接收SEC OTP4000 UDP告警日志

发表于2023-05-13|更新于2025-10-16|linuxELK

|总字数:148|阅读时长:1分钟|浏览量:

介绍

本教程用于鼎频通信的SEC OTP4000波分设备系列的告警接收。

PS：很小众的东西。

报文分析

经配置设备的SNMP Trap服务器后，分析报文不为SNMP Trap报文。

由简单的UDP报文承载告警信息，字符编码为中文编码（GB18030）。

端口号为UDP 9000。

Logstash 配置接收UDP日志

vim /etc/logstash/conf.d/trap.conf

input {
udp {
type => "UDP-Logs"
port => 9000
codec => plain{ charset => "GB18030"
}
}

ELK与告警

单机搭建：https://songxwn.com/elk/

告警搭建：https://songxwn.com/frostmourne_install/

文章作者: Song

文章链接: https://songxwn.com/SEC_OTP_UDP-log/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源网工格物 - Blog！

snmp Linux elk syslog

相关推荐

ELK Logstash配置SNMP-Trap

简介本文章适用于ELK的logstash 配置SNMP Trap插件,接收告警通知。默认情况下是安装此插件的，如没有可手动安装。一般用于网络设备。注意此插件不支持v3版本。 ELK系列教程：https://songxwn.com/categories/linux/ELK/ 参考：https://www.elastic.co/guide/en/logstash/current/plugins-inputs-snmptrap.html 配置1234567891011121314151617vim /etc/logstash/conf.d/trap.confinput {snmptrap {type => "snmp-trap"community =>"public"port => 162}}output {elasticsearch {hosts => ["http://192.168.0.1:9200"]index => &quo...

ELK Logstash解析Syslog主机名错误

介绍Logstash解析系统日志错误：如果大家使用Logstash自带的解析规则，在某些情况下会出现解析系统日志失败的情况，原因是因为：系统主机名包含下划线时会解析失败，造成无法识别主机名字段。主要是生产环境有些网络设备的主机名有带下划线_ ，而合法在主机名是没有不允许下划线的。使用环境：Rocky Linux 8 、ELK 8.x HostName主要规则主机名只允许包含ascii字符里的数字0-9，字母a-zA-Z，连字符-。其他都不允许。例如，不允许出现其他标点符号，不允许空格，不允许下划线，不允许中文字符。主机名的开头和结尾字符不允许是连字符。主机名强烈建议不要用数字开头，尽管这一条不是强制的。甚至不要使用只包含可解释为16进制字符的字符串，例如”beef”。建议不要使用计算机领域的特殊的词汇，例如，up。给主机命名通常不考虑字母大小写问题，并且只用小写字母而不用大写字母。给主机命名，建议使用合法的单词，这样方便记忆。因为主机名是在一个domain的范围内唯一即可，通常不必担心重复问题。修改1234find /usr/share/logstash/v...

Frostmourne - Elasticsearch源日志告警配置

简介配置Frostmourne 接入Elasticsearch源进行日志匹配告警，并静默规则，告警消息发送到企业微信，告警信息使用Markdown。部署安装教程查看： https://songxwn.com/frostmourne_install ELK 安装教程：https://songxwn.com/elk/ ELK集群：https://songxwn.com/elk_cluster/ 添加ES 数据源数据管理 > 数据源 > 新增类型选择 ES 名称任意填写服务地址需要写ES地址+端口号，支持写多个ES地址方便集群接入，以逗号隔离。如 192.168.0.1:9200,192.168.0.2:9200 版本选择你的ES对应版本。 HTTPS、认证用户、密码。根据自己清空填写。添加数据名（索引集合）用于匹配多个索引，选择数据管理 > 数据名 > 新增类型选择ES 名称按需填写数据源选择上一步添加的说明填写有意义的名字，用于下一步操作。时间字段写 @timestamp 索引前缀填写你要匹配的索引组时间后缀写YYYY...

ELK Stack 安装教程 - 构建日志存储告警系统

介绍“ELK”是三个开源项目的首字母缩写，这三个项目分别是：Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。目前最新的名字叫 Elastic Stack 是 ELK Stack 的更新换代产品。（增加了各种Beats）注意：本文章主要用于Syslog类型的日志收集，取消ES的加密访问是为了方便接入frostmourne进行日志告警。 ELK 系列教程：https://songxwn.com/categories/linux/ELK/ 安装环境系统： AlmaLinux 9 （关闭SE Linux） Java：OpenJDK 21 浏览器：Firefox、Chrome、Safari、Edge（使用最新版）软件版本，使用ELK 8.13+ 也适用于其他RHEL8-9版本衍生版系...

Frostmourne (霜之哀伤) ELK日志告警系统部署教程

简介Frostmourne(霜之哀伤)是汽车之家经销商技术部监控系统的开源版本，用于帮助监控几乎所有数据库数据(包括Elasticsearch, Prometheus, SkyWalking, MySql 等等)。如果你已经建立起了日志系统，指标体系，却苦恼于没有一个配套监控系统，也许它能帮到你。支持数据源：Elasticsearch, HTTP, SkyWalking, Prometheus, InfluxDB, MySQL/TiDb, ClickHouse, SqlServer, PING, IotDB, Telnet 支持告警发送方式：钉钉(机器人)、企业微信(机器人)、飞书机器人、OneMessage机器人、Email、短信、HTTP。（text, markdown）支持LDAP认证和自动创建用户。 Elasticsearch数据查询、分享和下载报警消息抑制功能，防止消息轰炸；也有报警升级功能，避免故障相关方长时间得不到通知。 Github地址：https://github.com/AutohomeCorp/frostmourne 环境要求：JAVA8-...

ELK Stack 8 接入ElasticFlow

介绍Netflow v5 / v9 / v10（IPFIX），支持大部分网络厂商及VMware的分布式交换机。 NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。当汇集起来时，它更加易于管理和易读。Netflow由Cisco创造。而IPFIX是Netflow v9的开放标准实现。同NetFlow一样，sFlow是一种向采集器发送报告的推送技术。所不同的是，NetFlow是一种基于软件的技术，而sFlow则采用内置在硬件中的专用芯片，这种做法消除了路由器或交换机的CPU和内存的负担，但也牺牲了灵活性。本教程修改了ElasticFlow 4版本，以支持 Elasticsearch 8 ，还更新了Logstash 7到最新版本，Geo IP/AS地址库到最新版本。已在Elasticsearch 8.13上测试过单机部署教程：https://songxwn.com/elk/ ELK系列文章：https://songxwn.com/categories/linux/ELK/ 注：多谢袖...

Elasticsearch 索引模板、生命周期策略、节点角色

简介索引模板可以帮助简化创建和二次配置索引的过程，让我们更高效地管理索引的配置和映射。索引生命周期策略是一项有意义的功能。它通常用于管理索引和分片的热（hot）、温（warm）和冷（cold）数据，以及定期删除过期的数据，以确保Elasticsearch的健康运行。 Elasticsearch集群中，不同节点扮演着不同的角色（热（hot）、温（warm）和冷（cold）主节点），共同构成了强大的搜索和分析引擎。 ELK系列文章: ELK 此文档基于 8.0版本编写。索引模板 - Template索引可使用预定义的模板进行创建，这个模板称作Index templates。模板设置包括设置和映射，通过模式匹配的方式使得多个索引重用一个模板。索引模式用于匹配创建的索引。索引设置settings主要作用于index的一些相关配置信息，如分片数、副本数，tranlog同步条件、refresh等。官方文档下面就是把副本数量指定为2，默认副本数量为1。 12345{"index": {"number_of_replicas&qu...

WatchAlert 轻量级AI日志告警 - Docker安装部署

💎 WatchAlert 是什么？🎯 专注可观测性与稳定性，为运维提效降本 WatchAlert 是一款专为云原生环境设计的轻量级监控告警引擎，聚焦于可观测性（Metrics、Logs、Traces）与系统稳定性保障，提供从采集、分析到告警的全链路解决方案。 🔍 AI 智能加持，让告警更有“洞察力” 通过 AI 技术深度分析 Metrics、Logs 和 Traces 中的异常信号，精准定位根因，智能生成排查建议与修复方案，显著提升故障响应效率。注：本教程主要为在Docker环境下安装部署WatchAlert，用于接入ElasticSearch和VictoriaLogs作为日志告警。日志系列文章：https://songxwn.com/tags/syslog/ 项目地址：https://github.com/opsre/WatchAlert 官方文档：https://cairry.github.io/docs/ 🧩 全面兼容主流可观测技术栈监控类型支持的数据源 Metrics Prometheus、VictoriaMetrics Logs L...