【elk】网络设备syslog日志收集

已于 2022-07-25 15:07:09 修改
阅读量6.2k 收藏 28
点赞数 3
分类专栏: elk 网络 日志 文章标签: 运维
于 2020-11-15 11:44:14 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yq90125/article/details/109677579
版权
网络 同时被 3 个专栏收录
7 篇文章 1 订阅
订阅专栏
elk
2 篇文章 0 订阅
订阅专栏
日志
1 篇文章 0 订阅
订阅专栏

文章目录

1.概述

本文描述将网络日志(会话日志,操作日志等)以syslog方式保存到elk日志服务器集群中及日志展示的实现。

2.日志源配置

首先对日志源即网络设备进行配置,以下列举华为防火墙及交换设备

1.防火墙开启日志

在这里插入图片描述防火墙日志配置(另在策略中也要开启日志记录功能,图略

2.交换机开启日志

info-center source default channel 4 log level error
info-center loghost 192.168.171.7 channel 4 local-time
info-center trapbuffer channel 4

3.日志主机配置

该主机上主要安装了rsyslog,docker及filebeat(docker版本)组件

1.rsyslog配置

  1. 安装请用yum
  2. 配置rsyslog模板
    由于生产中需要收集不同网络设备的日志,因此这里用不通网络设备的ip建立目录及各自的日志

$template diff_ip,“/var/log/network-log/%fromhost-ip%/messages-%$now%.log”
if $fromhost-ip != ‘127.0.0.1’ then ?diff_ip
#local7.* /var/log/boot.log
local7.* ?diff_ip

当配置完上面的模板,rsyslog收到日志源的数据后,会产生如下临时日志,结构如模板设置一样
在这里插入图片描述

  1. 启动服务
systemctl start rsyslog

2.docker及filebeat配置

  1. yum安装docker
  2. 拉取filebeat镜像

###拉取filebeat镜像文件
docker pull docker.elastic.co/beats/filebeat:7.10.0
###将提前准备好filebeat.yml文件放置在/etc/zabbix/docker_vol/下
###按照以下命令及参数,运行filebeat,注意这里需要将宿主机系统的部分文件挂载到filebeat容器中,由于filebeat读取的是宿主机上rsyslog的日志文件,因此还需要将filebeat.yml中的日志来源目录也挂载到容器的目录中,这都在下面的命令中体现
docker run -d --name=network-sys --user=root --volume=“/etc/zabbix/docker_vol/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro” --volume=“/var/lib/docker/containers:/var/lib/docker/containers:ro” --volume=“/var/run/docker.sock:/var/run/docker.sock:ro” --volume=“/var/log/network-log:/var/log/network-log:ro” docker.elastic.co/beats/filebeat:7.8.1 filebeat -e -strict.perms=false

  1. filebeat.yml如下,这里往es导入日志后是按天生成es的index
filebeat.inputs:
#- type: syslog
- type: log
#  protocol.udp:
#    host: "192.168.171.7:5140"
  encoding: gbk
  paths: '/var/log/network-log/*/*.log'
#output.console:
#  string: 
processors:
  - add_tags:
     when:
      regexp:
       log.file.path: "10.222.222.[2,3]{1,1}"
     tags: ["FT2Q-FW"]
  - add_tags:
     when:
      regexp:
       log.file.path: "10.100.1.[2,3]{1,1}/"
     tags: ["FT1Q-FW"]
  - add_tags:
     when:
      regexp:
       log.file.path: "10.100.1.[1][9]|10.100.[2][0]"
     tags: ["FT3Q-FW"]
  - add_tags:
     when:
      regexp:
       log.file.path: "10.100.1.[1][0]|10.100.1,[1][1]"
     tags: ["SJHL-FW"]
  - add_tags:
     when:
      regexp:
       log.file.path: "192.168.171.1"
     tags: ["FT1Q-core"]
output.elasticsearch:
  hosts: ["192.168.170.108:9201", "192.168.170.109:9201", "192.168.170.112:9201"]
  username: "elastic"
  password: "elastic_PASS"
  index: "network-%{[agent.version]}-%{+yyyy.MM.dd}"
#  indices: 
#    - index: "network-ft1q-%{[agent.version]}-%{+yyyy.MM.dd}"
#      when:
#        or:
#        - contains:
#          source: 10.222.222.2 
#        - contains:
#          source: 10.100.1.3
#    - index: "network-ft3q-%{[agent.version]}-%{+yyyy.MM.dd}"
#      when.contains:
#    - index: "network-sjhl-${[agent.version]}-%{+yyyy.MM.dd}"
setup.template.name: "network-log"
setup.template.pattern: "network-*"
setup.template.enabled: true
setup.ilm.enabled: false
  1. docker方式启动filebeat
docker run -d --name=network-sys --user=root --volume="/etc/zabbix/docker_vol/filebeat.yml:/usr/share/filebeat/filebeat.yml:ro" --volume="/var/lib/docker/containers:/var/lib/docker/containers:ro" --volume="/var/run/docker.sock:/var/run/docker.sock:ro" --volume="/var/log/network-log:/var/log/network-log:ro" docker.elastic.co/beats/filebeat:7.8.1 filebeat -e -strict.perms=false

4.elk配置

日志是通过日志服务器,转发到es集群上面的,但是我这里主要是在kibana上进行配置。

  1. 创建索引(index)模板
    在这里插入图片描述![在这里插入图片描述](https://img-blog.csdnimg.cn/2020111511173570.png?x-oss-process=image/watermark,type_ZmFuZ3poZW5naGVpdGk,shadow_10,text_aHR0cHM6Ly9ibG9nLmNzZG4ubmV0L3lxOTAxMjU=,size_16,color_FFFFFF,t_70#pic_center
  2. 在discover中可通过索引模式(就是上面的索引模板)的选择看到收集到的日志
    在这里插入图片描述

5.日志清理

这里的日志清理分为两步,一步是清理rsyslog中的日志,还有一步是对es集群主机中的index做生命周期的设置

1.rsyslog清理

  1. 在rsyslog服务器(=filebeat也在这上面=)先定制删除日志的脚本auto_remove_log.py,放置的目录如下
    /etc/zabbix/zabbix_script/auto_remove_log.py
#! /usr/bin/python
import os,re,time
file_dir = '/var/log/network-log'
list_dir = os.listdir(file_dir)
list_dir_sub_layer=[]
for dir_name in list_dir:
        list_dir_sub_layer.append(file_dir+'/'+dir_name)
list_dir_file = []
for dir_name in list_dir_sub_layer:
        list_dir = os.listdir(dir_name)
        for k in list_dir:
                list_dir_file.append(dir_name+'/'+k)
len_list = len(list_dir_file)
begin_time = time.strftime("%Y-%m-%d",time.localtime(time.time()-86400))
cu_time = time.strftime("%Y-%m-%d",time.localtime())
for i in range(0,len_list):
        if re.search(begin_time,list_dir_file[i]) or re.search(cu_time,list_dir_file[i]):
                pass
        else:
                os.remove(list_dir_file[i])
  1. 部署了上面的脚本后,还需要用crontab定时执行,这里计划为每天早8点执行一次脚本
0 8 * * * /usr/bin/python /etc/zabbix/zabbix_script/auto_remove_log.py

2.ES生命周期管理

日志不仅要在rsyslog日志服务器上进行定期清理,在es集群中也要进行生命周期的设置

  1. 生命周期策略创建
    在这里插入图片描述2. 挂接到index
    在这里插入图片描述在这里插入图片描述
机智的埃努
关注
专栏目录
ELK7收集syslog+eventlog日志.docx
03-10
ELasticsearch Logstash Kibana 7.11 使用rpm方式安装为服务 收集syslog日志和eventlog日志(通过nxlog)
Elastic 之网络设备日志收集
quzuqiang的博客
01-05 3631
如何收集网络设备日志收集日志后如何对日志进行分析判断网络中是否存在隐患?笔者通过Elastic + rsyslog 实现。
ELK日志分析平台
gd0306的博客
03-05 359
ELK ELK(ElasticSearch, Logstash, Kibana),三者组合在一起搭建实时的日志分析平台,目前大多数公司都在使用这套体系! Elasticsearch 是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful 风格接口,多数据源,自动搜索负载等。 Logstash 是一个完全开源的工具,他可以对你的日志进行收集、过滤,并...
搭建ELK日志采集与分析系统
最新发布
Linux运维老纪的博客
08-22 1186
ELK是Elasticsearch(ES) , Logstash, Kibana的结合,是一个开源日志收集软件。 Elasticsearch:开源分布式搜索引擎,提供搜集、分析、存储数据功能。 Logstash:日志搜集、分析、过滤,支持大量数据获取。其自带输入(input)、过滤语法(grok)、输出(output)三部分。其输入有两种方式:①由各beat采集器输入,经过滤后输出到ES ②本机数据输入,经过滤后输出到ES。Kibana:提供日志分析友好的 Web 界面。本章详细介绍如何搭建elk日志分析系
配置使用rsyslog+loganalyzer收集防火墙及交换机日志
weixin_33691817的博客
11-07 3208
1.目的背景 日志功能对于操作系统是相当重要的,在使用中,无论是系统还是应用等等,出了任何问题,我们首先想到的便是分析日志,查找问题原因。 自 CentOS 6 开始,我们的 CentOS 便开始使用 rsyslog 做为日志收集服务了,相对于之前的 syslog 它能够支持多线程,数据库存储,支持更多了传输协议等等优点。 而 LogAnalyzer 则...
通过ELK收集分析syslog
weixin_45083611的博客
08-29 2141
ELK介绍 首先ELK是一个集中式日志系统,他并不是一款软件,而是由Elasticsearch、Logstash和Kibana三部分组件组成 Elasticsearch是一个基于Lucence的搜索服务器,但是他既是搜索引擎,也是数据库,但是更主要的是作为索引数据库,用以提高性能,虽然是Java开发的,但是封装了一套http访问接口,使用了restful设计风格,是目前最受欢迎的搜索引擎之一 Lo...
使用ELK收集网络设备日志的案例
热门推荐
qq_40907977的博客
11-11 1万+
简介 随着机房内的服务器和网络设备增加,日志管理和查询就成了让系统管理员头疼的事。 系统管理员遇到的常见问题如下: 1、日常维护过程中不可能登录到每一台服务器和设备上去查看日志; 2、网络设备上的存储空间有限,不可能存储日期太长的日志,而系统出现问题又有可能是很久以前发生的某些操作造成的; 3、在某些非法侵入的情况下,侵入者一般都会清除本地日志,清除侵入痕迹; 4、zabbix等监控系统无法代替日...
使用ELK保存Syslog、Netflow日志和审计网络接口流量
lyace2010的博客
12-08 5356
简介 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。后来新增了一个Beats,它是一个轻量级的日志收集处理工具(Agent),Beats占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是开源的数据收集引擎。它
使用ELK接收处理syslog
奇怪的老司机
03-16 3843
通过ELK接收并处理syslog和rsyslog日志,满足等保中对日志离线且保存半年的要求,也能对大量日志进行分析处理。依赖:JDK,ELK,其中logstash需要syslog模块。具体操作方法如下:1,修改logstash配置文件,启用syslog功能,并输出到elasticsearch,配置如下:input{syslog {type => “rsyslog”port => 51...
Elk stack 无法收集交换机syslog 排障
interst_的博客
01-05 498
背景来源:是给一个国外的客户解决elk stack 不能监控交换机(udp 514)这个端口,没有读取到syslog 问题进行复现测试; 根据网上大佬给的方法进行安装elk stack ,安装链接可以参考这些大佬进行安装elk stack,ELK日志系统搭建完整详细步骤_elk日志流程-CSDN博客ELK logstash-7.5收集交换机日志_交换机elk-CSDN博客 根据上面链接进行安装,特别第一个链接安装是真得详细,安装之后,但是发现还是无法监控,这个时候可以根据这个链接进行排查
ELK日志收集分析服务
zhangkangren的博客
01-12 1220
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
ELK企业级日志分析系统资源
05-15
Logstash支持多种输入插件,可以从不同的日志源(如syslog、Windows事件日志网络设备等)收集数据,并通过过滤器插件对数据进行预处理。此外,还有多种输出插件,确保数据可以被正确地发送到Elasticsearch或其他...
ELK-stack之日志分析.zip
04-16
**Logstash**:Logstash是一个数据收集和处理工具,用于从各种来源(如系统日志、应用程序日志网络设备等)收集日志数据,然后对数据进行过滤、转换,并将其转发到Elasticsearch或其他输出目标。Logstash的强大之...
芒果TV ELK日志系统实践 -刘波涛
04-15
本文将详细介绍芒果TV在ELK(Elasticsearch、Logstash、Kibana)日志系统实践中的经验与心得,特别是针对日志收集、存储、分析等环节的关键技术和优化策略。 #### 二、背景介绍 在2015年10月17日举办的ES国内...
nxlog日志上传工具
07-24
ELK套件是日志管理和可视化的一体化解决方案,nxlog 可以作为ELK的前端日志收集器,将Windows系统的日志数据推送到Logstash,然后由Logstash进一步处理和转发到Elasticsearch进行存储和搜索,最后通过Kibana进行可视...
ELK实战教程.zip
02-26
通过本教程,你将能够熟练掌握ELK的每一个环节,无论是从日志收集、处理,还是到最后的数据展示,都将得心应手。无论你是运维人员、开发人员还是数据分析师,ELK都能成为你强大的日志管理工具,助你在复杂的数据海洋...
ELK日志分析系统(2)--logstash文件输出、日志服务器伪装、多行过滤插件、grok过滤插件
但行好事
05-29 461
文章目录一、logstash文件输出二、logstash伪装成日志服务器1. Syslog输入插件的使用2.远程日志同步三、多行过滤插件1.示例2.采集完整日志信息查看目标文件信息指定匹配规则四、grok过滤插件1.内核参数优化2.grok过滤安装httpd,编辑测试页面做负载,产生日志grok过滤示例编辑apache.conf文件,并进行logstash日志采集试验 一、logstash文件输出 logstash在采集数据完成后会把进度保存到sincedb文件中,假如我们选择将数据输出到elastic中
ELK收集交换机日志
水彩橘子
12-28 2460
编辑systemd启动文件,更改为root用户(端口号小于1000的程序,普通用户会因为权限问题不能启动,这里改成root用户启动)配置文件放到目录/etc/logstash/conf.d/添加软件源,编辑logstash.repo文件添加如下。Elasticsearch版本:7.13.3。kibana版本:v 7.13.3。logstash版本:7.17.8。交换机:华为、思科、H3C。安装logstash。
Beats:使用 Linux 系统上的 Rsyslog 收集日志并导入 Elasticsearch
Elastic 中国社区官方博客
07-30 3481
在我之前的文章: Beats:Beats 入门教程 (一) Beats:Beats 入门教程 (二) 我详述了如何使用 Filebeat 中的 system 模块来为 syslog 导入到 Elasticsearch。这是目前为止最为快捷的方法。在实际的使用中,我们也可以使用其它来导入 syslog。这里的方法是: 使用 Filebeat 中的 syslog input 使用 Logstash 导入 在今天的文章中,我将详述如何配置 Rsyslog 把数据导入到 Elasticsearch .
黑马jdbc配置文件
07-28
黑马的JDBC配置文件一般是指用于连接数据库的配置文件,常见的配置文件名为`jdbc.properties`或`jdbc.yml`。在该配置文件中,你可以设置数据库连接的相关信息,例如数据库的URL、用户名、密码等。 以下是一个示例的`jdbc.properties`配置文件: ``` # 数据库连接配置 jdbc.url=jdbc:mysql://localhost:3306/mydatabase jdbc.username=root jdbc.password=123456 # JDBC驱动类 jdbc.driver=com.mysql.jdbc.Driver ``` 在这个示例中,`jdbc.url`指定了数据库的连接URL,`jdbc.username`和`jdbc.password`分别指定了连接数据库所使用的用户名和密码。而`jdbc.driver`则指定了JDBC驱动类的名称。 请注意,实际的配置文件内容可能因项目和数据库的不同而有所变化。因此,你需要根据自己的项目和数据库进行相应的配置。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值