前面几篇文章介绍了从kibana到filebeat的搭建以及使用,这篇文章介绍利用filebeat收集,展示网络设备的日志信息,由于官网介绍目前只能展示思科ASA防火墙的信息,故我们换一种方式展示华为设备的日志信息
kibana搭建:https://blog.csdn.net/qq_39567748/article/details/98681012
elasticsearch搭建:https://blog.csdn.net/qq_39567748/article/details/98682688
filebeat搭建:https://blog.csdn.net/qq_39567748/article/details/98728435
rsyslog搭建:https://blog.csdn.net/qq_39567748/article/details/98616843
前面我们已经介绍了rsyslog搭建搭建,根据上述的文章,我们已经将华为USG防火墙的日志信息收集到/var/log/syslogdevice/WQ_cndh1323_USGVPN/下面
说明:日志收集在主机172.20.100.197:/var/log/syslogdevice/WQ_cndh1323_USGVPN/
也就是说172.20.100.197也需要安装配置filebeat
1、配置filebeat
cat /etc/filebeat/modules.d/system.yml
-
module: system
#Syslog
syslog:
enabled: true
var.paths: ["/var/log/syslogdevice/WQ_cndh1323_USGVPN/*.log"]
#Set custom paths for the log files. If left empty,
#Filebeat will choose the paths depending on your OS.
#var.paths:#Authorization logs
auth:
enabled: true#Set custom paths for the log files. If left empty,
#Filebeat will choose the paths depending on your OS.
#var.paths:
上面标黑的部分就是我们需要更改的地方
保存退出
打开kibana面板查看
从上面标记的部分我们可以看出已经将172.20.100.197:/var/log/syslogdevice/WQ_cndh1323_USGVPN/下面的日志展示出来了
解释:为什么上面的host.name以及agent.hostname都是cn-zstack-db-back,因为
172.20.100.197所对应的的主机是cn-zstack-db-back,而且网络设备是通过cn-zstack-db-back获取到的,所以看到的host.name以及agent.hostname都是cn-zstack-db-back