ELK Logstash配置SNMP-Trap

发表于2023-04-24|更新于2025-10-16|linuxELK

|总字数:202|阅读时长:1分钟|浏览量:

简介

本文章适用于ELK的logstash 配置SNMP Trap插件,接收告警通知。
默认情况下是安装此插件的，如没有可手动安装。

一般用于网络设备。

注意此插件不支持v3版本。

ELK系列教程：https://songxwn.com/categories/linux/ELK/

参考：https://www.elastic.co/guide/en/logstash/current/plugins-inputs-snmptrap.html

配置

vim /etc/logstash/conf.d/trap.conf
input {
snmptrap {
type => "snmp-trap"
community =>"public"
port => 162
}
}
output {
elasticsearch {
hosts => ["http://192.168.0.1:9200"]
index => "snmp-trap-v2-%{+YYYY.MM}"
user => elastic
password => "songxwn.com"
}
}
# 以上示例文件中，团体名字为public，配置端口为默认的162。

注意：如果要需要解析OID，需要指定mib库yaml格式的目录。

ELK安装可参考： https://songxwn.com/elk/

文章作者: Song

文章链接: https://songxwn.com/elk_snmp_trap/

版权声明: 本博客所有文章除特别声明外，均采用 CC BY-NC-SA 4.0 许可协议。转载请注明来源网工格物 - Blog！

相关推荐

接收SEC OTP4000 UDP告警日志

介绍本教程用于鼎频通信的SEC OTP4000波分设备系列的告警接收。 PS：很小众的东西。报文分析经配置设备的SNMP Trap服务器后，分析报文不为SNMP Trap报文。由简单的UDP报文承载告警信息，字符编码为中文编码（GB18030）。端口号为UDP 9000。 Logstash 配置接收UDP日志vim /etc/logstash/conf.d/trap.conf 1234567input {udp {type => "UDP-Logs"port => 9000codec => plain{ charset => "GB18030"}} ELK与告警单机搭建：https://songxwn.com/elk/ 告警搭建：https://songxwn.com/frostmourne_install/

Zabbix SNMPv3 设备重启后无法监控问题

简介最近有发现有SNMPv3 监控的网络设备断电重启后，Zabbix无法正常监控，显示SNMP超时。但SNMP工具去Get OID值却没有问题，但Zabbix Server重启后能解决此问题。查询一番后有了不重启的解决方案。解决方案要求 SNMPv3 设备保留其 engineBoots。一些设备不这样做，这导致它们的 SNMP 消息在重新启动后被丢弃为过时的。在这种情况下，需要在服务器/代理上手动清除 SNMP 缓存（通过使用 -R snmp_cache_reload）或者需要重新启动服务器/代理 . 123zabbix_server -R snmp_cache_reloadzabbix_proxy -R snmp_cache_reload# 清理SNMP缓存定时可以考虑使用crontab定时清理。参考https://www.zabbix.com/documentation/6.0/zh/manual/config/items/itemtypes/snmp https://blog.csdn.net/qq_42906357/article/d...

ELK Stack 安装教程 - 构建日志存储告警系统

介绍“ELK”是三个开源项目的首字母缩写，这三个项目分别是：Elasticsearch、Logstash 和 Kibana。Elasticsearch 是一个搜索和分析引擎。Logstash 是服务器端数据处理管道，能够同时从多个来源采集数据，转换数据，然后将数据发送到诸如 Elasticsearch 等“存储库”中。Kibana 则可以让用户在 Elasticsearch 中使用图形和图表对数据进行可视化。目前最新的名字叫 Elastic Stack 是 ELK Stack 的更新换代产品。（增加了各种Beats）注意：本文章主要用于Syslog类型的日志收集，取消ES的加密访问是为了方便接入frostmourne进行日志告警。 ELK 系列教程：https://songxwn.com/categories/linux/ELK/ 安装环境系统： AlmaLinux 9 （关闭SE Linux） Java：OpenJDK 21 浏览器：Firefox、Chrome、Safari、Edge（使用最新版）软件版本，使用ELK 8.13+ 也适用于其他RHEL8-9版本衍生版系...

Frostmourne (霜之哀伤) ELK日志告警系统部署教程

简介Frostmourne(霜之哀伤)是汽车之家经销商技术部监控系统的开源版本，用于帮助监控几乎所有数据库数据(包括Elasticsearch, Prometheus, SkyWalking, MySql 等等)。如果你已经建立起了日志系统，指标体系，却苦恼于没有一个配套监控系统，也许它能帮到你。支持数据源：Elasticsearch, HTTP, SkyWalking, Prometheus, InfluxDB, MySQL/TiDb, ClickHouse, SqlServer, PING, IotDB, Telnet 支持告警发送方式：钉钉(机器人)、企业微信(机器人)、飞书机器人、OneMessage机器人、Email、短信、HTTP。（text, markdown）支持LDAP认证和自动创建用户。 Elasticsearch数据查询、分享和下载报警消息抑制功能，防止消息轰炸；也有报警升级功能，避免故障相关方长时间得不到通知。 Github地址：https://github.com/AutohomeCorp/frostmourne 环境要求：JAVA8-...

Elasticsearch 安装配置集群系统

介绍本教程客户端API关闭HTTPS认证，但传输使用HTTPS。（为了接入日志监控）主要介绍了ES集群的搭建。ELK单机使用可参考：https://songxwn.com/elk/ Elasticsearch版本：8.x 系统版本：Rocky Linux 8.7 (关闭SE Linux和防火墙) 配置要求：建议4核8G以上，存储空间按照存储的文档大小规划。 Elasticsearch 集群建议至少要有三个节点，两个以上的master节点。本教程也同样适用于也适用于其他RHEL8-9版本衍生版系统：如Centos stream、AlmaLinux等。概念（1）集群（Cluster）： ES可以作为一个独立的单个搜索服务器。不过，为了处理大型数据集，实现容错和高可用性，ES可以运行在许多互相合作的服务器上。这些服务器的集合称为集群。（2）节点（Node）：形成集群的每个服务器称为节点。（3）索引(index): 在 ES 中, 索引是一组文档的集合。（4）分片（shard）当有大量的文档时，由于内存的限制、磁盘处理能力不足、无法足够快的响应客户端的请求等，一个节点可能...

Zabbix SNMP开机时间497天重置问题

简介工作中遇到，网络设备开机时间到了约497天的时候（或者每过497天），Zabbix SNMP获取的时间值就会归零，重新计数，但查看设备状态正常，未重启。原因分析sysUpTimeInstance OID 1.3.6.1.2.1.1.3.0 获取的时间单位为 0.01秒，而此OID为32bit，所以最大只能显示42949672.96秒即497.1天，所以每累计大于此限制，就会重置，导致开机时间获取不正确。 https://oidref.com/1.3.6.1.2.1.1.3.0 解决方法snmpEngineTime OID 1.3.6.1.6.3.10.2.1.3.0 获取的时间单位为秒，也为32bti，但最多可以存储49710 天。足够设备生命周期使用。修改Zabbix SNMP获取时间的方式为上述OID即可，其数据类型为整数。注意：此为SNMP的启动时间，若SNMP进程重启，也会导致时间重置。 https://oidref.com/1.3.6.1.6.3.10.2.1.3 参考https://www.zabbix.com/forum/zabbix-help/47245...

ELK Stack 8 接入ElasticFlow

介绍Netflow v5 / v9 / v10（IPFIX），支持大部分网络厂商及VMware的分布式交换机。 NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图，记录下每个TCP/IP事务的信息。当汇集起来时，它更加易于管理和易读。Netflow由Cisco创造。而IPFIX是Netflow v9的开放标准实现。同NetFlow一样，sFlow是一种向采集器发送报告的推送技术。所不同的是，NetFlow是一种基于软件的技术，而sFlow则采用内置在硬件中的专用芯片，这种做法消除了路由器或交换机的CPU和内存的负担，但也牺牲了灵活性。本教程修改了ElasticFlow 4版本，以支持 Elasticsearch 8 ，还更新了Logstash 7到最新版本，Geo IP/AS地址库到最新版本。已在Elasticsearch 8.13上测试过单机部署教程：https://songxwn.com/elk/ ELK系列文章：https://songxwn.com/categories/linux/ELK/ 注：多谢袖...

Elasticsearch 8.7 白金版激活

介绍本文章讲解了Elasticsearch 8的白金版激活，使用了Docker环境进行自动生成破解文件x-pack-core。仅用于学习使用。仅适用于：Elasticsearch版本：8.7.0 （使用RPM包安装） Java容器版本：JDK19.0.2 环境要求：Rocky Linux8、Docker或Podman。网络要求：需要能正常访问GitHub和Docker HUB（建议全局挂代理）白金版功能：支持LDAP、watcher、支持邮箱发送等。安装教程可参考：https://songxwn.com/elk/ 步骤使用Docker自动生成破解文件123456789101112131415161718192021222324252627282930313233343536yum install wget unzip -y# 安装工具，且确保Docker可用。wget https://github.com/Songxwn/crack-elasticsearch-by-docker/archive/refs/tags/8.7.zipunzip 8.7.zip# 解压tree...