【Ubuntu】从Graylog到Grafana Loki:构建更强大的网络设备管理和监控系统

最新推荐文章于 2024-09-21 23:24:52 发布
最新推荐文章于 2024-09-21 23:24:52 发布
阅读量2.1k 收藏 3
点赞数 1
分类专栏: Ubuntu Linux 文章标签: ubuntu graylog grafana
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012153104/article/details/132366033
版权
Linux 同时被 2 个专栏收录
36 篇文章 0 订阅
订阅专栏
Ubuntu
30 篇文章 4 订阅
订阅专栏
本文讲述了在生产环境中从Graylog转向GrafanaLoki日志管理系统的过程,包括MongoDB问题的解决,以及如何使用nfcolector收集Netflow数据并整合InfluxDB。重点介绍了GrafanaLoki的组件Loki和Promtail,以及如何在Grafana中统一展示和分析日志和监控数据。
摘要由CSDN通过智能技术生成

在将Graylog部署到生产环境时,我们遇到了一些问题,其中最主要的是无法安装MongoDB并且无法随时重启机器去修改BIOS设置来修复问题 【WARNING: MongoDB 5.0+ requires a CPU with AVX support, and your current system does not appear to have that! 】。为了寻找一个更可行的解决方案,我们决定将注意力转向另一个强大的日志管理系统:Grafana Loki。同时,我们还使用了nfcolector来收集网络设备的Netflow信息并保存在InfluxDB中。最终,我们通过Grafana将所有这些收集到的日志和数据进行集中展示,为网络设备的日常管理提供了更加美观和直观的界面。这样的架构和工具组合使得我们在网络设备管理和监控方面取得了更好的效果。

架构

在这里插入图片描述

Grafana Loki

Grafana Loki是一个开源日志聚合系统。它允许您收集、存储、浏览和查询大规模分布式日志数据。与传统的日志管理系统相比,Grafana Loki的设计理念更加轻量级和高效。

使用Grafana Loki,您可以通过两个核心组件实现日志管理:Loki和Promtail。

  1. Loki:Loki是Grafana Loki系统的核心,它是一个分布式日志存储系统。Loki与传统的日志存储不同,它使用流水线处理和索引数据,以便在查询时可以快速访问所需的日志数据。Loki使用基于标签的存储模型,并支持水平扩展,使您能够处理大量的日志数据。

  2. Promtail:Promtail是一个日志收集代理,它负责从各个源(如文件、系统日志、容器日志等)收集日志数据,并将其发送到Loki进行存储。Promtail可以与各种各样的日志源进行集成,并支持标准的日志格式,如JSON、GELF等。

Go Netflow Collector(goNfCollector)

goNfCollector帮助您从网络设备中收集Netflow数据。它将所需的所有信息存储在InfluxDB中,以便进行进一步的分析,并使用Grafana进行可视化。

Grafana

Grafana是一个流行的开源数据可视化平台。它提供了强大的数据可视化功能和丰富的插件生态系统,使用户能够创建仪表盘、报表和警报,并对数据进行深入的分析。Grafana与Grafana Loki,InfluxDB等可以结合使用,通过数据源,您可以在Grafana中轻松地创建日志查询和仪表盘,将日志数据与监控数据进行统一展示和分析。

部署

环境说明

  • Ubuntu 22.04
  • Docker version 24.0.5
  • Docker Compose version v2.20.2

1. rsyslog的部署

默认情况下,Rsyslog安装在Ubuntu服务器上。如果没有安装,您可以通过运行以下命令来安装它:

apt install rsyslog -y

修改配置文件 /etc/rsyslog.conf

vim /etc/rsyslog.conf

以下是最终结果及大概的解释:

# /etc/rsyslog.conf configuration file for rsyslog
#
# For more information install rsyslog-doc and see
# /usr/share/doc/rsyslog-doc/html/configuration/index.html
#
# Default logging rules can be found in /etc/rsyslog.d/50-default.conf


#################
#### MODULES ####
#################

module(load="imuxsock") # provides support for local system logging
module(load="immark")  # provides --MARK-- message capability

# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")

# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")

# provides kernel logging support and enable non-kernel klog messages
module(load="imklog" permitnonkernelfacility="on")


$template RemoteLogs,"/var/log/network/%FROMHOST-IP%.log" *
*.*  ?RemoteLogs
& ~


###########################
#### GLOBAL DIRECTIVES ####
###########################

#
# Use traditional timestamp format.
# To enable high precision timestamps, comment out the following line.
#
$ActionFileDefaultTemplate RSYSLOG_TraditionalFileFormat

# Filter duplicated messages
$RepeatedMsgReduction on

#
# Set the default permissions for all log files.
#
$FileOwner syslog
$FileGroup adm
$FileCreateMode 0640
$DirCreateMode 0755
$Umask 0022
$PrivDropToUser syslog
$PrivDropToGroup syslog

#
# Where to place spool and state files
#
$WorkDirectory /var/spool/rsyslog

#
# Include all config files in /etc/rsyslog.d/
#
$IncludeConfig /etc/rsyslog.d/*.conf

  1. module(load="imudp"): 加载imudp模块,它提供了UDP协议的syslog接收功能。UDP是一种无连接的协议,用于接收远程主机发送的syslog消息。

  2. input(type="imudp" port="514"): 配置UDP syslog的输入。它指定rsyslogd监听本地端口514,以接收UDP syslog消息。

  3. module(load="imtcp"): 加载imtcp模块,它提供了TCP协议的syslog接收功能。与UDP不同,TCP是一种面向连接的协议,可以提供可靠的消息传递。

  4. input(type="imtcp" port="514"): 配置TCP syslog的输入。它指定rsyslogd监听本地端口514,以接收TCP syslog消息。

  5. module(load="imklog" permitnonkernelfacility="on"): 加载imklog模块,它提供了内核日志支持,并允许接收非内核klog消息。klog是内核日志的一种特殊设备。

  6. $template RemoteLogs,"/var/log/network/%FROMHOST-IP%.log" *: 定义了一个名为RemoteLogs的日志模板。它指定了日志的输出位置和格式,这里的意思是将远程主机的日志以IP地址为文件名保存在/var/log/network/目录下。

  7. *.* ?RemoteLogs: 这是一个日志规则,它指定将所有类型的日志消息发送到RemoteLogs模板中定义的输出位置。

  8. & ~: 这是另一个日志规则,它指定丢弃所有匹配的日志消息。这里的作用是防止消息被重复处理。
    这些配置行的作用是配置rsyslogd以接收不同来源的syslog消息,并将它们保存到相应的日志文件中。
    保存完配置后,重启rsyslog服务,并查看状态

systemctl restart rsyslog
systemctl status rsyslog
netstat -nltup | grep 514

2. goNfCollector部署

环境要求:需要安装docker、docker-compose和wget工具。安装过程中需要魔法,否则可能会失败
下载最新版本:通过以下命令将最新版本的脚本文件下载到本地:

wget -O latest.sh https://raw.githubusercontent.com/javadmohebbi/goNfCollector/main/dockerize/build-up-from-github.sh

使脚本文件可执行:通过以下命令给下载的脚本文件赋予执行权限:

chmod +x latest.sh

运行下载的脚本:通过以下命令运行下载的脚本文件:

./latest.sh

在执行过程中,可能会要求输入用户密码。

在执行完成后,脚本会告诉你如何运行容器。但我们不需要通过这个来运行容器。

3. Grafana Loki部署

因为是使用docker环境来部署的,所以就相对就方便很多,仅需要编辑下docker compose文件就可以了,并且将上一步中的influxdb,nfcolector合并到一起并修改下network设置。

version: "3"

networks:
  loki:
    external: true

services:
  loki:
    image: grafana/loki:2.8.0
    ports:
      - "3100:3100"
    volumes:
      - loki-config:/etc/loki
    command: -config.file=/etc/loki/local-config.yaml
    networks:
      - loki

  promtail:
    image: grafana/promtail:2.8.0
    volumes:
      - promtail-config:/etc/promtail
      - /var/log:/var/log
    command: -config.file=/etc/promtail/config.yml
    networks:
      - loki

  grafana:
    environment:
      - GF_PATHS_PROVISIONING=/etc/grafana/provisioning
      - GF_AUTH_ANONYMOUS_ENABLED=true
      - GF_AUTH_ANONYMOUS_ORG_ROLE=Admin
      - GF_INSTALL_PLUGINS=grafana-clock-panel,grafana-simple-json-datasource,agenty-flowcharting-panel
    entrypoint:
      - sh
      - -euc
      - |
        mkdir -p /etc/grafana/provisioning/datasources
        cat <<EOF > /etc/grafana/provisioning/datasources/ds.yaml
        apiVersion: 1
        datasources:
        - name: Loki
          type: loki
          access: proxy
          orgId: 1
          url: http://loki:3100
          basicAuth: false
          isDefault: true
          version: 1
          editable: false
        EOF
        /run.sh
    image: grafana/grafana:latest
    ports:
      - "3000:3000"
    volumes:
      - grafana-storage:/var/lib/grafana
    networks:
      - loki

  # Influx DB
  influxdb:
        image: influxdb:2.0.7
        restart: always
        volumes:
            - /docker/nfcollector/vendors/influxdb:/var/lib/influxdb2
        ports:
            - "8086:8086"
              # - "8082:8082"
              #- "8089:8089"
        networks:
            - loki

  nfcolector:
        image: javadmohebbi/gonfcollector
        restart: always
        # network_mode: host
        ports:
            - "6859:6859/udp"
        volumes:
            - /docker/nfcollector/bin:/opt/nfcollector/bin
            - /docker/nfcollector/etc:/opt/nfcollector/etc
            - /docker/nfcollector/var:/opt/nfcollector/var
            - /docker/nfcollector/vendors:/opt/nfcollector/vendors
        networks:
            - loki
        environment:
           - NFC_DEBUG=true
           # total number of cpu nfcollector could use
           - NFC_CPU_NUM=0
           - NFC_LISTEN_ADDRESS=0.0.0.0
           - NFC_LISTEN_PORT=6859
           - NFC_INFLUXDB_HOST=influxdb
           - NFC_INFLUXDB_PORT=8086
           - NFC_INFLUXDB_TOKEN=5vqt0q0b4g_lZwNgp7-8GgPq5Nxf3YY37xbVZP_ypeK_G3dwdNlTrAkcKN_Q6QzbmG-Th96lT_65Kp0j2UD1HA==
           - NFC_INFLUXDB_BUCKET=nfCollector
           - NFC_INFLUXDB_ORG=OPENINTELLIGENCE
           - NFC_IP_REPTATION_IPSUM=/opt/nfcollector/vendors/ipsum/ipsum.txt
           - NFC_IP2L_ASN=/opt/nfcollector/vendors/ip2location/db/IP2LOCATION-LITE-ASN.IPV6.CSV/IP2LOCATION-LITE-ASN.IPV6.CSV
           - NFC_IP2L_IP=/opt/nfcollector/vendors/ip2location/db/IP2LOCATION-LITE-DB11.IPV6.BIN/IP2LOCATION-LITE-DB11.IPV6.BIN
           - NFC_IP2L_PROXY=/opt/nfcollector/vendors/ip2location/db/IP2PROXY-LITE-PX10.IPV6.CSV/IP2PROXY-LITE-PX10.IPV6.CSV
           - NFC_IP2L_LOCAL=/opt/nfcollector/vendors/ip2location/local-db/local.csv
           - NFC_SOCK_PATH=/opt/nfcollector/var/socket/fw.socket

volumes:
  loki-config:
  promtail-config:
  grafana-storage:

编辑完之后使用命令行检查下yaml设置并启动docker

docker compose config #命令用于验证和查看`docker-compose.yaml`文件的配置。
docker compose up -d #命令用于在后台启动并运行基于`docker-compose.yaml`文件定义的容器组。其中,`-d`标志表示以后台(守护)模式运行容器。

访问Grafana

通过访问http://hostip:3000来访问Grafana平台,初始密码为admin/admin
在这里插入图片描述

后续工作

  1. 将网络设备的日志及netflow转存到对应的服务中。
  2. 在Grafana上对数据进行筛选及展示。

Refernce

[1] https://github.com/javadmohebbi/goNfCollector
[2] https://grafana.com/docs/loki/latest/installation/docker/
[3] https://github.com/grafana/loki
[4] https://github.com/grafana/grafana

Graylog2:从Nginx收集日志并在Grafana中展示与分析
NewTyun的博客
09-02 3749
本文讨论了在Graylog2系统中收集Nginx日志的可能性,以及如何在Grafana中进行展示与分析。本文的所有的操作都在Debian 9.5 OS上完成配置Nginx版本:Nginx...
Ubuntu 上搭建 Promail+Loki+Grafana 并将 Django 日志接入 Loki
qq_33375447的博客
12-10 1415
Loki 实战,Loki 在 Django 中的应用
2024年最全分布式日志系统GraylogLoki及ELK的分析和对比,springcloud入门教程
2401_84688466的博客
05-08 2410
现在正是金三银四的春招高潮,前阵子小编一直在搭建自己的网站,并整理了全套的**【一线互联网大厂Java核心面试题库+解析】:包括Java基础、异常、集合、并发编程、JVM、Spring全家桶、MyBatis、Redis、数据库、中间件MQ、Dubbo、Linux、Tomcat、ZooKeeper、Netty等等**本文已被CODING开源项目:【一线大厂Java面试题解析+核心总结学习笔记+最新讲解视频+实战项目源码】收录需要这份系统化的资料的朋友,可以点击这里获取。
Graylog 部署文档_graylog部署
最新发布
2401_87298624的博客
09-21 489
添加 input 测试收集是否正常,system→inputs→select input→Raw/Plaintext TCP→Launch new input,选择 Node,添加 Title,点击 Save 即可。各组件版本选型分别是:elasticsearch-6.6.2、mongodb-4.0、graylog-3.0.0、openjdk1.8.0_181 等。此次部署既要满足测试功能,又要能够对生产环境下的架构有清楚认识,决定先部署一台单节点的最小化 graylog,然后再扩展加入集群。
分布式日志系统GraylogLoki及ELK的分析和对比
qianshanding0708的博客
11-16 7025
多内容关注微信公众号:fullstack888日志系列:企业级日志平台新秀Graylog,比ELK轻量多了日志系统新贵Loki,比ELK轻量多了1. 为什么需要集中的日志系统?在分布式系...
ubuntu查看进程_[APM性能看板]Graylog + Telegraf + Grafana 制作进程资源占用率看板
weixin_39785422的博客
12-05 486
说到查看系统进程资源占用率,大家会想到top、htop或是glances,确实很方便。既然有现成的工具为啥还要做成看板呢?主要不是每次有故障的时间点,你都能正好在那台主机上。所以故障点的历史记录对于故障定位是尤其重要的。这就好比在玩儿一个侦探游戏,你要根据犯罪现场进行事件还原,缩小嫌疑人范围,并最终发现凶手是谁。证据越多,越细致,你定位的速度和误判就越少。一般监控系统能提供的监控数据都是一个总量监...
轻量级分布式日志管理系统GraylogLoki及ELK的分析和对比
Enweitech Software Works
04-19 8181
1. 为什么需要集中的日志系统? 在分布式系统中,众多服务分散部署在数十台甚至是上百台不同的服务器上,要想快速方便的实现查找、分析和归档等功能,使用Linux命令等传统的方式查询到想要的日志就费时费力,不要说对日志进行分析与归纳。 如果有一个集中的日志系统,便可以将各个不同的服务器上面的日志收集在一起,不仅能方便快速查找到相应的日志,还有可能在众多日志数据中挖掘到一些意想不到的关联关系。 作为DevOps工程师,会经常收到分析生产日志的需求。在机器规模较少、生产环境管理不规范时,可以通过分配系统账号,
ubuntu 20 graylog 安装
CyrusZhou的专栏
02-13 835
安装依赖软件 sudo add-apt-repository universe sudo apt-get update && sudo apt-get upgrade sudo apt-get install apt-transport-https openjdk-8-jre-headless uuid-runtime pwgen MongoDB sudo apt-key adv --keyserver hkp://keyserver.ubuntu.com:80 --recv 9.
serilog-sinks-grafana-loki:一个Serilog接收器将日志事件发送到Grafana Loki
04-08
此接收器将数据传送到Grafana Loki,这是一个水平可扩展,高度可用的多租户日志聚合系统。 它允许您使用Grafana可视化您的日志。 您可以在上找到有关Loki多信息。 特征: 通过HTTP(使用实际API)格式化和...
Grafana Loki:受 Prometheus 启发的多租户日志聚合系统-开源
08-08
与其他日志系统不同,Loki构建理念是仅对有关日志的元数据进行索引:标签(就像 Prometheus 标签一样)。 然后,日志数据本身被压缩并以块的形式存储在 S3 或 GCS 等对象存储中,甚至存储在本地文件系统中。 小...
Grafana Loki:受Prometheus启发的多租户日志聚合系统-开源
05-09
与其他日志记录系统不同,Loki是基于仅索引有关日志的元数据的想法而构建的:标签(就像Prometheus标签一样)。 日志数据本身然后被压缩并存储在对象存储(例如S3或GCS)中的块中,甚至存储在文件系统上的本地。 小...
基于loki+grafana的在线nginx日志分析系统
06-27
本文将详细介绍如何使用LokiGrafana构建一个在线的日志分析系统,该系统基于Docker Compose进行一键部署,极大地简化了安装和配置流程。 首先,Loki是Prometheus Labs开发的一款分布式日志聚合系统,它设计的目标...
prometheus grafana graylog 钉钉告警 短信告警 电话告警系统 PrometheusAlert
weixin_34345753的博客
06-05 569
PrometheusAlert 简介 PrometheusAlert是开源的运维告警中心消息转发系统,支持主流的监控系统Prometheus,日志系统Graylog和数据可视化系统Grafana发出的预警消息,支持将收到的这些消息发送到钉钉,短信和语音提醒等 PrometheusAlert具备如下特性- 支持多种消息来源,目前主要有prometheus,graylog,grafana- ...
linux 日志管理 pdf,Ubuntu 16.04上安装配置 Graylog 2 日志管理系统
weixin_32688155的博客
05-02 237
Graylog强大的日志管理系统Graylog是一款开源的日志管理系统,可以从任何来源解析和丰富日志消息,有线和事件数据,从而为第三方收集器(如fluentd,beats和nxlog)提供集中式配置管理系统。 例如,使用Graylog可以丰富使用从IP地址转换的地理坐标的日志消息,或将用户ID映射到用户名。特征Graylog最著名的功能包括:中央日志管理系统,使您的团队可以访问运行时配置和日志数...
基于Rsyslog实现Loki 收集系统与网络日志
niguodehaoma_的博客
07-18 951
检查rsyslog下已经收到了交换机日志和本机日志。grafana添加loki数据源。查看已经收到了网络设备的日志。导入在线的loki模板。
日志系统新贵Loki,确实比笨重的ELK轻
小姐姐味道
06-14 1990
转载自:http://suo.im/5EZQaP最近,在对公司容器云的日志方案进行设计的时候,发现主流的ELK或者EFK比较重,再加上现阶段对于ES复杂的搜索功能很多都用不上最终选择了G...
Docker 安装 MongoDb4
天雨流芳
01-18 981
docker 安装 mongodb 4
docker下YApi部署教程-支持swagger数据导入
热门推荐
老男孩的博客
09-14 6万+
前言: 作为一个前端开发人员,经常会遇到一种情况就是 在后端接口没有出来之前,需要去mock数据,等待真实接口开发完后,替换成真实的接口,而在mock的过程中如果采用假数据的方式进行mock,一是增加无趣的工作量,二是造成了代码入侵,所以应该如果减少这种工作量呢? 其实作为前端可以搭建一个自己的mock平台,去帮我们完成mock和接口管理的工作 经过一番探索,最终选择由去哪儿开源的YApi进行接口mock管理 特性: 免费开源,内网部署,信息再也不怕泄露了 支持 postman, har, swagger
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值