NetDevOps网络设备日志分析与环境搭建-EFK(Elasticsearch+Filebeat+Kibana)

最新推荐文章于 2024-04-11 19:10:43 发布
最新推荐文章于 2024-04-11 19:10:43 发布
阅读量995 收藏 4
点赞数 2
分类专栏: NetDevOps 文章标签: EFK 网络设备日志分析 NetDevOps
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushanpeipei/article/details/117373204
版权

EFK组件:

ElasticSearch:
Elasticsearch是一个分布式的免费开源搜索和分析引擎数据库,适用于包括文本、数字、地理空间、结构化和非结构化数据等在内的所有类型的数据。

Filebeat:(或者使用Logstash)
轻量级日志服务器,对日志信息进行分词,并将分词后的结果发送到ElasticSearch上去。
Logstash相对于Filebeat功能更加强悍。

Kibana:
ElasticSearch的图形化界面,搭载了一批经典功能:柱状图、线状图、饼图图,等等。除此之外,还可以自己定义属于可视化图形。

EFK架构图:

在这里插入图片描述

EFK容器安装:

在宿主机CENTOS8上:

提前配置一下时间相关文件,后续同步到ELK容器中:

cp /usr/share/zoneinfo/Asia/Shanghai /etc/localtime
echo 'Asia/Shanghai' >/etc/timezone

所需文件架构图:
在这里插入图片描述

docker-compose.yml文件:

version: '2.2'
services:
# ElasticSearch容器相关定义内容
  elasticsearch:
  # 镜像名称
    image: elastic/elasticsearch:7.8.1
    privileged: true
    environment:  # ES设置,这里并没有做集群
      - discovery.type=single-node
      - node.name=netdevops_es
      - cluster.name=netdevops_es_cluster
      - network.host=0.0.0.0
      - bootstrap.memory_lock=true
      - "ES_JAVA_OPTS=-Xms4g -Xmx4g"   # 资源控制,这里给了4g内存,可以根据自己的设备性能进行调整
    volumes:
      - /usr/share/elasticsearch/data  # 数据持久化
      - /etc/timezone:/etc/timezone:ro   # 调整容器内的时间
      - /etc/localtime:/etc/localtime:ro
    networks:   
      - efk_net   # efk连接的网络
    ports:   # 端口映射
      - "9200:9200"
      - "9300:9300"
    ulimits:
      memlock:
        soft: -1
        hard: -1
      nofile:
        soft: 65536
        hard: 65536
    restart: always	
# 定义kibana容器
  kibana:
    image: elastic/kibana:7.8.1
    privileged: true
    environment:
      - SERVER_NAME=netdevops_kibana
      - ELASTICSEARCH_URL=http://elasticsearch:9200
      - PATH_DATA=/usr/share/kibana/data
      - NODE_OPTIONS="--max_old_space_size=4096"
    volumes:
      - /usr/share/kibana/data  # 数据持久化
      - /etc/timezone:/etc/timezone:ro
      - /etc/localtime:/etc/localtime:ro
    networks:
      - efk_net
    ports:
      - "5601:5601"
    ulimits:
      memlock:
        soft: -1
        hard: -1
    depends_on:
      - "elasticsearch"
    restart: always
# 定义图形化界面的容器
  filebeat:
    image: elastic/filebeat:7.8.1
    privileged: true
    volumes:
      - ./filebeat/cisco.yml:/usr/share/filebeat/modules.d/cisco.yml   # 将cisco.yml拷贝到容器内文件夹
      - ./filebeat/filebeat.yml:/usr/share/filebeat/filebeat.yml  # 将filebeat.yml拷贝到容器内文件夹
      - /etc/timezone:/etc/timezone:ro
      - /etc/localtime:/etc/localtime:ro
    networks:
      - efk_net
    ports:
      - "514:9002/udp"  # 将宿主机514端口映射到容器内部的9002端口,9002端口专门处理和分析思科IOS系统的日志信息,并分词
    depends_on:
      - "elasticsearch"
      - "kibana"
    ulimits:
      memlock:
        soft: -1
        hard: -1
    restart: always

# 定义桥接网络
networks:
  efk_net:
    driver: bridge

filebeat.yml:filebeat的config文件

filebeat.config:
  modules:
    path: ${path.config}/modules.d/*.yml
    reload.enabled: false

processors:
  - add_cloud_metadata: ~
  - add_docker_metadata: ~

# 设置filebeat连接elasticsearch的相关信息
output.elasticsearch:
  hosts: ["elasticsearch:9200"]
  # 发送的索引名称
  index: "netdevops-ios-%{+yyyy.MM.dd}"

# 定义kibana相关的信息
setup.kibana.host: "http://kibana:5601"
setup.template.name: "netdevops-ios"
setup.template.pattern: "netdevops-ios-*"
setup.ilm.enabled: false

cisco.yml:可以看到,这是手机cisco日志的配置信息,我们仅收集IOS平台的,所以将IOS平台的信息设置为true。可以看到这里收集日志的端口为9002,和docker-compose.yml中设置的:

# Module: cisco
# Docs: https://www.elastic.co/guide/en/beats/filebeat/7.9/filebeat-module-cisco.html

- module: cisco
  asa:
    enabled: false

    # Set which input to use between syslog (default) or file.
    #var.input: syslog

    # The interface to listen to UDP based syslog traffic. Defaults to
    # localhost. Set to 0.0.0.0 to bind to all available interfaces.
    # var.syslog_host: 0.0.0.0

    # The UDP port to listen for syslog traffic. Defaults to 9001.
    # var.syslog_port: 9001

    # Set the log level from 1 (alerts only) to 7 (include all messages).
    # Messages with a log level higher than the specified will be dropped.
    # See https://www.cisco.com/c/en/us/td/docs/security/asa/syslog/b_syslog/syslogs-sev-level.html
    # var.log_level: 7

  ftd:
    enabled: false

    # Set which input to use between syslog (default) or file.
    #var.input: syslog

    # The interface to listen to UDP based syslog traffic. Defaults to
    # localhost. Set to 0.0.0.0 to bind to all available interfaces.
    #var.syslog_host: localhost

    # The UDP port to listen for syslog traffic. Defaults to 9003.
    #var.syslog_port: 9003

    # Set the log level from 1 (alerts only) to 7 (include all messages).
    # Messages with a log level higher than the specified will be dropped.
    # See https://www.cisco.com/c/en/us/td/docs/security/firepower/Syslogs/b_fptd_syslog_guide/syslogs-sev-level.html
    #var.log_level: 7

  ios:
    enabled: true

    # Set which input to use between syslog (default) or file.
    #var.input: syslog

    # The interface to listen to UDP based syslog traffic. Defaults to
    # localhost. Set to 0.0.0.0 to bind to all available interfaces.
    var.syslog_host: 0.0.0.0

    # The UDP port to listen for syslog traffic. Defaults to 9002.
    var.syslog_port: 9002

    # Set custom paths for the log files when using file input. If left empty,
    # Filebeat will choose the paths depending on your OS.
    #var.paths:

  nexus:
    enabled: false

    # Set which input to use between udp (default), tcp or file.
    # var.input: udp
    # var.syslog_host: localhost
    # var.syslog_port: 9506

    # Set paths for the log files when file input is used.
    # var.paths:

    # Toggle output of non-ECS fields (default true).
    # var.rsa_fields: true

    # Set custom timezone offset.
    # "local" (default) for system timezone.
    # "+02:00" for GMT+02:00
    # var.tz_offset: local

在docker-compose.yaml目录下,使用命令:

docker-compose up -d

部署EFK,然后进入filebeat的交互界面:
在这里插入图片描述
进入图中的目录下,就可以找到需要监控的设备,我们仅需要使用命令cp xxx.yml.disabled xxx.yml,即可激活监控的对象信息。

ELK收集日志信息:

步骤一: 准备一台CSR1000v,配置好logging服务器地址为宿主机的地址192.168.0.166,端口号默认为514,不用修改。

步骤二: 使用游览器访问192.168.0.166:5601,查看日志信息:
在这里插入图片描述
日志信息按照Filebeat中设置的格式显示:
在这里插入图片描述
步骤三: 在Kibana Discover中创建索引模式。
在这里插入图片描述
创建Index pattern:
在这里插入图片描述
在这里插入图片描述
创建完成后,返回Discover界面,查看日志分词结果:
在这里插入图片描述
步骤四: Kibana做Dashboard呈现:
在这里插入图片描述

可以选择一个pie:
在这里插入图片描述
这里做一个简单的举例,统计日志的级别:
在这里插入图片描述
步骤五(可选): 将dashboard导出嵌入到自己的页面中。
将dashboard保存后,通过share,将其嵌入到自己的管理系统中(保证管理系统和ELK能够通信)。
在这里插入图片描述

参考资料来源:
容器ELK快速实现:https://www.bilibili.com/video/BV1N54y1m7zx,有相关代码分享。

格洛米爱学习
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
日志服务器搭建
xou6363的博客
10-26 5749
linux日志服务器搭建
efk-docker:elasticsearch +流利的+ kibana
05-10
---version: '2.4'services: elasticsearch: image: ${ELASTICSEARCH_IMAGE} restart: always environment: - 'node.name=HEYJUDE' - 'discovery.type=single-node' - 'bootstrap.memory_lock=true' - 'ES_JAVA_OPTS...
Elasticsearch+filefeat+Kibana(EFK)架构学习
weixin_45633353的博客
04-11 545
9.验证集群状态。
日志服务器的搭建
m0_50818626的博客
05-11 3928
loganalyzer获取客户端日志会有两种保存模式,一种是直接读取客户端/var/log目录下的日志并保存到服务端该目录下,一种是读取后保存日志服务器数据库中,这里测试的是mariadb数据库。//设置root密码为admin123。DocumentRoot "/loganalyzer" //约119行,改为"/loganalyzer" 原为/var/www/html。<Directory "/loganalyzer"> //约131行,改为"/loganalyzer" 原为/var/www/html。
ELK(Elasticsearch+Logstash+Kibana日志分析系统
最新发布
十七拾的博客
04-11 1947
本文主要介绍了ELK日志文件系统的概念和部署过程,详细阐释了Elasticsearch、Logstash、Kibana三个开源的日志收集、存储、检索和可视化的工具
使用Cacti的syslog插件搭建系统日志服务器(Window Server + Python)
大草原里的小网工
07-05 1649
如何在windows server系统中利用Cacti的syslog插件,搭建日志服务器。
记一次K8s EFK(elasticsearch+fluentd+kibana)搭建排错经历
01-07
部署教程:https://qhh.me/2019/09/05/Kubernetes-基于-EFK-技术栈的日志收集实践/ yaml地址:https://github.com/kubernetes/kubernetes/tree/master/cluster/addons/fluentd-elasticsearch 部署教程里面的两个注意...
EFK堆栈:Elasticsearch + FluentD(Fluent-Bit)+ Kibana
02-20
Elasticsearch + FluentD(Fluent-Bit)+ Kibana 流利位适用于内部服务器。 中继(流利位)用于外部服务器。 FluentD适用于Office Server。流利的位和FluentD 例子$ make -e SSH=sshname rebuild-deploy中继对于...
EFK+kafka+head日志分析集群部署.rar
07-04
日志分析集群,在本地centos7虚拟机搭建的Es+firebeat+logstash+kibana+kafka+head的完整集群部署文档,很详细,通常的EFK日志分析,加上kafka的消息队列,可以处理PB级别的日志内容。
Elasticsearch+Fluentd+Kafka搭建日志系统
01-20
其中本文所讲的EFKElasticsearch+Fluentd+Kfka,实际上K应该是Kibana用于日志的展示,这一块不做演示,本文只讲述数据的采集流程. 前提 docker docker-compose apache kafka服务 架构 数据采集流程 数据的产生使用...
Centos7 安装Graylog 5.0收集网络设备运行日志+卸载GrayLog服务
qixiaolinlin的博客
04-05 6250
对于日志监控业界常用的有ELK、Loki、Graylog等系统,最近在做技术选型时,对比了各个系统的情况,Graylog的一体化方案很符合现有需求。Graylog算是轻量级的ELK,也有很多企业在使用Graylog查看日志和监控业务日志。Graylog中文资料相对较少,在技术选型和开发过程中对资料进行整理。Graylog包含了告警、归档(商业版)、面板、日志查看、Rest API、组管理等功能。本文主要介绍Graylog的相关组件和基本流程。官方:https://docs.graylog.org/
elk logstach收集交换机日志
友人A的博客
06-25 6320
前提:ELK环境已经安装完成,具体操作查看另外篇文章 一、交换机配置 添加:info-center loghost 192.168.2.123,IP地址是logstash服务器,默认是UDP514端口发送数据 <SW46>display version Huawei Versatile Routing Platform Software VRP (R) software, ...
syslog服务器与elk区别_ELK与EFK,什么跟什么?
weixin_27038245的博客
12-19 542
ELK是elasticsearch+logstash+kibana的组合,是一款日志收集解决方案的简写,而EFKelasticsearch+filebeat+kibana的组合,解决同样的问题,它们之间的区别就是logstash与filebeat的区别。1、既有ELK,为何又再弄个EFK呢?是因为logstash是使用java语言编写的,在实际使用中,明显存在耗资源较大,运行占用CPU...
07 - 日志服务器的搭建与攻击
weixin_43586169的博客
03-30 2341
详细演示了一下,Linux中文件服务器的搭建过程
常用的ELK/EFK架构
IChen.的博客
08-24 469
基础架构: 1/ Kibana---->elasticsearch---->Logstash(收集) 2/ Kibana---->elasticsearch---->filebeat(收集) 3/ Kibana---->elasticsearch---->Logstash(过滤)---->filebeat(收集) 扩展架构: 1/ Kibana---->elasticsearch---->Logstash(过滤)---->redis(缓存)-
ELK架构图
zhangqianggou的博客
04-26 2225
ELK架构图示例
weixin_30492601的博客
04-14 120
这是最简单的一种ELK架构方式。优点是搭建简单,易于上手。缺点是Logstash耗资源较大,运行占用CPU和内存高。另外没有消息队列缓存,存在数据丢失隐患。 此架构由Logstash分布于各个节点上搜集相关日志、数据,并经过分析、过滤后发送给远端服务器上的Elasticsearch进行存储。Elasticsearch将数据以分片的形式压缩存储并提供多种API供用户查询,操作。用户亦可以更直观...
云原生系列5 容器化日志之EFK
tian583391571的专栏
02-18 385
上图是EFK架构图,k8s环境下常见的日志采集方式。 日志需求 1 集中采集微服务的日志,可以根据请求id追踪到完整的日志; 2 统计请求接口的耗时,超出最长响应时间的,需要做报警,并针对性的进行调优; 3 慢sql排行榜,并报警; 4 异常日志排行榜,并报警; 5 慢页面请求排行,并告警; k8s的日志采集 k8s本身不会为你做日志采集,需要自己做; k8s的容器日志处理方式采用的 集群层级日志, 即容器销毁,pod漂移,Node宕机不会对容器日志造成影响; 容器的日志会输出到stdout,st.
filebeat 监控网络设备
08-18
- *3* [NetDevOps网络设备日志分析环境搭建-EFK(Elasticsearch+Filebeat+Kibana)](https://blog.csdn.net/tushanpeipei/article/details/117373204)[target="_blank" data-report-click={"spm":"1018.2226.3001....

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

格洛米爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值