Ci-dessous, les différences entre deux révisions de la page.
Les deux révisions précédentes Révision précédente Prochaine révision | Révision précédente | ||
wiki:monitoring:elk:logstash [2015/11/15 02:22] Thithib |
wiki:monitoring:elk:logstash [2020/06/27 18:16] (Version actuelle) |
||
---|---|---|---|
Ligne 3: | Ligne 3: | ||
===== Pourquoi ? ===== | ===== Pourquoi ? ===== | ||
- | [[http:// | + | [[http:// |
La sortie formatée est ensuite envoyée au cluster Elasticsearch afin d' | La sortie formatée est ensuite envoyée au cluster Elasticsearch afin d' | ||
Ligne 11: | Ligne 11: | ||
===== Comment ? ===== | ===== Comment ? ===== | ||
- | ==== Architecture ==== | + | ==== Architecture |
Pour chaque machine un serveur syslog (rsyslog ou syslog-ng) surveille les fichiers journaux. | Pour chaque machine un serveur syslog (rsyslog ou syslog-ng) surveille les fichiers journaux. | ||
- | Chaque nouveau message est ainsi transféré vers le serveur Logstash | + | Chaque nouveau message est ainsi transféré vers le serveur Logstash, où il est analysé et formaté avant d' |
+ | |||
+ | ==== Architecture snmp ==== | ||
+ | |||
+ | Chaque WLC est configuré pour envoyer des traps SNMP sur logstash. Le niveau de verbosité de ces traps est configuré au niveau du WLC. Ces traps sont variés et contiennent une grande richesse d' | ||
==== Configuration ==== | ==== Configuration ==== | ||
Ligne 50: | Ligne 55: | ||
A noter que les deux points ":" | A noter que les deux points ":" | ||
- | Puis pour tout envoyer vers le container Logstash sur le port 5140 en TCP : | + | Puis pour tout envoyer vers le container Logstash sur le port 514 en UDP : |
< | < | ||
- | *.* @logstash:5140 | + | *.* @logstash.priv.minet.net:514 |
</ | </ | ||
- | |||
- | <WRAP center round info > | ||
- | On utilisait avant le port standard 514 mais le service logstash drop maintenant les privilèges et ne peut donc plus s'y binder. | ||
- | </ | ||
=== logstash === | === logstash === | ||
- | Le fichier | + | Les fichiers |
- | Il est composé | + | Les différents fichiers décrivent les étapes |
- | | + | On note principalement trois sections : |
+ | |||
+ | | ||
< | < | ||
- | tcp { | ||
- | type => syslog | ||
- | port => 5140 | ||
- | } | ||
udp { | udp { | ||
- | type => syslog | + | type => udp |
- | port => 5140 | + | port => 514 |
} | } | ||
</ | </ | ||
- | * La section | + | * Les sections |
< | < | ||
Ligne 91: | Ligne 90: | ||
Ensuite, on écrit les bons patterns pour matcher les logs radius, DHCP, etc. | Ensuite, on écrit les bons patterns pour matcher les logs radius, DHCP, etc. | ||
- | * La section '' | + | * La section '' |
< | < | ||
output { | output { | ||
elasticsearch { | elasticsearch { | ||
- | hosts => [' | + | hosts => [' |
template_overwrite => true | template_overwrite => true | ||
} | } | ||
} | } | ||
</ | </ | ||
+ | |||
+ | ==== Configuration snmp ==== | ||
+ | |||
+ | === WLC === | ||
+ | |||
+ | La configuration des traps SNMP peut se faire en SSH sur le WLC ou en cliclic sur l' | ||
+ | |||
+ | === logstash === | ||
+ | |||
+ | On utilise le plugin snmptrap pour configurer une entrée de type SNMP trap dans '' | ||
+ | |||
+ | < | ||
+ | snmptrap { | ||
+ | yamlmibdir => "/ | ||
+ | type => " | ||
+ | community => " | ||
+ | host => " | ||
+ | port => " | ||
+ | type => " | ||
+ | tags => [" | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Le rôle de la ligne de configuration '' | ||
+ | |||
+ | On ajoute ensuite une série de filtres pour parser unifier les différentes clés et les rendre "plus jolies" | ||
+ | |||
+ | < | ||
+ | ruby { | ||
+ | code => " | ||
+ | begin | ||
+ | keys = event.to_hash.keys | ||
+ | keys.each{|key| | ||
+ | if ( key =~ / | ||
+ | |||
+ | newkey = key.gsub(/ | ||
+ | event.set(newkey, | ||
+ | if ( newkey =~ / | ||
+ | event.set(newkey, | ||
+ | end | ||
+ | |||
+ | end | ||
+ | } | ||
+ | |||
+ | rescue Exception => e | ||
+ | event.set(' | ||
+ | end | ||
+ | " | ||
+ | } | ||
+ | </ | ||
+ | |||
+ | Le plugin SNMP renvoie les MACs en ASCII et pas en hexa, ce qui rend à la base leur lecture particulièrement désagréable. Ce petit bout de ruby permet de corriger ça. | ||
+ | |||
+ | <WRAP center round important 90%> | ||
+ | **Note :** Il faut installer le plugin '' | ||
+ | </ | ||
+ | |||
+ | == Retour sur yamlmibdir == | ||
+ | |||
+ | Comme vous le savez sans doute, le SNMP fonctionne par OID qui ont la forme suivante : '' | ||
+ | |||
+ | Ces MIBs doivent être téléchargés et " | ||
+ | Pour celà, on télécharge les MIBs nécessaires ainsi que leurs dépendances dans le dossier ''/ | ||
+ | |||
+ | <wrap lo>Les MIBs Cisco sont disponibles sur leur site, les non-Cisco peuvent être trouvés sur [[http:// | ||
+ | |||
+ | Le chemin de base pour " | ||
+ | |||
+ | <wrap lo>Notez que l' | ||
+ | |||
+ | |||
+ | Si tout se passe bien, les mibs sont générés en YAML dans ''/ | ||
Comme pour les autres composants de la [[: | Comme pour les autres composants de la [[: |