网络设备日志监控告警部署方案

最新推荐文章于 2024-05-17 06:15:01 发布
最新推荐文章于 2024-05-17 06:15:01 发布
阅读量967 收藏
点赞数
分类专栏: 监控 文章标签: 网络设备 日志监控
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_35753140/article/details/113545495
版权

在这里插入图片描述

  • 部署两个 logstash 高可用
  • 全部交换机配置日志发送给两个 logstash
  • logstash 分别从 514 和 5000 两个 udp 端口接收 H3C 和 Cisco 的日志
  • logstash 使用不同的 grok 表达式解析两种交换机的日志,将日志级别作为告警阈值
  • logstash 设置 @timestamp 字段为当前时区的时间,作为日志采集时间
  • logstash 通过 fingerprint 设置两台高可用的去重标识,供 es 进行去重处理
  • logstash 将数据发送给 es
  • 开发应用程序,每分钟轮循近3分钟内需要但尚未发送的告警日志,发出通知。3分钟是为了避免发版重启服务导致丢失通知,可以适当延长
input {
    udp {
        port => 514
        type => "H3C"
    }
    udp {
        port => 5000
        type => "Cisco"
    }
}
filter {
    if [type] == "H3C"{
        grok{
            match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:time} %{YEAR:year} %{DATA:hostname} %%%{DATA:ddModuleName}/%{POSINT:severity}/" }
            #add_field => {"rcv_time" => "%{time} %{year}"}
            remove_field => ["syslog_pri", "ddModuleName", "year", "time"]
        }
    }
    if [type] == "Cisco"{
        grok{
            match => { "message" => "%{DATA:other}-%{POSINT:severity}-" }
            #add_field => {"rcv_time" => "%{time} %{year}"}
            remove_field => ["other"]
        }
    }
    ruby {
        code => "event.set('timestamp', event.get('@timestamp').time.localtime + 8*60*60)"
    }
    ruby {
        code => "event.set('@timestamp', event.get('timestamp'))"
    }
    mutate {
        remove_field => ["timestamp"]
        add_field => {"logreceiver" => "1.2.3.4"}
    }
    fingerprint {
        # source => ["rcv_time", "message"]
        source => ["message"]
        target => "[@metadata][fingerprint]"
        method => "MURMUR3"
        #concatenate_sources => true
        base64encode => true
    }
}

output {
    elasticsearch {
        hosts => ["1.1.1.1:9200","1.1.1.2:9200","1.1.1.3:9200"]
        index => "netlog-%{+YYYY.MM.dd}"
        document_id => "%{[@metadata][fingerprint]}"
    }
}
疯琴
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
我的运维开发生涯-网络设备指标告警实现
11-13 1336
作为一个在在网络监控工具开发摸爬滚打三年的小码农,每天接触最多的就是网络监控工具的开发维护,其中属交换机、防火墙指标监控项最多。每天这些监控项产生的数据高达几十亿条,当数据出现异常时,又需要即使产生告警,让网络组的同学能快速响应,依据告警内容处理网络异常。 网络监控工具所应具备的特性 有了这些需求,我们就需要一个高效、稳定、准确的网络指标监控系统。 首先,监控系统需要的是准确。这里的准确不仅指代监控数据准确,而且告警配置的阈值也要准确。若数据不准,那监控呈现的趋势图、告警阈值判断肯定都是有..
2022年山东省职业院校技能大赛高职组信息安全管理与评估
qq_45824192的博客
03-22 2625
选手需要在U盘的根目录下建立一个名为“GWxx”的文件夹(xx用具体的工位号替代),所完成的“XXX-第1阶段-答题模板”放置在文件夹中作为比赛结果提交。2 按照IP地址规划表,对三层交换机的名称进行配置,创建VLAN并将相应接口划入VLAN, 对各接口IP地址进行配置。3 按照IP地址规划表,对无线交换机的名称进行配置,创建VLAN并将相应接口划入VLAN,对接口IP地址进行配置。1 按照IP地址规划表,对防火墙的名称、各接口IP地址进行配置。(Trust安全域) CS ETH1/0/1。
Zabbix通过Smokeping检测网络质量并告警_zabbix检测网络质量(2)
最新发布
2401_84558914的博客
05-17 651
使用zabbix通过smokeping来检测网络质量zabbix官方论坛有推荐,可以登陆查看下,具体地址如下:https://www.zabbix.com/forum/showthread.php?t=311471,zabbix-trapper:这是一种数据传递方式,不同于zabbix-agent,这种方式定义的item需要使用zabbix-sender来发送数据给zabbix-server2,zabbix-sender需要的参数:-z - 指定zabbix server的IP。
ELK日志处理之使用Grok解析日志
1.02^365=1377.41
03-17 2万+
介绍如何在logstash中使用Grok和正则表达式解析任意格式日志,以及Grok Debugger的使用。
Grok 解析elk日志
李耀辉的博客
09-25 1279
&lt;div id="article_content" class="article_content clearfix csdn-tracking-statistics" data-pid="blog" data-mod="popu_307" data-dsm="post"&gt;                                 &lt;div class=&quot
网络设备流量及性能监控的实现
dream_Kelly的博客
10-13 2015
  流量和性能监控一般旨在通过网络协议得到网络设备的流量信息,并将流量负载以图形或表格方式显示给用户,以非常直观的形式显示网络设备负载。在网络发展的今天,网络监控还可以以网络应用层协议方式进行更精细化的监控,并通过网络监控网络设备运行情况等信息进行分析。   对网络核心设备,如防火墙,三层交换机,服务器等进行流量监控,一般都要将这些设备的SNMP(简单网络管理协议)功能打开,同时在网络内部署...
后端线上服务监控与报警方案
wang_quan_li的专栏
07-28 2859
一、背景 1、上线期间服务稳定性观察较困难 一个功能上线后,其实研发心里根本没底儿,不知道这个功能上线以后是不是真的没问题;有经验一些老同学还知道直接登录线上机器去tail -f php.error.log,但是对于新同学来说,基本就只能等着被通知服务故障。 退一步说,即便是能去线上去tail -f查看错误日志,但是线上是多集群部署的,服务器都特别多,研发不可能在每一台机器上都能看到日志;即
基于 Zabbix 实现对日志的收集、监控、报警、触发脚本
01-09
总的来说,基于 Zabbix 的日志监控方案可以帮助系统管理员及时发现并解决问题,提高系统的稳定性和安全性。通过定制监控项、触发器和脚本,可以实现高度自动化和个性化的监控策略。在实际应用中,根据具体的业务需求...
“智慧医院”一体化监控运维方案.docx
04-13
此外,它还支持对各种IT设备(如服务器、虚拟化设备、网络设备、数据库)、安全日志和动环设备的一体化管理,简化了管理流程,提高了数据共享的便利性。对于复杂的设备类型,监控易也能提供远程控制功能,自动化执行...
无线网络视频监控系统方案..pdf
09-26
《无线网络视频监控系统方案》概述的是广西某银行在18个营业所部署36个监控点的无线网络监控系统项目。该项目的关键技术主要包括无线网络建设和多播数据与无线网桥的隔离。无线网络拓扑结构设计需兼顾合理性、稳定性...
某市电子政务监控预警平台建设方案.pdf
03-02
监控预警平台的设计思路主要包括分布式日志信息和告警事件采集,通过智能关联分析识别安全事件,快速定位问题源头,分析根本原因,并触发处理流程。监控对象涵盖电子政务外网、政务用户互联网接入、关键信息系统和...
FusionManager云平台告警处理指南.pdf
10-11
2. **FusionManager与SNMP管理站连接异常 (ALM-FusionManager.9002)**:SNMP协议用于设备监控告警提示可能的网络中断或SNMP配置错误。排查步骤包括确认SNMP设置,检查网络连接及管理站的状态。 3. **...
互联网APP监控即时报警解决最终方案及总结
xhpscdx的专栏
09-03 3760
努力整理中
配置华为交换机推送syslog到日志服务器
热门推荐
weixin_41785851的博客
04-26 2万+
1、配置交换机 方法一: 配置交换机日志推送到日志主机: eg:日志主机IP地址:10.172.49.1 system-view info-center channel 6 name loghost1 info-center source default channel loghost1 log state on info-center loghos...
网络设备中常见术语含义及故障分析
mabin2005的专栏
08-13 2129
----CRCError:   ----含义:指示在数据传输中有坏帧出现。坏帧将被丢弃,并通过高层协议而重传。   ----原因:通常因电缆或网络硬件错误、环境噪音造成。如网卡硬件错误,劣质电缆。   ----解决方法:更换网络硬件或避开周围的环境干扰源。   ----ShortFrame:   ----含义:说明设备端口有小于最小的帧长(64byte)的帧被接收并且该帧有错误。   ----原因:由于受到噪音干扰、电缆错误及落硬件错误。如果经常发生,须应予以解决。   ----解决方法:更换
3. Logstash 网络设备日志;输入-格式化-输出
木棍先生的博客
04-24 1605
================================================================= 1. 日志输入接口 input{ # 输入接口 udp{ #启用UDP协议 type => "syslog" # 类型为syslog host => "100.76.37.69" # 本机对外服务器IP地址 port => 5...
elk logstach收集交换机日志
友人A的博客
06-25 6324
前提:ELK环境已经安装完成,具体操作查看另外篇文章 一、交换机配置 添加:info-center loghost 192.168.2.123,IP地址是logstash服务器,默认是UDP514端口发送数据 <SW46>display version Huawei Versatile Routing Platform Software VRP (R) software, ...
grok 官方文档
trigfj的博客
11-05 507
分享一下我老师大神的人工智能教程!零基础,通俗易懂!http://blog.csdn.net/jiangjunshow也欢迎大家转载本篇文章。分享知识,造福人民,实现我们中华民族伟大复兴!&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;&nbsp; &lt;pre
ELK 作为交换机和路由器日志管理系统的简单实践!
weixin_34220179的博客
02-02 2246
硬件环境:IBM System X3650m3CPU:Xeon E5620 2.4GHz内存:8G硬盘:300G(RAID1)软件环境:a. 系统:CentOS6.5b. E : elasticsearch-2.1.1.rpmL : logstash-2.1.1-1.noarch.rpm k : ...
网络安全设备:天眼使用指南
11-26
此外,传感器还提供状态监听功能,便于监控设备运行状况和告警信息,包括流量、应用流量、数据采集和会话监控等。 文件威胁鉴定器则是专门针对文件威胁的处理模块,它通过威胁情报匹配来检测潜在的入侵攻击,支持...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值