NUM:syslog_pri}>%{NUMBER:log_sequence}: %{SYSLOGTIMESTAMP:timestamp}: %%{DATA:facility}-%{POSINT:severity}-%{CISCO_REASON:mnemonic}: %{GREEDYDATA:message}" }
    add_field => {"severity_code" => "%{severity}"}
    overwrite => ["message"]
    }
}
    elseif [type] == "H3C" {
    grok {
    match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{YEAR:year} %{DATA:hostname} %%%{DATA:vvmodule}/%{POSINT:severity}/%{DATA:digest}: %{GREEDYDATA:message}" }
    remove_field => [ "year" ]
    add_field => {"severity_code" => "%{severity}"}
    overwrite => ["message"]
    }
}
    elseif [type] == "HUAWEI" {
    grok {
       match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{DATA:hostname} %%%{DATA:ddModuleName}/%{POSINT:severity}/%{DATA:Brief}:%{GREEDYDATA:message}"}
       match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{DATA:hostname} %{DATA:ddModuleName}/%{POSINT:severity}/%{DATA:Brief}:%{GREEDYDATA:message}"}
       remove_field => [ "timestamp" ]
    add_field => {"severity_code" => "%{severity}"}
    overwrite => ["message"]
    }
}
#mutate {
#        gsub => [
#        "severity", "0", "Emergency",
#        "severity", "1", "Alert",
#        "severity", "2", "Critical",
#        "severity", "3", "Error",
#        "severity", "4", "Warning",
#        "severity", "5", "Notice",
#        "severity", "6", "Informational",
#        "severity", "7", "Debug"    
#        ]
#    }
}
output{
    stdout {
       codec => rubydebug
}
    elasticsearch {
        index =>
        "syslog-%{+YYYY.MM.dd}"
        hosts => ["155.159.255.122:9200"]
        user => "elastic"
        password => "自己设置的密码"
    }
}
 

#华为交换机配置

info-center loghost source Vlanif1310     #选择交换机和服务器互联的vlan

info-center loghost 155.159.255.114   #指定logstash服务器地址

#启动logstash 

/usr/local/logstash-7.5.0/bin/logstash -f /usr/local/logstash-7.5.0/config/switch.conf 

#启动后静等2-3分钟

L1198773880
关注
  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
使用ELK收集网络设备日志的案例
qq_40907977的博客
11-11 1万+
简介 随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。 系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志; 2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的; 3、在某些非法侵入的情况下,侵入者一般都会清除本地日志,清除侵入痕迹; 4、zabbix等监控系统无法代替日...
ELK:NOC ELK + FORTINET日志
05-10
ELK设置来监视Fortigate日志===============================================工具麋鹿[如何安装ELK泊坞窗]( ) 抵制配置Fortigate SysLog 第一步是配置Fortigates。 这是Syslog格式: config log syslogd setting ...
ELK logstash-7.5收集交换机日志
友人A的博客
09-23 4305
问题:有人反馈说7.x版本收集不了交换机日志,在此记录一次logstash-7.5收集华为交换机日志记录。 前提:ELK环境已经安装完成,具体操作查看另外篇文章 一、交换机配置 添加:info-center loghost 192.168.14.210,IP地址是logstash服务器,华为交换机默认是UDP514端口发送数据 1、查看交换机版本 [SW30]display version Huawei Versatile Routing Platform Software VRP (R)
使用ELK收集网络设备日志的案例_elk收集华为交换机日志(1)
m0_60691292的博客
04-19 530
默认没有添加local6.none;local4.none 命令,网络日志在写入对应的文件的同时会写入/var/log/messages 中。对filebeat传来的日志根据标签不同分别进行处理,将处理完成的日志数据传到es上存储,并在kibana上做进一步的可视化展示。$UDPServerRun 514 #允许514端口接收使用UDP和TCP协议转发过来的日志。注意:192.168.99.50为rsyslog服务器的IP。收集rsyslog下的日志文件到logstash
ELK日志分析平台(L) logstash数据采集
thermal_life的博客
06-11 1969
elk 的第二组件 logstash ,看前请先参考第一篇 es 的实战配置 https://blog.csdn.net/thermal_life/article/details/106646727
ELK+grok+华为防火墙USG6500会话日志
XiaoMa_Ge2019的博客
05-08 4447
前言 作为一名网络工程师进程要分析网络设备、防火墙设备日志,网上大部分都是通过logstash进行收集syslog日志,但是没有对国产设备防火墙分析。本次项目采用centos 7.2操作系统,elk7.7版本。关于elk的安装本次不涉及。 处理流程 1、开启防火墙会话功能 2、elklogstash配置文件配置grok插件; 3、kibana需要将索引重新加载一下,就能关心的防火墙5元组重要信息(源端口、源IP、目的端口、目的ip等); 详细部署 1、重点grok如何分析防火墙日志; 示例:有了语法和语
ELK日志收集分析服务
zhangkangren的博客
01-12 1149
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
ELK收集交换机日志
水彩橘子
12-28 2295
编辑systemd启动文件,更改为root用户(端口号小于1000的程序,普通用户会因为权限问题不能启动,这里改成root用户启动)配置文件放到目录/etc/logstash/conf.d/添加软件源,编辑logstash.repo文件添加如下。Elasticsearch版本:7.13.3。kibana版本:v 7.13.3。logstash版本:7.17.8。交换机华为、思科、H3C。安装logstash
elk】网络设备syslog日志收集
机智的埃努
11-15 5769
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
rsyslog+elk 网络设备日志收集及钉钉报警
机智的埃努
09-21 2129
目录 一.概要 二.实施 1.数据源 2.rsyslog 3.elasticsearch 4.logstash 5.kibana 三.日志展示 1.打开kibana页面 四·钉钉报警 1.elastalert 2.dingtalk 3.rule 4.报警脚本 5.报警测试 一.概要 二.实施 1.数据源 1.网络设备日志,可用模拟器如华为的ensp进行模......
华为交换机SFLOW配置及技术原理
01-10
SFLOW(Sampled Flow)是华为交换机中的一种基于报文采样的网络流量监控技术,主要用于对网络流量进行统计分析。SFLOW技术在企业级网络中发挥着重要作用,因为企业级网络通常具有规模相对较小、组网灵活、易受攻击等...
华为大数据平台ELk组件产品文档
02-21
华为 FusionInsight C80版本 ELk的官方产品文档 ,新特性已经更新
ELK大数据平台安装及使用手册.doc
05-17
ELK大数据平台安装及使用手册,无任何坑,按照步骤敲命令即可。
elk_huawei.pdf
04-12
elk海量存储 elk学习资料,可以看看也不是很贵.谢谢,
logstash收集华为、H3C、Cisco交换机日志
weixin_44147924的博客
12-26 1554
之后登录logstash服务器,配置conf。修改后,重启Logstash。登录ELK,检查数据。
Elk stack 无法收集交换机syslog 排障
interst_的博客
01-05 458
背景来源:是给一个国外的客户解决elk stack 不能监控交换机(udp 514)这个端口,没有读取到syslog 问题进行复现测试; 根据网上大佬给的方法进行安装elk stack ,安装链接可以参考这些大佬进行安装elk stack,ELK日志系统搭建完整详细步骤_elk日志流程-CSDN博客ELK logstash-7.5收集交换机日志_交换机elk-CSDN博客 根据上面链接进行安装,特别第一个链接安装是真得详细,安装之后,但是发现还是无法监控,这个时候可以根据这个链接进行排查
elk logstach收集交换机日志
友人A的博客
06-25 6280
前提:ELK环境已经安装完成,具体操作查看另外篇文章 一、交换机配置 添加:info-center loghost 192.168.2.123,IP地址是logstash服务器,默认是UDP514端口发送数据 <SW46>display version Huawei Versatile Routing Platform Software VRP (R) software, ...
日志审计Graylog审计华为交换机用户登录日志
weixin_43886932的博客
07-14 4514
日志审计Graylog审计华为交换机用户登录日志
linux————ELK日志收集系统集群)
a872182042的博客
08-30 2124
日志对于分析系统、应用的状态十分重要,但一般日志的量会比较大,并且比较分散。如果管理的服务器或者程序比较少的情况我们还可以逐一登录到各个服务器去查看、分析。但如果服务器或者程序的数量比较多了之后这种方法就显得力不从心。基于此,一些集中式的日志系统也就应用而生。目前比较有名成熟的有,Splunk(商业)、FaceBook 的Scribe、Apache的Chukwa Cloudera的Fluentd、还有ELK等等。
ELK+Filebeat+kafka+zookeeper构建海量日志分析平台
最新发布
2301_76774698的博客
06-21 1065
ELK 是ElasticSearch开源生态中提供的一套完整日志收集、分析以及展示的解决方案,是三个产品的首字母缩写,分别是ElasticSearch、Logstash 和 Kibana。除此之外,FileBeat也是目前使用较多的日志收集软件,相对于Logstash更加轻量级占用资源更少。ElasticSearch ,它是一个近实时(NRT)的分布式搜索和分析引擎,它可以用于全文搜索,结构化搜索以及分析。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值