ELK Logstash解析系统日志错误
介绍Logstash解析系统日志错误: 如果大家使用Logstash自带的解析规则,在某些情况下会出现解析系统日志失败的情况,原因是因为:系统主机名包含下划线时会解析失败,造成无法识别主机名字段。 主要是生产环境有些网络设备的主机名有带下划线_ ,而合法在主机名是没有不允许下划线的。 使用环境:Rocky Linux 8 、 ELK 8.x HostName主要规则 主机名只允许包含ascii字符里的数字0-9,字母a-zA-Z,连字符-。其他都不允许。例如,不允许出现其他标点符号,不允许空格,不允许下划线,不允许中文字符。 主机名的开头和结尾字符不允许是连字符。 主机名强烈建议不要用数字开头,尽管这一条不是强制的。甚至不要使用只包含可解释为16进制字符的字符串,例如”beef”。 建议不要使用计..
更多
Elasticsearch 接入微软Active Directory认证
简介本文章主要介绍了Elasticsearch 接入微软的Active Directory(域控)作为身份认证。 LDAP认证接入可参考官方文档。 使用环境:Rocky Linux 8、Elasticsearch 8、Windows Server 2022 注意:由于此功能基础版无法使用,需要白金版本,可参考教程:https://songxwn.com/Elasticsearch-x-pack-core/ ELK系列文章:https://songxwn.com/categories/linux/ELK/ 修改配置文件123456789101112131415vim /etc/elasticsearch/elasticsearch.yml # ad1xpack: security: auth..
更多Podman 容器管理工具
介绍Podman是一个用于在Linux系统上构建、管理和运行OCI标准容器的CLI工具,是Docker的直接替代品。 由红帽主导,与开源社区一起开发。在RHEL8开始预装并替代Docker。命令上与Docker并无区别。 主要特点是不需要守护进程,可以支持非root用户运行容器,提高了安全性和可访问性。 本教程也适用于RHEL其他衍生版本,如Rocky Linux。 安装RHEL8-9安装1234567891011121314dnf install podman podman-docker# 安装podman及docker的命令兼容程序。systemctl enable --now podman# 启动并设置开机启动。podman run hello-worlddocker run hello-worl..
更多
Elasticsearch 8.7 白金版激活
介绍本文章讲解了Elasticsearch 8的白金版激活,使用了Docker环境进行自动生成破解文件x-pack-core。仅用于学习使用。 仅适用于:Elasticsearch版本:8.7.0 (使用RPM包安装) Java容器版本:JDK19.0.2 环境要求:Rocky Linux8、Docker或Podman。 网络要求:需要能正常访问GitHub和Docker HUB(建议全局挂代理) 白金版功能:支持LDAP、watcher、支持邮箱发送等。 安装教程可参考:https://songxwn.com/elk/ 步骤使用Docker自动生成破解文件123456789101112131415161718192021222324252627282930313233343536373839404..
更多Zabbix SNMPv3 设备重启后无法监控问题
简介最近有发现有SNMPv3 监控的网络设备断电重启后,Zabbix无法正常监控,显示SNMP超时。 但SNMP工具去get oid值却没有问题,Zabbix Server重启后能解决。 查询一番后有了不重启的解决方案。 解决方案RFC3414 要求 SNMPv3 设备保留其 engineBoots。 一些设备不这样做,这导致它们的 SNMP 消息在重新启动后被丢弃为过时的。 在这种情况下,需要在服务器/代理上手动清除 SNMP 缓存(通过使用-R snmp_cache_reload)或者需要重新启动服务器/代理 . 123456zabbix_server -R snmp_cache_reloadzabbix_proxy -R snmp_cache_reload# 清理SNMP缓存 参考..
更多Elasticsearch 安装配置集群系统
介绍本教程客户端API关闭HTTPS认证,但传输使用HTTPS。(为了接入日志监控) 主要介绍了ES集群的搭建。ELK单机使用可参考:https://songxwn.com/elk/ Elasticsearch版本:8.x 系统版本:Rocky Linux 8.7 (关闭SE Linux和防火墙) 配置要求:建议4核8G以上,存储空间按照存储的文档大小规划。 Elasticsearch 集群建议至少要有三个节点,两个以上的master节点。 本教程也同样适用于也适用于其他RHEL8-9版本衍生版系统:如Centos stream、AlmaLinux等。 概念(1)集群(Cluster): ES可以作为一个独立的单个搜索服务器。不过,为了处理大型数据集,实现容错和高可用性,ES可以运行在许多互相合作的..
更多
Linux 虚拟机在线热扩容分区
介绍本教程是用于Linux虚拟机在调整虚拟硬盘大小后,进行在线不重启热扩容分区大小。 适用于RHEL 7+以上的版本及衍生发行版。(如Centos、Rocky Linux、Alma Linux等) 硬盘分区在线热扩容刷新硬盘容量12345echo '1' > /sys/block/sda/device/rescan # 刷新容量,设备为 sda# 注意若大于2TB的硬盘,需要GPT分区格式,且为引导硬盘的话,需要以UEFI引导启动。 安装扩容工具1234567891011121314151617181920212223242526yum install cloud-utils-growpart -y# 安装growpart,使用此工具可以自动调整分区。lsblkNAME MAJ:MI..
更多ELK-Logstash配置SNMP-Trap
简介本文章适用于ELK的logstash 配置SNMP Trap插件,接收告警通知。默认情况下是安装此插件的,如没有可手动安装。 一般用于网络设备。 注意此插件不支持v3版本。 参考:https://www.elastic.co/guide/en/logstash/current/plugins-inputs-snmptrap.html 配置12345678910111213141516171819202122vim /etc/logstash/conf.d/trap.confinput { snmptrap { type => "snmp-trap" community =>"public" port => 162 }}output { elasticsearc..
更多
MariaDB Galera Cluster 10.6 集群部署
介绍MariaDB Galera Cluster 是 MariaDB 的虚拟同步多主集群。它仅在Linux上可用,并且仅支持InnoDB存储引擎(尽管有 对MyISAM和MariaDB 10.6的Aria的实验性支持。请参阅wsrep_replicate_myisam系统变量,或者从MariaDB 10.6开始,wsrep_mode系统变量)。个人为了替代主从复制而使用。特征几乎同步复制主动-主动多主拓扑读取和写入任何群集节点自动成员资格控制,故障节点从群集中删除自动节点连接行级别的真正并行复制直接客户端连接,本机MariaDB的外观和感觉好处上述功能为 DBMS 群集解决方案带来了几个好处,包括:无副本滞后没有丢失交易读取可伸缩性较小的客户端延迟缺点加入新节点时开销大,需要复制完整数据不能有效地解决写扩..
更多
Frostmourne (霜之哀伤)日志监控系统部署安装
简介Frostmourne(霜之哀伤)是汽车之家经销商技术部监控系统的开源版本,用于帮助监控几乎所有数据库数据(包括Elasticsearch,Prometheus,SkyWalking,MySql等等)。如果你已经建立起了日志系统, 指标体系,却苦恼于没有一个配套监控系统,也许它能帮到你。支持数据源:Elasticsearch, HTTP, SkyWalking, Prometheus, InfluxDB, MySQL/TiDb, ClickHouse, SqlServer, PING, IotDB, Telnet支持告警发送方式:钉钉(机器人)、企业微信(机器人)、飞书机器人、OneMessage机器人、Email、短信、HTTP。(text, markdown)支持LDAP认证和自动创建用户。Ela..
更多