elk logstach收集交换机日志

最新推荐文章于 2024-04-19 01:04:34 发布
最新推荐文章于 2024-04-19 01:04:34 发布
阅读量6.3k 收藏 29
点赞数 4
分类专栏: # ELK 文章标签: 收集交换机日志
本文为博主原创文章,未经博主允许不得转载。如有疑问,请在该文章中留言联系博主,谢谢!!
本文链接:https://blog.csdn.net/tladagio/article/details/95195590
版权

前提:ELK环境已经安装完成,具体操作查看另外篇文章

一、交换机配置

添加:info-center loghost 192.168.2.123,IP地址是logstash服务器,默认是UDP514端口发送数据

<SW46>display  version 
Huawei Versatile Routing Platform Software
VRP (R) software, Version 5.70 (S2700 V100R006C05)
Copyright (C) 2003-2013 HUAWEI TECH CO., LTD
Quidway S2700-18TP-EI-AC Routing Switch uptime is 5 weeks, 2 days, 0 hour, 35 minutes

EDFE 0(Master) : uptime is 5 weeks, 2 days, 0 hour, 35 minutes
64M bytes DDR Memory
16M bytes FLASH
Pcb      Version :  VER C
Basic  BOOTROM  Version :  149 Compiled at Mar 15 2013, 11:02:25
Software Version : VRP (R) Software, Version 5.70 (V100R006C05)
<SW46>display cu | in info
 info-center loghost 192.168.2.123
 snmp-agent sys-info version all

二、logstash配置

1、关闭rsyslog服务,因为这个会占用514端口

[root@node1 ~]# systemctl stop rsyslog
[root@node1 ~]# systemctl status rsyslog
● rsyslog.service - System Logging Service
   Loaded: loaded (/usr/lib/systemd/system/rsyslog.service; enabled; vendor preset: enabled)
   Active: inactive (dead) since Mon 2019-07-08 01:49:41 EDT; 1 day 23h ago
     Docs: man:rsyslogd(8)
           http://www.rsyslog.com/doc/
  Process: 4696 ExecStart=/usr/sbin/rsyslogd -n $SYSLOGD_OPTIONS (code=exited, status=0/SUCCESS)
 Main PID: 4696 (code=exited, status=0/SUCCESS)

2、设置logstash用root账户启动
发现华为的设备在指定syslog的时候没有办法自定义端口,就只好用默认的端口514,就会产生一个问题,1024以下的端口需要root用户才能用。就简单暴力的使用root启动logstash(修改User和Group)

[root@node1 ~]# cat /etc/systemd/system/logstash.service 
[Unit]
Description=logstash

[Service]
Type=simple
User=root
Group=root
# Load env vars from /etc/default/ and /etc/sysconfig/ if they exist.
# Prefixing the path with '-' makes it try to load, but if the file doesn't
# exist, it continues onward.
EnvironmentFile=-/etc/default/logstash
EnvironmentFile=-/etc/sysconfig/logstash
ExecStart=/usr/share/logstash/bin/logstash "--path.settings" "/etc/logstash"
Restart=always
WorkingDirectory=/
Nice=19
LimitNOFILE=16384

[Install]
WantedBy=multi-user.target

3、编辑logstash配置文件,根据监听交换机端口区分不通网络设备型号(直接复制可用,修改下IP地址)

[root@node1 ~]# vim /etc/logstash/conf.d/switch.conf
[root@node1 ~]# cat  /etc/logstash/conf.d/switch.conf
input{
    tcp { port => 5002 
    type => "Cisco"}
    udp { port => 514
    type => "HUAWEI"}
    udp { port => 5002
    type => "Cisco"}
    udp { port => 5003
    type => "H3C"}
}
filter {
    if [type] == "Cisco" {
    grok {
    match => { "message" => "<%{BASE10NUM:syslog_pri}>%{NUMBER:log_sequence}: .%{SYSLOGTIMESTAMP:timestamp}: %%{DATA:facility}-%{POSINT:severity}-%{CISCO_REASON:mnemonic}: %{GREEDYDATA:message}" }
    match => { "message" => "<%{BASE10NUM:syslog_pri}>%{NUMBER:log_sequence}: %{SYSLOGTIMESTAMP:timestamp}: %%{DATA:facility}-%{POSINT:severity}-%{CISCO_REASON:mnemonic}: %{GREEDYDATA:message}" }
    add_field => {"severity_code" => "%{severity}"}
    overwrite => ["message"]
    }
}
    elseif [type] == "H3C" {
    grok {
    match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{YEAR:year} %{DATA:hostname} %%%{DATA:vvmodule}/%{POSINT:severity}/%{DATA:digest}: %{GREEDYDATA:message}" }
    remove_field => [ "year" ]
    add_field => {"severity_code" => "%{severity}"}
    overwrite => ["message"]
    }
}
	elseif [type] == "HUAWEI" {
    grok {
       match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{DATA:hostname} %%%{DATA:ddModuleName}/%{POSINT:severity}/%{DATA:Brief}:%{GREEDYDATA:message}"}
       match => { "message" => "<%{BASE10NUM:syslog_pri}>%{SYSLOGTIMESTAMP:timestamp} %{DATA:hostname} %{DATA:ddModuleName}/%{POSINT:severity}/%{DATA:Brief}:%{GREEDYDATA:message}"}
       remove_field => [ "timestamp" ]
    add_field => {"severity_code" => "%{severity}"}
    overwrite => ["message"]
    }
}
#mutate {
#        gsub => [
#        "severity", "0", "Emergency",
#        "severity", "1", "Alert",
#        "severity", "2", "Critical",
#        "severity", "3", "Error",
#        "severity", "4", "Warning",
#        "severity", "5", "Notice",
#        "severity", "6", "Informational",
#        "severity", "7", "Debug"	
#        ]
#    }
}
output{
    stdout {
#将日志输出到当前终端上显示
       codec => rubydebug
}
#同时也发送到elasticsearch
    elasticsearch {
        index =>
		"syslog-%{+YYYY.MM.dd}"
        hosts => ["192.168.2.10:9200"]
    }
}

4、切换到logstash的bin目录,检测配置文件是否有错。显示OK则表示配置文章没有问题

[root@node1 ~]#cd /usr/share/logstash/bin/
[root@node1 bin]# ./logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/switch.conf --config.test_and_exit
Sending Logstash's logs to /var/log/logstash which is now configured via log4j2.properties
Configuration OK

5、直接启动,查看到数据显示在终端

[root@node1 bin]# ./logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/switch.conf
Sending Logstash's logs to /var/log/logstash which is now configured via log4j2.properties
{
      "@version" => "1",
          "host" => "192.168.88.46",
    "@timestamp" => 2019-07-10T05:23:49.727Z,
       "message" => "<188>Jul 10 2019 05:23:49 SW46 %%01SHELL/4/TELNETFAILED(l)[78]:Failed to login through telnet. (Ip=**, UserName=**, Times=1)",
          "type" => "HUAWEI",
          "tags" => [
        [0] "_grokparsefailure"
    ]
}

6、ctrl+C结束,然后启动logstash服务

[root@node1 bin]# systemctl start logstash

可选:如果还是无法启动,试着修改用户权限,然后再重启服务

[root@node1 ~]# chown root /var/log/logstash/logstash-plain.log
[root@node1 ~]# chown -R root /var/lib/logstash/
[root@node1 ~]# systemctl restart logstash.service

7、查看端口是否监听

[root@node1 ~]# ss -ntlpu
Netid  State      Recv-Q Send-Q                                   Local Address:Port                                                  Peer Address:Port              
udp    UNCONN     0      0                                                    *:68                                                               *:*                   users:(("dhclient",pid=4470,fd=6))
udp    UNCONN     0      0                                            127.0.0.1:323                                                              *:*                   users:(("chronyd",pid=4421,fd=1))
udp    UNCONN     0      0                                                    *:514                                                              *:*                   users:(("java",pid=21845,fd=72))
udp    UNCONN     0      0                                                    *:5002                                                             *:*                   users:(("java",pid=21845,fd=73))
udp    UNCONN     0      0                                                    *:5003                                                             *:*                   users:(("java",pid=21845,fd=74))
udp    UNCONN     0      0                                                  ::1:323                                                             :::*                   users:(("chronyd",pid=4421,fd=2))
tcp    LISTEN     0      128                                                  *:22                                                               *:*                   users:(("sshd",pid=4691,fd=3))
tcp    LISTEN     0      100                                          127.0.0.1:25                                                               *:*                   users:(("master",pid=5020,fd=13))
tcp    LISTEN     0      128                                                 :::5002                                                            :::*                   users:(("java",pid=21845,fd=71))
tcp    LISTEN     0      128                                                 :::9200                                                            :::*                   users:(("java",pid=14705,fd=162))
tcp    LISTEN     0      128                                                 :::9300                                                            :::*                   users:(("java",pid=14705,fd=105))
tcp    LISTEN     0      128                                                 :::22                                                              :::*                   users:(("sshd",pid=4691,fd=4))
tcp    LISTEN     0      100                                                ::1:25                                                              :::*                   users:(("master",pid=5020,fd=14))
tcp    LISTEN     0      50                                ::ffff:192.168.14.37:9600                                                            :::*                   users:(("java",pid=21845,fd=43))

三、回到elasticsearch查看索引,能看到syslog-*相关日志

[root@master ~]# curl '192.168.2.10:9200/_cat/indices?v'
health status index                       uuid                   pri rep docs.count docs.deleted store.size pri.store.size
green  open   .kibana                     kSyxiC6-RdmJmp8StSdbYg   1   1          3            0     37.3kb         18.6kb
green  open   syslog-2019.07.10           xAhv7gfOQFOCMsqzW5juAA   5   1        104            0    812.1kb          406kb

四、kibana查看交换机日志

1、添加索引

2、查看交换机收集日志

友人a笔记
关注
  • 4
    点赞
  • 29
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 6
    评论
专栏目录
logstash监听交换机端口区分不通网络设备型号
11-25
logstash配置文件,根据监听交换机端口区分不通网络设备型号(直接复制可用,修改下IP地址) 附带ELK图形化效果图和交换机配置文件
ELK7收集syslog+eventlog日志.docx
03-10
ELK7收集syslog+eventlog日志详解》 ELK Stack,即Elasticsearch、Logstash和Kibana的组合,是流行的日志管理和分析解决方案。在本文中,我们将详细探讨如何在CentOS 7系统上使用RPM方式安装ELK 7.11,并配置其...
logstash收集华为、H3C、Cisco交换机日志
weixin_44147924的博客
12-26 1650
之后登录logstash服务器,配置conf。修改后,重启Logstash。登录ELK,检查数据。
使用ELK收集网络设备日志的案例_elk收集华为交换机日志(1)
最新发布
m0_60691292的博客
04-19 591
默认没有添加local6.none;local4.none 命令,网络日志在写入对应的文件的同时会写入/var/log/messages 中。对filebeat传来的日志根据标签不同分别进行处理,将处理完成的日志数据传到es上存储,并在kibana上做进一步的可视化展示。$UDPServerRun 514 #允许514端口接收使用UDP和TCP协议转发过来的日志。注意:192.168.99.50为rsyslog服务器的IP。收集rsyslog下的日志文件到logstash。
华为设备信息中心配置命令
Tony_long7483的博客
11-29 6263
[Huawei]info-center enable //使能信息中心功能,默认开启,只有使能信息中心功能,才能进行信息中心的相关配置 [Huawei]info-center channel 1 name abc //配置编号为1的通道名字为abc123 [Huawei]display logbuffer //查看Log信息的流水号 [Huawei]info-center local log-counter disable //关闭Log信息的计数功能 [Huawei]info-center rat
ELK日志收集分析服务
zhangkangren的博客
01-12 1156
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
ELK收集交换机日志
水彩橘子
12-28 2338
编辑systemd启动文件,更改为root用户(端口号小于1000的程序,普通用户会因为权限问题不能启动,这里改成root用户启动)配置文件放到目录/etc/logstash/conf.d/添加软件源,编辑logstash.repo文件添加如下。Elasticsearch版本:7.13.3。kibana版本:v 7.13.3。logstash版本:7.17.8。交换机:华为、思科、H3C。安装logstash。
华为交换机,路由器syslog的配置
qq_34815358的博客
12-19 1万+
1.1.1 Syslog配置 1.启用交换机的syslog功能 info-center enable 2. 指定接收syslog的主机,xx.x.x为该主机的ip地址。 info-center loghost x.x.x.x language English 以上命令是配置x.x.x.x 接收syslog,syslog的语言为英文。 1. 选择发送warning以上级别的syslog信...
ELK:NOC ELK + FORTINET日志
05-10
ELK设置来监视Fortigate日志===============================================工具麋鹿[如何安装ELK泊坞窗]( ) 抵制配置Fortigate SysLog 第一步是配置Fortigates。 这是Syslog格式: config log syslogd setting ...
通过elk收集微服务模块日志.doc
09-27
作为代理安装在服务器上,filebeat监视指定的日志文件或位置,收集日志事件,并将它们转发给ElasticSearch或logstash进行索引。 2.Logstash:Logstash 是开源的服务器端数据处理管道,能够同时从多个来源采集数据,...
ELK日志收集系统操作手册.docx
03-03
ELK日志收集系统操作手册 ELK(日志收集系统)是三个开源软件的缩写,分别表示Elasticsearch、Logstash、Kibana,它们都是开源软件。下面是对ELK日志收集系统操作手册的详细介绍: 一、ELK简介 Elasticsearch是开源...
ELK日志收集系统完全实现
01-27
ELK(Elasticsearch, Logstash, Kibana)日志收集系统是一种广泛使用的日志管理和分析解决方案。它能够高效地收集、解析、存储和展示应用程序及系统的日志数据,帮助运维人员监控系统状态,排查问题,进行数据分析。...
elk】网络设备syslog日志收集
机智的埃努
11-15 5863
文章目录概述日志源配置防火墙开启日志交换机开启日志日志主机配置rsyslogdocker、filebeat 概述 本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。 日志源配置 首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备 防火墙开启日志 防火墙日志配置(另在策略中也要开启日志记录功能,图略) 交换机开启日志 info-center source default channel 4 log level error info-cente
Elk stack 无法收集交换机syslog 排障
interst_的博客
01-05 465
背景来源:是给一个国外的客户解决elk stack 不能监控交换机(udp 514)这个端口,没有读取到syslog 问题进行复现测试; 根据网上大佬给的方法进行安装elk stack ,安装链接可以参考这些大佬进行安装elk stack,ELK日志系统搭建完整详细步骤_elk日志流程-CSDN博客ELK logstash-7.5收集交换机日志_交换机elk-CSDN博客 根据上面链接进行安装,特别第一个链接安装是真得详细,安装之后,但是发现还是无法监控,这个时候可以根据这个链接进行排查
ELK+logstash 监控华为交换机日志
L1198773880的博客
10-08 804
info-center loghost 155.159.255.114 facility local6 #设置消息等级以及指定rsyslog服务器地址。$template huawei,"/mnt/huawei/%FROMHOST-IP%.log" #末行添加。info-center loghost source Vlanif1310 #选择交换机和服务器互联的vlan。local6.*?#配置ES密码,需要设置多个密码,建议都设置为同一个方便记忆。
rsyslog+elk 网络设备日志收集及钉钉报警
机智的埃努
09-21 2144
目录 一.概要 二.实施 1.数据源 2.rsyslog 3.elasticsearch 4.logstash 5.kibana 三.日志展示 1.打开kibana页面 四·钉钉报警 1.elastalert 2.dingtalk 3.rule 4.报警脚本 5.报警测试 一.概要 二.实施 1.数据源 1.网络设备日志,可用模拟器如华为的ensp进行模......
华为信息中心配置命令,很全
网络技术联盟站
12-19 3255
本文命令集合: display actived-alarm highest-level display channel display debugging display info-center display info-center filter-id display info-center logfile path display info-center rate-limit record display info-center rate-limit threshold display info-ce
H3C交换机查看相关的命令
热门推荐
sdgpcc2000的博客
07-10 4万+
H3C交换机 查看相关命令
华为交换机日志格式和级别说明
lin小将的博客
11-01 7036
一、日志输出格式 syslog协议采用UDP的514号端口进行传输,任何在514端口上出现的UDP包都会被视为一条日志信息,其格式如下所示: TimeStamp HostName %% dd ModuleName/Severity/Brief(I)[Count]:Description 1 2 3 4 5 6 7 8 9 10 时间戳 主机名 华为标识 版本号 模块名 日志级别 信息摘要 日志标识 信息计数 详细信息 日志字段说明:

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 6
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

友人a笔记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值