介绍
本教程用于鼎频通信的SEC OTP4000波分设备系列的告警接收。
PS:很小众的东西。
报文分析
经配置设备的SNMP Trap服务器后,分析报文不为SNMP Trap报文。
由简单的UDP报文承载告警信息,字符编码为中文编码 (GB18030)。
端口号为UDP 9000。
Logstash 配置接收UDP日志
vim /etc/logstash/conf.d/trap.conf
1 | input { |
ELK与告警
告警搭建:https://songxwn.com/frostmourne_install/
文章作者: Song
版权声明: 本博客所有文章除特别声明外,均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源 网工格物 - Blog!
相关推荐
2025-10-12
ELK Logstash配置SNMP-Trap
简介本文章适用于ELK的logstash 配置SNMP Trap插件,接收告警通知。默认情况下是安装此插件的,如没有可手动安装。 一般用于网络设备。 注意此插件不支持v3版本。 ELK系列教程:https://songxwn.com/categories/linux/ELK/ 参考:https://www.elastic.co/guide/en/logstash/current/plugins-inputs-snmptrap.html 配置1234567891011121314151617vim /etc/logstash/conf.d/trap.confinput {snmptrap {type => "snmp-trap"community =>"public"port => 162}}output {elasticsearch {hosts => ["http://192.168.0.1:9200"]index => &quo...
2025-10-16
ELK Stack 8 接入ElasticFlow
介绍Netflow v5 / v9 / v10(IPFIX),支持大部分网络厂商及VMware的分布式交换机。 NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。当汇集起来时,它更加易于管理和易读。Netflow由Cisco创造。而IPFIX是Netflow v9的开放标准实现。 同NetFlow一样,sFlow是一种向采集器发送报告的推送技术。所不同的是,NetFlow是一种基于软件的技术,而sFlow则采用内置在硬件中的专用芯片,这种做法消除了路由器或交换机的CPU和内存的负担,但也牺牲了灵活性。 本教程修改了ElasticFlow 4版本,以支持 Elasticsearch 8 ,还更新了Logstash 7到最新版本,Geo IP/AS地址库到最新版本。 已在Elasticsearch 8.13上测试过 单机部署教程:https://songxwn.com/elk/ ELK系列文章:https://songxwn.com/categories/linux/ELK/ 注:多谢袖...
2025-10-16
ELK Logstash解析Syslog主机名错误
介绍Logstash解析系统日志错误: 如果大家使用Logstash自带的解析规则,在某些情况下会出现解析系统日志失败的情况,原因是因为:系统主机名包含下划线时会解析失败,造成无法识别主机名字段。 主要是生产环境有些网络设备的主机名有带下划线_ ,而合法在主机名是没有不允许下划线的。 使用环境:Rocky Linux 8 、ELK 8.x HostName主要规则 主机名只允许包含ascii字符里的数字0-9,字母a-zA-Z,连字符-。其他都不允许。例如,不允许出现其他标点符号,不允许空格,不允许下划线,不允许中文字符。 主机名的开头和结尾字符不允许是连字符。 主机名强烈建议不要用数字开头,尽管这一条不是强制的。甚至不要使用只包含可解释为16进制字符的字符串,例如”beef”。 建议不要使用计算机领域的特殊的词汇,例如,up。 给主机命名通常不考虑字母大小写问题,并且只用小写字母而不用大写字母。 给主机命名,建议使用合法的单词,这样方便记忆。因为主机名是在一个domain的范围内唯一即可,通常不必担心重复问题。 修改1234find /usr/share/logstash/v...
2025-10-16
ELK Stack 安装教程 - 构建日志存储告警系统
介绍“ELK”是三个开源项目的首字母缩写,这三个项目分别是:Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道,能够同时从多个来源采集数据,转换数据,然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。 目前最新的名字叫 Elastic Stack 是 ELK Stack 的更新换代产品。(增加了各种Beats) 注意:本文章主要用于Syslog类型的日志收集,取消ES的加密访问是为了方便接入frostmourne进行日志告警。 ELK 系列教程:https://songxwn.com/categories/linux/ELK/ 安装环境系统: AlmaLinux 9 (关闭SE Linux) Java:OpenJDK 21 浏览器:Firefox、Chrome、Safari、Edge(使用最新版) 软件版本,使用ELK 8.13+ 也适用于其他RHEL8-9版本衍生版系...
2025-10-16
Frostmourne (霜之哀伤) ELK日志告警系统部署教程
简介Frostmourne(霜之哀伤)是汽车之家经销商技术部监控系统的开源版本,用于帮助监控几乎所有数据库数据(包括Elasticsearch, Prometheus, SkyWalking, MySql 等等)。如果你已经建立起了日志系统, 指标体系,却苦恼于没有一个配套监控系统,也许它能帮到你。 支持数据源:Elasticsearch, HTTP, SkyWalking, Prometheus, InfluxDB, MySQL/TiDb, ClickHouse, SqlServer, PING, IotDB, Telnet 支持告警发送方式:钉钉(机器人)、企业微信(机器人)、飞书机器人、OneMessage机器人、Email、短信、HTTP。(text, markdown) 支持LDAP认证和自动创建用户。 Elasticsearch数据查询、分享和下载 报警消息抑制功能,防止消息轰炸;也有报警升级功能,避免故障相关方长时间得不到通知。 Github地址:https://github.com/AutohomeCorp/frostmourne 环境要求:JAVA8-...
2025-10-16
Frostmourne - Elasticsearch源日志告警配置
简介配置Frostmourne 接入Elasticsearch源进行日志匹配告警,并静默规则,告警消息发送到企业微信,告警信息使用Markdown。 部署安装教程查看: https://songxwn.com/frostmourne_install ELK 安装教程:https://songxwn.com/elk/ ELK集群:https://songxwn.com/elk_cluster/ 添加ES 数据源数据管理 > 数据源 > 新增 类型选择 ES 名称任意填写 服务地址需要写ES地址+端口号,支持写多个ES地址方便集群接入,以逗号隔离。如 192.168.0.1:9200,192.168.0.2:9200 版本选择你的ES对应版本。 HTTPS、认证用户、密码。根据自己清空填写。 添加数据名 (索引集合)用于匹配多个索引,选择数据管理 > 数据名 > 新增 类型选择ES 名称按需填写 数据源选择上一步添加的 说明填写有意义的名字,用于下一步操作。 时间字段写 @timestamp 索引前缀填写你要匹配的索引组 时间后缀写YYYY...
2025-10-12
Zabbix SNMP开机时间497天重置问题
简介工作中遇到,网络设备开机时间到了约497天的时候(或者每过497天),Zabbix SNMP获取的时间值就会归零,重新计数,但查看设备状态正常,未重启。 原因分析sysUpTimeInstance OID 1.3.6.1.2.1.1.3.0 获取的时间单位为 0.01秒,而此OID为32bit,所以最大只能显示42949672.96秒即497.1天,所以每累计大于此限制,就会重置,导致开机时间获取不正确。 https://oidref.com/1.3.6.1.2.1.1.3.0 解决方法snmpEngineTime OID 1.3.6.1.6.3.10.2.1.3.0 获取的时间单位为秒,也为32bti,但最多可以存储49710 天。足够设备生命周期使用。 修改Zabbix SNMP获取时间的方式为上述OID即可,其数据类型为整数。 注意:此为SNMP的启动时间,若SNMP进程重启,也会导致时间重置。 https://oidref.com/1.3.6.1.6.3.10.2.1.3 参考https://www.zabbix.com/forum/zabbix-help/47245...
2025-10-16
Zabbix SNMPv3 设备重启后无法监控问题
简介最近有发现有SNMPv3 监控的网络设备断电重启后,Zabbix无法正常监控,显示SNMP超时。 但SNMP工具去Get OID值却没有问题,但Zabbix Server重启后能解决此问题。 查询一番后有了不重启的解决方案。 解决方案 要求 SNMPv3 设备保留其 engineBoots。 一些设备不这样做,这导致它们的 SNMP 消息在重新启动后被丢弃为过时的。 在这种情况下,需要在服务器/代理上手动清除 SNMP 缓存(通过使用 -R snmp_cache_reload)或者需要重新启动服务器/代理 . 123zabbix_server -R snmp_cache_reloadzabbix_proxy -R snmp_cache_reload# 清理SNMP缓存 定时可以考虑使用crontab定时清理。 参考https://www.zabbix.com/documentation/6.0/zh/manual/config/items/itemtypes/snmp https://blog.csdn.net/qq_42906357/article/d...