本文介绍了如何利用ELK(Elasticsearch, Logstash, Kibana)搭建一套日志分析系统,特别适用于管理大量网络设备的场景。通过SNMP获取交换机日志,经过Logstash解析后存储在Elasticsearch,并在Kibana进行展示,实现日志的高效查询和可视化分析。文章提供了环境搭建、交换机配置及Logstash配置的简要说明,并展示了日志量、日志级别等关键指标的分析示例。"
103853805,5698660,Docker初学者指南:从安装到常用命令,"['Docker', '容器', 'Windows', '开发环境', '软件部署']
作为一个资深的网工深知,网络设备的日志对于日常维护相当重要,但是,随着管理的设备的越来越多,逐台登录查看,费事费力,效率低。今天跟大家分享一个日志分析系统,查询速度飞快,分析界面高端大气上档次,低调奢华有内涵。要是以前听到这样的需求一般都是 下面的表情:
先让大家看看目前在线上运行的吧。大致如下:
通过以上,可以很直观的观察到每一台网络设备日志的具体类型和日志数量,从而清楚的判定应该更加重点关注某一台。
架构简述
此系统采用ELK搭建的,ELK是三个软件的首字母,分别是Elasticsearch(存储数据)、Logstash(收集数据)、Kibana(展示数据)。面对不同的厂商的设备发送日志的时候采用不同的端口,日志先发送到logstash。logstash会先解析日志成标准格式,然后logstash会做2件事情,一个是存放日志到es里面,通过kibana做出展示。
环境搭建
ELK的搭建,这里建议采用docker容器化部署,这样既方便又简单,一键拉起。具体配置文件请关注私信“ELK”获取。
交换机配置
其实交换机的配置是一个痛点,几台设备可以手动配置一下就可以了,要是你的环境中有几百台,要是还没有统一配置工具 直接配到你怀疑人生啊。
1、cisco:
logging host 10.100.18.18 transport udp port 5002 2、H3C
info-center enableinfo-center source default channel 2 trap state off // 必要,不然日志会出现 不符合级别的 alert 日志info-center loghost 10.100.18.18 port 50033、huawei
info-center enableinfo-center loghost 10.100.18.18info-center timestamp log short-dateinfo-center timestamp trap short-dateLogstash的配置
不同厂商的日志gork都写好了,私信我回复"ELK"获取
日志分析
以下是我自己平时想看的数据,你要是有其它需求 可以一起交流
日志量top 10的设备
设备产生日志量很大,需要关注一下呢
日志分类的占比
不同级别的日志 一目了然
日志分类数量占比
以上就是跟大家分享的日志分析系统,全部采用开源的软件搭建,0成本。如果,感谢兴趣的小伙伴可以转发关注并私信回复"ELK"获取配置文件。部署过程遇到问题欢迎留言。
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
