【elk】网络设备syslog日志收集

已于 2022-07-25 15:07:09 修改
阅读量6.4k 收藏 28
点赞数 3
分类专栏: elk 网络 日志 文章标签: 运维
于 2020-11-15 11:44:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yq90125/article/details/109677579
版权
网络 同时被 3 个专栏收录
7 篇文章 1 订阅
订阅专栏
elk
2 篇文章 0 订阅
订阅专栏
日志
1 篇文章 0 订阅
订阅专栏

文章目录

1.概述

本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。

2.日志源配置

首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备

1.防火墙开启日志

在这里插入图片描述防火墙日志配置(另在策略中也要开启日志记录功能,图略

2.交换机开启日志

info-center source default channel 4 log level error
info-center loghost 192.168.171.7 channel 4 local-time
info-center trapbuffer channel 4

3.日志主机配置

该主机上主要安装了rsyslog,docker及filebeat(docker版本)组件

1.rsyslog配置

  1. 安装请用yum
  2. 配置rsyslog模板
    由于生产中需要收集不同网络设备的日志,因此这里用不通网络设备的ip建立目录及各自的日志

$template diff_ip,“/var/log/network-log/%fromhost-ip%/messages-%$now%.log”
if $fromhost-ip != ‘127.0.0.1’ then ?diff_ip
#local7.* /var/log/boot.log
local7.* ?diff_ip

当配置完上面的模板,rsyslog收到日志源的数据后,会产生如下临时日志,结构如模板设置一样
在这里插入图片描述

  1. 启动服务
systemctl start rsyslog

2.docker及filebeat配置

  1. yum安装docker
  2. 拉取filebeat镜像

###拉取filebeat镜像文件
docker pull docker.elastic.co/beats/filebeat:7.10.0
###将提前准备好filebeat.yml文件放置在/etc/zabbix/docker_vol/下
###按照以下命令及参数,运行filebeat,注意这里需要将宿主机系统的部分文件挂载到filebeat容器中,由于filebeat读取的是宿主机上rsyslog的日志文件,因此还需要将filebeat.yml中的日志来源目录也挂载到容器的目录中,这都在下面的命令中体现
docker run -d --name=network-sys --user=root --volume=“/etc/zabbix/docker_vol/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro” --volume=“/var/lib/docker/containers:/var/lib/docker/containers:ro” --volume=“/var/run/docker.sock:/var/run/docker.sock:ro” --volume=“/var/log/network-log:/var/log/network-log:ro” docker.elastic.co/beats/filebeat:7.8.1 filebeat -e -strict.perms=false

  1. filebeat.yml如下,这里往es导入日志后是按天生成es的index
filebeat.inputs:
#- type: syslog
- type: log
#  protocol.udp:
#    host: "192.168.171.7:5140"
  encoding: gbk
  paths: '/var/log/network-log/*/*.log'
#output.console:
#  string: 
processors:
  - add_tags:
     when:
      regexp:
       log.file.path: "10.222.222.[2,3]{1,1}"
     tags: ["FT2Q-FW"]
  - add_tags:
     when:
      regexp:
       log.file.path: "10.100.1.[2,3]{1,1}/"
     tags: ["FT1Q-FW"]
  - add_tags:
     when:
      regexp:
       log.file.path: "10.100.1.[1][9]|10.100.[2][0]"
     tags: ["FT3Q-FW"]
  - add_tags:
     when:
      regexp:
       log.file.path: "10.100.1.[1][0]|10.100.1,[1][1]"
     tags: ["SJHL-FW"]
  - add_tags:
     when:
      regexp:
       log.file.path: "192.168.171.1"
     tags: ["FT1Q-core"]
output.elasticsearch:
  hosts: ["192.168.170.108:9201", "192.168.170.109:9201", "192.168.170.112:9201"]
  username: "elastic"
  password: "elastic_PASS"
  index: "network-%{[agent.version]}-%{+yyyy.MM.dd}"
#  indices: 
#    - index: "network-ft1q-%{[agent.version]}-%{+yyyy.MM.dd}"
#      when:
#        or:
#        - contains:
#          source: 10.222.222.2 
#        - contains:
#          source: 10.100.1.3
#    - index: "network-ft3q-%{[agent.version]}-%{+yyyy.MM.dd}"
#      when.contains:
#    - index: "network-sjhl-${[agent.version]}-%{+yyyy.MM.dd}"
setup.template.name: "network-log"
setup.template.pattern: "network-*"
setup.template.enabled: true
setup.ilm.enabled: false
  1. docker方式启动filebeat
docker run -d --name=network-sys --user=root --volume="/etc/zabbix/docker_vol/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro" --volume="/var/lib/docker/containers:/var/lib/docker/containers:ro" --volume="/var/run/docker.sock:/var/run/docker.sock:ro" --volume="/var/log/network-log:/var/log/network-log:ro" docker.elastic.co/beats/filebeat:7.8.1 filebeat -e -strict.perms=false

4.elk配置

日志是通过日志服务器,转发到es集群上面的,但是我这里主要是在kibana上进行配置。

  1. 创建索引(index)模板
    在这里插入图片描述![在这里插入图片描述](https://img-blog.csdnimg.cn/2020111511173570.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lxOTAxMjU=,size_16,color_FFFFFF,t_70#pic_center
  2. 在discover中可通过索引模式(就是上面的索引模板)的选择看到收集到的日志
    在这里插入图片描述

5.日志清理

这里的日志清理分为两步,一步是清理rsyslog中的日志,还有一步是对es集群主机中的index做生命周期的设置

1.rsyslog清理

  1. 在rsyslog服务器(=filebeat也在这上面=)先定制删除日志的脚本auto_remove_log.py,放置的目录如下
    /etc/zabbix/zabbix_script/auto_remove_log.py
#! /usr/bin/python
import os,re,time
file_dir = '/var/log/network-log'
list_dir = os.listdir(file_dir)
list_dir_sub_layer=[]
for dir_name in list_dir:
        list_dir_sub_layer.append(file_dir+'/'+dir_name)
list_dir_file = []
for dir_name in list_dir_sub_layer:
        list_dir = os.listdir(dir_name)
        for k in list_dir:
                list_dir_file.append(dir_name+'/'+k)
len_list = len(list_dir_file)
begin_time = time.strftime("%Y-%m-%d",time.localtime(time.time()-86400))
cu_time = time.strftime("%Y-%m-%d",time.localtime())
for i in range(0,len_list):
        if re.search(begin_time,list_dir_file[i]) or re.search(cu_time,list_dir_file[i]):
                pass
        else:
                os.remove(list_dir_file[i])
  1. 部署了上面的脚本后,还需要用crontab定时执行,这里计划为每天早8点执行一次脚本
0 8 * * * /usr/bin/python /etc/zabbix/zabbix_script/auto_remove_log.py

2.ES生命周期管理

日志不仅要在rsyslog日志服务器上进行定期清理,在es集群中也要进行生命周期的设置

  1. 生命周期策略创建
    在这里插入图片描述2. 挂接到index
    在这里插入图片描述在这里插入图片描述
机智的埃努
关注
专栏目录
使用ELK收集网络设备日志的案例
qq_40907977的博客
11-11 1万+
简介 随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。 系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志; 2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的; 3、在某些非法侵入的情况下,侵入者一般都会清除本地日志,清除侵入痕迹; 4、zabbix等监控系统无法代替日...
通过ELK收集分析syslog
weixin_45083611的博客
08-29 2166
ELK介绍 首先ELK是一个集中式日志系统,他并不是一款软件,而是由Elasticsearch、Logstash和Kibana三部分组件组成 Elasticsearch是一个基于Lucence的搜索服务器,但是他既是搜索引擎,也是数据库,但是更主要的是作为索引数据库,用以提高性能,虽然是Java开发的,但是封装了一套http访问接口,使用了restful设计风格,是目前最受欢迎的搜索引擎之一 Lo...
syslog服务器与elk区别_ELK与EFK,什么跟什么?
weixin_27038245的博客
12-19 596
ELK是elasticsearch+logstash+kibana的组合,是一款日志收集解决方案的简写,而EFK是elasticsearch+filebeat+kibana的组合,解决同样的问题,它们之间的区别就是logstash与filebeat的区别。1、既有ELK,为何又再弄个EFK呢?是因为logstash是使用java语言编写的,在实际使用中,明显存在耗资源较大,运行占用CPU...
24.ELK-Rsyslog收集网络设备日志
JCWang的博客
07-21 1572
Rsyslog收集网络设备日志 参考 https://blog.csdn.net/qq_40907977/article/details/103006027 1.关闭防火墙和selinux 2.检查是否安装rsyslog,centos 会默认安装 rpm -qa|grep rsyslog 编辑rsyslog配置文件 vim /etc/rsyslog.conf 支持udp协议,支持tcp协议 允许514端口接受TCP UDP转发过来的日志 添加一个local6.none 定义日志的路径为/mnt/h3
ELK 日志分析
最新发布
qq_59677536的博客
09-18 1268
elk
用OSSIM轻松分析网络设备日志
weixin_33716557的博客
11-04 709
用OSSIM轻松分析网络设备日志      基于插件的日志收集与处理模式,使得用户可以轻松的利用OSSIM来分析异构网络环境下的各种网络设备日志,下面展示一些硬件设备日志的实例,我们在RAW LOG界面里,搜索栏输入Cisco关键词,立即列出数据源中已有Cisco 路由器、防火墙、交换机等各种搜索条件,你只要知道硬件型号基本都能找到对应数据源。首先以思科ASA防火墙为例来为大家说明。 在系统中通过...
ELK收集交换机日志
水彩橘子
12-28 2508
编辑systemd启动文件,更改为root用户(端口号小于1000的程序,普通用户会因为权限问题不能启动,这里改成root用户启动)配置文件放到目录/etc/logstash/conf.d/添加软件源,编辑logstash.repo文件添加如下。Elasticsearch版本:7.13.3。kibana版本:v 7.13.3。logstash版本:7.17.8。交换机:华为、思科、H3C。安装logstash。
Elastic 之网络设备日志收集
quzuqiang的博客
01-05 4648
如何收集网络设备日志收集日志后如何对日志进行分析判断网络中是否存在隐患?笔者通过Elastic + rsyslog 实现。
配置使用rsyslog+loganalyzer收集防火墙及交换机日志
weixin_33691817的博客
11-07 3265
1.目的背景 日志功能对于操作系统是相当重要的,在使用中,无论是系统还是应用等等,出了任何问题,我们首先想到的便是分析日志,查找问题原因。 自 CentOS 6 开始,我们的 CentOS 便开始使用 rsyslog 做为日志收集服务了,相对于之前的 syslog 它能够支持多线程,数据库存储,支持更多了传输协议等等优点。 而 LogAnalyzer 则...
ELK日志收集
Stephencurr的博客
01-09 5633
目录前言一、ELK 日志分析系统1. ELK 简介2. 组件说明2.1 ElasticSearch2.2 Logstash2.3 Kibana2.4 Filebeat3. 完整日志系统的基本特征4. ELK的工作原理二、部署 ELK 日志分析系统1. 服务器配置2. 关闭防火墙3. ElasticSearch集群部署(node1、node2)3.1 环境准备3.2 部署 ElasticSearch 软件3.2.1 安装 elasticsearch-rpm 包3.2.2 加载系统服务3.2.3 修改 elas
ELK可视化系统日志以及日志显示
qq_45268814的博客
10-26 2416
实现远程监控指定设备的nginx日志
ELK7收集syslog+eventlog日志.docx
03-10
ELasticsearch Logstash Kibana 7.11 使用rpm方式安装为服务 收集syslog日志和eventlog日志(通过nxlog)
数通网络实践之日志收集与分析
02-27
收集日志不仅可以用于故障定位,也可以用来检查网络设备的运行状况和定期巡检。收集日志、分析日志,是网络专业技术人员的必备基础技能。 本文档适用于华为和华三设备,他们提供了一个打印诊断信息的命 令,这个命令相当于批处理程序,它把多个display命令都封装在一个 命令中执行,省去了工程师逐个display的麻烦。这也是唯一一个无论如何都不可以忘记的命令,当你无能为力的时候这个命令可以为远程协助你的人提供重要的定位信息。
ELK日志分析
2401_84166811的博客
04-27 1026
日志分析是运维工程师解决系统故障,发现、定位问题的主要途径。日志主要包括系统日志、应用程序日志和安全日志系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因。经常分析日志可以了解服务器的负荷,性能安全性,从而及时采取措施纠正错误。elk 日志分析的工具(一般会给研发/开发+测试使用),管理的权限范围,不一定所有人全有。通常,日志被分散的储存在不同的设备上。如果你管理数十上百台服务器,你还在使用依次登录每台机器的传统方法查阅日志,即繁琐又效率低下。
企业运维实战--ELK日志分析平台之logstash数据采集
Rabbit_hyl的博客
08-14 578
企业运维实战--ELK日志分析平台之logstash数据采集前言--logstash简介logstash数据采集安装日志采集输出插件 前言–logstash简介 Logstash是一个开源数据收集引擎,具有实时管道功能。Logstash可以动态地将来自不同数据源的数据统一起来,并将数据标准化到你所选择的目的地。 logstash数据采集 安装 rpm -ivh jdk-8u171-linux-x64.rpm rpm -ivh logstash-7.6.1.rpm 日志采集输出插件 命令行数据采集并显示
ELK logstash-7.5收集交换机日志
友人A的博客
09-23 4940
问题:有人反馈说7.x版本收集不了交换机日志,在此记录一次logstash-7.5收集华为交换机的日志记录。 前提:ELK环境已经安装完成,具体操作查看另外篇文章 一、交换机配置 添加:info-center loghost 192.168.14.210,IP地址是logstash服务器,华为交换机默认是UDP514端口发送数据 1、查看交换机版本 [SW30]display version Huawei Versatile Routing Platform Software VRP (R)
rsyslog+elk 网络设备日志收集及钉钉报警
机智的埃努
09-21 2276
目录 一.概要 二.实施 1.数据源 2.rsyslog 3.elasticsearch 4.logstash 5.kibana 三.日志展示 1.打开kibana页面 四·钉钉报警 1.elastalert 2.dingtalk 3.rule 4.报警脚本 5.报警测试 一.概要 二.实施 1.数据源 1.网络设备日志,可用模拟器如华为的ensp进行模......
ELK日志收集分析服务
zhangkangren的博客
01-12 1251
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
rsyslog收集网络设备日志
热门推荐
bluetom520的博客
02-06 1万+
安装rsyslogrpm -qa rsyslog #CentOS7默认会安装rsyslog yum install rsyslog-mysql -y #rsyslog使用此模块将数据传入MySQL数据库,必须安装导入rsyslog-mysql 数据库文件导入数据库# cd /usr/share/doc/rsyslog-7.4.7/ # mysql -uroo
黑马jdbc配置文件
07-28
黑马的JDBC配置文件一般是指用于连接数据库的配置文件,常见的配置文件名为`jdbc.properties`或`jdbc.yml`。在该配置文件中,你可以设置数据库连接的相关信息,例如数据库的URL、用户名、密码等。 以下是一个示例的`jdbc.properties`配置文件: ``` # 数据库连接配置 jdbc.url=jdbc:mysql://localhost:3306/mydatabase jdbc.username=root jdbc.password=123456 # JDBC驱动类 jdbc.driver=com.mysql.jdbc.Driver ``` 在这个示例中,`jdbc.url`指定了数据库的连接URL,`jdbc.username`和`jdbc.password`分别指定了连接数据库所使用的用户名和密码。而`jdbc.driver`则指定了JDBC驱动类的名称。 请注意,实际的配置文件内容可能因项目和数据库的不同而有所变化。因此,你需要根据自己的项目和数据库进行相应的配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值