接收SEC OTP4000 UDP告警日志
介绍本教程用于鼎频通信的SEC OTP4000波分设备系列的告警接收。 PS:很小众的东西。 报文分析经配置设备的SNMP Trap服务器后,分析报文不为SNMP Trap报文。 由简单的UDP报文承载告警信息,字符编码为中文编码 (GB18030)。 端口号为UDP 9000。 Logstash 配置接收UDP日志vim /etc/logstash/conf.d/trap.conf 123456789input { udp { type => "UDP-Logs" port => 9000 codec => plain{ charset => "GB18030" }} ELK与告警单机搭建:https://songxwn.com..
更多ELK Logstash解析系统日志错误
介绍Logstash解析系统日志错误: 如果大家使用Logstash自带的解析规则,在某些情况下会出现解析系统日志失败的情况,原因是因为:系统主机名包含下划线时会解析失败,造成无法识别主机名字段。 主要是生产环境有些网络设备的主机名有带下划线_ ,而合法在主机名是没有不允许下划线的。 使用环境:Rocky Linux 8 、 ELK 8.x HostName主要规则 主机名只允许包含ascii字符里的数字0-9,字母a-zA-Z,连字符-。其他都不允许。例如,不允许出现其他标点符号,不允许空格,不允许下划线,不允许中文字符。 主机名的开头和结尾字符不允许是连字符。 主机名强烈建议不要用数字开头,尽管这一条不是强制的。甚至不要使用只包含可解释为16进制字符的字符串,例如”beef”。 建议不要使用计..
更多Elasticsearch 接入微软Active Directory认证
简介本文章主要介绍了Elasticsearch 接入微软的Active Directory(域控)作为身份认证。 LDAP认证接入可参考官方文档。 使用环境:Rocky Linux 8、Elasticsearch 8、Windows Server 2022 注意:由于此功能基础版无法使用,需要白金版本,可参考教程:https://songxwn.com/Elasticsearch-x-pack-core/ ELK系列文章:https://songxwn.com/categories/linux/ELK/ 修改配置文件123456789101112131415vim /etc/elasticsearch/elasticsearch.yml # ad1xpack: security: auth..
更多Elasticsearch 8.7 白金版激活
介绍本文章讲解了Elasticsearch 8的白金版激活,使用了Docker环境进行自动生成破解文件x-pack-core。仅用于学习使用。 仅适用于:Elasticsearch版本:8.7.0 (使用RPM包安装) Java容器版本:JDK19.0.2 环境要求:Rocky Linux8、Docker或Podman。 网络要求:需要能正常访问GitHub和Docker HUB(建议全局挂代理) 白金版功能:支持LDAP、watcher、支持邮箱发送等。 安装教程可参考:https://songxwn.com/elk/ 步骤使用Docker自动生成破解文件123456789101112131415161718192021222324252627282930313233343536373839404..
更多Elasticsearch 安装配置集群系统
介绍本教程客户端API关闭HTTPS认证,但传输使用HTTPS。(为了接入日志监控) 主要介绍了ES集群的搭建。ELK单机使用可参考:https://songxwn.com/elk/ Elasticsearch版本:8.x 系统版本:Rocky Linux 8.7 (关闭SE Linux和防火墙) 配置要求:建议4核8G以上,存储空间按照存储的文档大小规划。 Elasticsearch 集群建议至少要有三个节点,两个以上的master节点。 本教程也同样适用于也适用于其他RHEL8-9版本衍生版系统:如Centos stream、AlmaLinux等。 概念(1)集群(Cluster): ES可以作为一个独立的单个搜索服务器。不过,为了处理大型数据集,实现容错和高可用性,ES可以运行在许多互相合作的..
更多ELK-Logstash配置SNMP-Trap
简介本文章适用于ELK的logstash 配置SNMP Trap插件,接收告警通知。默认情况下是安装此插件的,如没有可手动安装。 一般用于网络设备。 注意此插件不支持v3版本。 参考:https://www.elastic.co/guide/en/logstash/current/plugins-inputs-snmptrap.html 配置12345678910111213141516171819202122vim /etc/logstash/conf.d/trap.confinput { snmptrap { type => "snmp-trap" community =>"public" port => 162 }}output { elasticsearc..
更多ELK Stack 安装教程,RHEL及衍生系统。
介绍“ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。目前最新的名字叫 Elastic Stack 是 ELK Stack 的更新换代产品。(增加了Beats)注意:本文章主要用于syslog类型的日志收集,取消ES的加密访问是为了方便接入frostmourne进行日志告警。安装环境系统: AlmaLinux 9 (关闭SE Linux)软件版本,使用E..
更多