H3C-S5048PV5-EI日志采集样例 +Vector 采集

已于 2024-10-17 16:01:06 修改
阅读量435 收藏 2
点赞数 7
分类专栏: 日志采集 文章标签: 服务器 网络 安全
于 2024-10-17 15:59:34 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lcadna/article/details/143021254
版权

H3C-S5048PV5-EI日志采集样例

1. 日志来源

日志源自设备 H3C-S5048PV5-EI

2. 产生日志程序

日志由以下程序产生:

  • 网络交换机操作系统

3. 程序用途

  • 记录交换机的配置变更、用户登录尝试和用户登出等事件

  1. 字段参考
  • %%: 日志的开始标记
  • EventIndex: 事件索引
  • CommandSource: 命令来源
  • ConfigSource: 配置来源
  • ConfigDestination: 配置目的地
  • WEB: 表示日志与Web界面相关
  • LOGIN: 登录事件
  • LOGOUT: 登出事件
  • LOGIN_FAILED: 登录失败事件

  1. 日志采集概述

5.1 交换机日志

5.1.1 access日志格式样例

Feb 13 01:37:52 2013 network-switch-10-11 %%10WEB/5/LOGOUT: admin logged out from 192.168.10.125.
Feb 13 02:33:18 2013 network-switch-10-11 %%10WEB/5/LOGIN_FAILED: admin failed to log in from 192.168.10.125.
Feb 13 02:33:22 2013 network-switch-10-11 %%10WEB/5/LOGIN: admin logged in from 192.168.10.125.

5.1.2 交换机日志采集方式
Vector配置

transforms:
  host_parsed:
    inputs: [ "in" ]
    type: "remap"
    source: |
      parsed_data=parse_regex!(.message,  r'^(?P<date>\w{3}\s+\d{1,2}\s+\d{2}:\d{2}:\d{2})\s*(?P<hostname>[^:]*):\s*(?P<message>.*)$')
      . |=parsed_data

      if find(.message, r'.\s*\((?P<prase_kv>.*)\)') != -1{
        prase_data=parse_regex!(.message,r'.\s*\((?P<prase_kv>[^()]*)\)')
        .prase_kv=prase_data.prase_kv
        kv_fields = parse_key_value!(.prase_kv, field_delimiter: ", ", key_value_delimiter: "=")
        .kv_fields=kv_fields
      }else if find(.message, r':.*;') != -1{    
        .message=slice!(.message,start: 0, end: -1)
        kv_fields = parse_key_value!(.message,  field_delimiter: ";",key_value_delimiter: ":")
        .kv_fields=kv_fields
      }  
      

      y=truncate(to_string(now()), limit: 4)
      .date = y + " " + to_string(.date) + " +00:00" 
      .date = parse_timestamp!(.date, format: "%Y %b %d %H:%M:%S %:z")
      .log_at = format_timestamp!(parse_timestamp!(.date, "%+"), "%Y-%m-%d %H:%M:%S")
      .collect_at=format_timestamp!(parse_timestamp!(now(), "%+"), "%Y-%m-%d %H:%M:%S")

      .id ="lmy-"
      .topic="switch.log"
      .category=" 交换机"
      .agent_version = "1.1"

      .raw_data =.message
      .log_level = "INFO"


      .source = {
        "ip": "172.16.100.1",
        "host": "",
        "product": "switch",
        "program": "switch",
        "region": "China"
      }
      .strings.date=del(.date)
      .strings.hostname=del(.hostname)

      if exists(.ip_fields){
        .strings = merge(.strings,object!(.ip_fields))
      }

      if exists(.kv_fields){
        .strings = merge(.strings,object!(.kv_fields))
      }

  filter_host_parsed_logs:
    inputs: ["host_parsed"]
    type: "filter"
    condition: .id != null

5.1.3 交换机日志格式样例解析结果

  1. 参考
  • Vector 官方文档: 用于理解 Vector 配置和日志处理。

The Vector documentation | Vector documentationThe Vector documentation | Vector documentation

CM/5/USER_OFFLINERESULT - CloudEngine S3700, S5700 and S6700 V600R022C10 Log Reference - Huawei

  1. 注意点
  • 确保在部署 Vector 配置时,所有路径和文件名与系统环境匹配。
  • 日志解析的正则表达式需要根据实际日志格式进行测试和调整,以避免解析错误。
  • 文档中的日期和时间戳应与实际完成日期一致
  1. 完成时间

本文档完成于:2024年08月19日。

百篇论文博文导航AI工程之路:FT、KG、RAG与Agent技术全方位探索
丨汀、的博客
07-08 5630
百篇论文博文导航AI工程之路:FT、KG、RAG与Agent技术全方位探索
57、RapidJson存储Base64数据和空间释放
热门推荐
sxj731533730
10-27 9万+
基本思想:随手记录一下rapidJson的存储字符串和空间释放 CMakeLists.txt cmake_minimum_required(VERSION 3.16) project(untitled2) set(CMAKE_CXX_STANDARD 14) include_directories(${CMAKE_SOURCE_DIR}/include) find_package(OpenCV REQUIRED) add_executable(untitled2 main.cpp Base64.cp
h3c 交换机 s5048PV5-EI stp配置
Chujianlong321的博客
12-13 3716
华三交换机
H3C配置日志主机
weixin_34186950的博客
02-04 9966
华三网络设备信息级别共有8级,从高到底分别为emergencies/alerts/critical/errors/warnings/notifications/infomational/debugging。信息级别数值描述emergencies0系统不可用信息alerts1需要立刻做出反应的信息critical2严重信息errors3错误信息warnings4警告信息noti...
h3c交换机基本配置
07-30
h3c交换机基本配置,适用于初学者和学习者
使用syslog记录H3C设备日志
weixin_30237281的博客
12-07 3837
Syslog是一种工业标准的协议,可用来记录设备的日志。通过查看分析系统记录,可以随时掌握系统运行状况。下面我们将H3C设备的日志输出到syslog服务器。 一、首先是安装日志服务器,我这里使用的是Linux系统自带的syslogd服务,安装过程略。 二、设置syslog接收设备日志 1、修改/etc/sysconfig/syslog启动参数SYSLOGD_OPTIONS...
H3C 交换机基础巡检命令
最新发布
m0_54931486的博客
01-26 1737
【代码】H3C 交换机基础巡检命令。
cs229 斯坦福机器学习笔记(二)-- LR回顾与svm算法idea理解
ACM 【程式=演算法+資料結構】@蜡笔小轩V
06-14 1万+
LR回顾 LR是机器学习入门的第一道坎,总结一下,Linear Regression 和logistic Regression都是属于GLM,套了logistic之后,输出结果就变成一个概率了,loss function和 likelihood function取反是类似的东西,都可以作为优化的目标。但我感觉 likelihood function从概率统计上来说,更有理论支持吧。loss
Mahout中关于MultiLayer Perceptron模块的源码解析
geyanhao的博客
12-30 4346
Mahout中关于MultiLayer Perceptron模块的源码解析 前段时间学习NN时使用到了BPNN,考虑到模型的分布式扩展,我想到使用Mahout的MultiLayer Perceptron(mlp)来实现。于是下载研读了Mahout中该模块的源码 ,这会儿希望能把学习笔记记录下来,一来怕自己后面遗忘,二来与大伙儿一同学习。 这里我使用的Mahout版本是0.10,直接因为Apa
知识图谱de构建与应用(三):知识融合
u013250861的博客
07-16 1755
对于很多需要构建知识图谱的领域,由于从业者甚多,自然而然地会沉淀出数量众多的数据库或知识库,比如在影视子领域,百度百科、维基百科、豆瓣等都是很好的知识库,因而在构建知识图谱的过程中往往会对多个知识库的知识进行合并,以期获得最全面的知识,这个过程就称为知识融合。此外,由于被合并的各个知识库里的知识难免会存在错误,因而知识融合会对多个知识库的知识进行交叉验证,知识融合之后获得的知识相比融合前的单知识库会更准确。由于自然语言的开放性,各个领域的知识融合任务往往面临以下四个难点。(1)异构问题。..........
h3c交换机命令提示
05-12
五十多分千千万让人为热舞我额外额外 违反为绯闻而无法额外额外
h3cs5000配置指导书
12-20
h3cs5000配置指导书
h3c s5048交换机基本配置
hxj3315的博客
10-23 4726
新的交换机使用admin/admin登录进去,然后开始配置 基础配置 <H3C>system-view System View: return to User View with Ctrl+Z. [H3C]]sysname openstack-sw01 [openstack-sw01]user-interface aux 0 [openstack-sw01-line-aux0]authentication-mode password [openstack-sw01-line-aux0]s
华为/H3C Syslog配置
weixin_33967071的博客
03-31 6603
H3C交换机的设置举1. 组网需求将系统的日志信息发送到 linux 日志主机;日志主机的IP 地址为1.2.0.1/16;信息级别高于等于 informational 的日志信息将会发送到日志主机上;日志信息的输出语言为英文,允许输出信息的模块为ARP 和 CMD。2. 组网图3. 配置步骤(1) 设备上的配置。# 开启信息中心。&lt;Sysname&gt; system-view...
网络H3C交换机配置
kewaqi618的博客
10-24 6934
默认S5048PV2_EI交换机第一步:若是首次配置,通过Console口配置以太网交换机管理VLAN的IP地址,默认的网关是192.168.0.253。[H3C] interface Vlan-interface 1(进入管理VLAN)[H3C-Vlan-interface1] undo ip address(取消管理VLAN原有的IP地址)
实战篇【1】-H3C交换机开局基础配置
weixin_47402139的博客
03-02 5000
本篇文章为“H3C交换机开局基础配置”,主要涵盖配置管理地址、聚合端口、静态路由、ACL,SSH远程管理、Console、SNMP、NTP时钟、日志主机等内容,方便调试人员远程管理、调试。
logstash收集华为、H3C、Cisco交换机日志
weixin_44147924的博客
12-26 2800
之后登录logstash服务器,配置conf。修改后,重启Logstash。登录ELK,检查数据。
H3C交换机收集诊断信息的方法
qq_45752946的博客
10-31 5309
(2)如选择N,会将诊断信息全部打印输出到屏幕中,建议开启终端软件的打印会话功能,记录会话功能,等待信息输出完全后,再关闭记录会话功能,输出的诊断信息都将记录在之前保存的文件中。示:将诊断信息通过TFTP方式传给IP地址为192.168.1.100的PC上(PC上需要开启TFTP server,)(1)此时如果选择Y,则诊断信息会以文件的形式保存在设备的存储介质上,需要通过FTP或者TFTP方式下载到本地PC上。
H3C日志文件读取
weixin_30687587的博客
04-27 1956
1、telnet到交换机上 2、不需要 进入特权模式 3、设置并启用tftp服务器。推荐使用思科的tftpserver1-1-980730.exe,并设置好相关日志存放路径 4、在交换机上用命令 tftp 10.20.20.20 put logfile.log 即可看到tftp服务器上开始传日志文件。 转载于:https://www.cnblogs.com/alanjl/archiv...
H3C-S5024PV2-EI固件升级指南与系统介绍
H3C-S5024PV2-EIH3C公司生产的一款固定配置交换机产品型号,属于H3C S系列交换机。H3C S系列交换机广泛应用于企业级网络环境,提供高密度的以太网端口以及丰富的业务特性,能够满足不同场景下的网络接入和汇聚需求...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值