ELK+Zabbix+TimesacleDB+Grafana 搭建(下)

vim /etc/zabbix/zabbix_proxy.conf

開啟主動(dòng)模式

ProxyMode=0

zabbix-server端IP

Server=10.206.230.146

zabbix-server端口

ServerPort=10051

填寫本機(jī)的主機(jī)名稱或者ip，在zabbix?web添加保持一致

Hostname=10.217.37.188

#HostnameItem=10.217.37.188

proxy端監(jiān)聽端口，也就是proxy對server訪問用的端口

ListenPort=10051

代理使用本地的數(shù)據(jù)庫進(jìn)行存儲(chǔ)

DBHost=10.217.37.188

DBName=zabbix_proxy

DBUser=zabbix_proxy

DBPassword=xxxx

DBPort=3306

ProxyLocalBuffer數(shù)據(jù)保留的時(shí)間，小時(shí)為單位

ProxyLocalBuffer=12

ProxyOfflineBuffer連不上Server數(shù)據(jù)要保留多久，小時(shí)為單位

ProxyOfflineBuffer=1

預(yù)分配子進(jìn)程數(shù)量。數(shù)量越多服務(wù)端吞吐能力越強(qiáng)，系統(tǒng)資源消耗越大，zabbix proxy的進(jìn)程數(shù)server端拉取agent端的items

StartPollers=500

系統(tǒng)初始化時(shí)，預(yù)分配的使用ipmi協(xié)議獲取主機(jī)硬件狀態(tài)的進(jìn)程數(shù)量。StartIPMIPollers=10

預(yù)處理程序啟動(dòng)數(shù)目

StartPreprocessors=3

對不可達(dá)主機(jī)拉取數(shù)據(jù)

StartPollersUnreachable=20

陷阱機(jī)制，即對于中途加入的主機(jī)主動(dòng)發(fā)送的數(shù)據(jù)進(jìn)行保存

StartTrappers=15

使用ICMP協(xié)議的ping對網(wǎng)絡(luò)中主機(jī)進(jìn)行在線狀態(tài)檢測

StartPingers=20

對網(wǎng)絡(luò)中的主機(jī)主動(dòng)掃描發(fā)現(xiàn)，對中途加入的主機(jī)進(jìn)行上線。注意：主動(dòng)發(fā)現(xiàn)很消耗帶寬系統(tǒng)初始化時(shí)，預(yù)分配的自動(dòng)發(fā)現(xiàn)主機(jī)的線程數(shù)量。若單臺(tái)代理所管理機(jī)器超過500臺(tái)，可以考慮加大此數(shù)值（僅適用于AGENT場景）

StartDiscoverers=50

分配多少共享內(nèi)存用于存儲(chǔ)配置信息，HOST,ITEM,TRIGGER數(shù)據(jù)，視監(jiān)控主機(jī)數(shù)量和監(jiān)控項(xiàng)調(diào)整，因?yàn)榇砗蛿?shù)據(jù)庫在一臺(tái)設(shè)備上，數(shù)據(jù)庫配置了6G，總內(nèi)存8G

CacheSize=4G

數(shù)據(jù)庫同步實(shí)例數(shù)將采集數(shù)據(jù)從CACHE同步到數(shù)據(jù)庫線程數(shù)量，視數(shù)據(jù)庫服務(wù)器I/O繁忙情況，和數(shù)據(jù)庫寫能力調(diào)整。數(shù)值越大，寫能力越強(qiáng)。對數(shù)據(jù)庫服務(wù)器I/O壓力越大

StartDBSyncers=10

設(shè)置劃分多少共享內(nèi)存用于存儲(chǔ)采集的歷史數(shù)據(jù)，此數(shù)值越大，數(shù)據(jù)庫讀壓力越小HistoryCacheSize=512M

歷史數(shù)據(jù)索引緩存

HistoryIndexCacheSize=128M

與AGNET、SNMP設(shè)備和其它外部設(shè)備通信超時(shí)設(shè)置，單位為秒；若采集數(shù)據(jù)不完整或網(wǎng)絡(luò)繁忙，或從管理頁面發(fā)現(xiàn)客戶端狀態(tài)變化頻繁，可以考慮加大此數(shù)值。

Timeout=30

定義主機(jī)不可達(dá)的超時(shí)時(shí)間

UnreachablePeriod=180

在主機(jī)不可用期間，定期檢查主機(jī)的時(shí)間

UnavailableDelay=60

zabbix proxy從zabbix server取得配置數(shù)據(jù)的頻率

ConfigFrequency=3600

代理將每N秒將收集的數(shù)據(jù)發(fā)送到服務(wù)器。 對于被動(dòng)模式下的代理，該參數(shù)將被忽略

DataSenderFrequency=1

systemctl restart zabbix-proxy

vim /etc/zabbix/zabbix_agentd.conf

填寫zabbix-proxy的IP

Server=10.217.37.188

ServerActive是指定Agentd收集的數(shù)據(jù)往哪里發(fā)送，發(fā)送到本機(jī)的代理

ServerActive=10.217.37.188

ListenPort=10050

Hostname=10.217.37.188

#HostnameItem=10.217.37.188

是否使用自定義腳本監(jiān)控1是開啟

UnsafeUserParameters=1

systemctl restart zabbix-agent.service

systemctl enable zabbix-agent.service

五.?zabbix web配置

http://10.206.230.146/zabbix/

默認(rèn)用戶名 Admin??默認(rèn)密碼 zabbix

因?yàn)槭褂脮r(shí)序數(shù)據(jù)庫進(jìn)行了分區(qū)，數(shù)據(jù)庫定期清理數(shù)據(jù)，關(guān)閉zabbix提供的

給代理服務(wù)器創(chuàng)建個(gè)組進(jìn)行一些監(jiān)控

Zabbix有自帶的模板，把剛創(chuàng)建的組進(jìn)行綁定，也可以自己定義

添加proxy

六.添加Zabbix監(jiān)控

首先添加主機(jī)群組，為了日后主機(jī)更好的分類

主機(jī)群組—?jiǎng)?chuàng)建主機(jī)群組—填寫名稱

這里先介紹宏和正則表達(dá)式是因?yàn)槲覀兒罄m(xù)創(chuàng)建模板的時(shí)候需要使用，進(jìn)行過濾和引用

管理---一般---宏

添加了snmp的團(tuán)體變量{$SNMP_COMMUNITY} 賦值讀的團(tuán)體

{$IF.UTIL.MAX}變量是用來帶寬告警設(shè)置的閾值，我們這里配置的60，也就是接口帶寬超過百分之60就告警

管理---一般---正則表達(dá)式

這里是過濾交換機(jī)的接口類型使用的，因?yàn)楸O(jiān)控交換機(jī)接口會(huì)發(fā)現(xiàn)非常多，但是我只需要物理接口的.

配置---模板??創(chuàng)建名稱和添加主機(jī)群組

這里展示的是模板單獨(dú)的宏和調(diào)用全局的宏變量

下圖是我們添加icmp的連通性 丟包率 延遲

ICMP丟包率添加

ICMP延遲添加，默認(rèn)單位是秒，我們這里改成ms，更新時(shí)間改為30s，進(jìn)程增加自動(dòng)變量1000，這樣我們在圖形展示的時(shí)候就會(huì)看到ms為單位的抖動(dòng)情況

觸發(fā)器使用了zabbix自帶的

因?yàn)榫W(wǎng)絡(luò)里有太多的網(wǎng)絡(luò)設(shè)備，我們沒有必要對全部的接口進(jìn)行監(jiān)控，我們更關(guān)心的是網(wǎng)絡(luò)設(shè)備之前互聯(lián)的接口，對于數(shù)據(jù)中心的交換機(jī)，網(wǎng)絡(luò)模型非常標(biāo)準(zhǔn)，我們可以根據(jù)接口名稱過濾，或者通過lldp的方式進(jìn)行過濾,但是園區(qū)網(wǎng)不標(biāo)準(zhǔn)，我的網(wǎng)絡(luò)里認(rèn)為所有的trunk口就是網(wǎng)絡(luò)設(shè)備互聯(lián)接口.下面的示例是對trunk口進(jìn)行添加流量監(jiān)控

這里非常重要的是鍵值，我定義了一個(gè)變量trunk，1.3.6.1.4.1.25506.8.35.5.1.3.1.1用來識(shí)別是否為trunk口，這個(gè)oid是個(gè)私有屬性，我們后續(xù)要給zabbix加mib庫

discovery[{#IFOPERSTATUS},1.3.6.1.2.1.2.2.1.8,{#IFADMINSTATUS},1.3.6.1.2.1.2.2.1.7,{#IFNAME},1.3.6.1.2.1.2.2.1.2,{#IFDESCR},1.3.6.1.2.1.2.2.1.2,{#IFTYPE},1.3.6.1.2.1.2.2.1.3,{#TRUNK},1.3.6.1.4.1.25506.8.35.5.1.3.1.1]

過濾器，我監(jiān)控H3C物理接口

添加接口流量，鍵值的變量使用trunk，因?yàn)槲抑槐O(jiān)控trunk口流量，oid使用默認(rèn)即可，在新的應(yīng)用集加上Liuliang這個(gè)名稱，這是為了單獨(dú)把接口流量獨(dú)立成一個(gè)應(yīng)用集,圖形展示的時(shí)候方便。監(jiān)控接口流量的oid必須用64位的，32位的超過4G會(huì)出現(xiàn)圖像斷層

到H3C官網(wǎng)下載mib庫文件解壓，里面有.txt文件

把文件導(dǎo)入到zabbix-server的cd /usr/share/snmp/mibs目錄下

重啟zabbix-server進(jìn)程

systemctl restart zabbix-server

這個(gè)案例的動(dòng)作沒有自動(dòng)加模板，因?yàn)槟壳肮P者的模板做的并不是很好，所以省去著一步，筆者目前會(huì)根據(jù)不同的型號(hào)，不同的區(qū)域，不同的角色來手工批量加模板

一共兩個(gè)方式：一共是使用公司的smtp，一個(gè)是需要自己搭建smtp，我們這里只介紹使用公司已有的.SMTP HELO一般是根域名，寫成和SMTP服務(wù)器一樣就行

我們這里使用一個(gè)第三方的工具expect結(jié)合shell使用

安裝交互式工具

yum install expect

創(chuàng)建備份目錄switchbackup 賦予權(quán)限

mkdir –p var/lib/switchbackup/

chmod?777?var/lib/switchbackup/

下面是shell腳本調(diào)用expect工具，進(jìn)行配置備份

添加linux腳本的定時(shí)任務(wù)，每天夜里22點(diǎn)30分開始執(zhí)行

cd?/var/lib/switchbackup

根據(jù)實(shí)際情況填寫

vim?crontab-Backup-Switch.txt

#backup-Switch

30 22 * * * /var/lib/switchbackup/backup.sh

新創(chuàng)建的定時(shí)任務(wù)生效，查看定時(shí)任務(wù)，保證服務(wù)器重啟后任務(wù)可以自動(dòng)啟動(dòng)

crontab crontab-Backup-Switch.txt

crontab -l

systemctl start crond.service

systemctl enable crond.service

service?crond?status

linux登錄一些設(shè)備報(bào)錯(cuò)，因?yàn)榻粨Q機(jī)是server,openssh版本太老了，Linux驗(yàn)證不進(jìn)行支持了

老版本交換機(jī)開啟sshv1

h3c交換機(jī)命令

ssh server compatible-ssh1x enable

修改linux?client配置文件，支持sshv1

vim /etc/ssh/ssh_config

rm -rf ./root/.ssh/known_hosts

七.Grafana平臺(tái)安裝進(jìn)行展示

wget https://dl.grafana.com/oss/release/grafana-6.2.1-1.x86_64.rpm

yum localinstall grafana-6.2.1-1.x86_64.rpm -y

systemctl enable grafana-server

systemctl start grafana-server

grafana-cli plugins install alexanderzobnin-zabbix-app

systemctl restart grafana-server

http://10.206.230.146:3000/login

默認(rèn)用戶名密碼 admin?admin??需要先進(jìn)行修改

點(diǎn)擊進(jìn)行enable

增加數(shù)據(jù)源zabbix，Trends必須勾選讀取歷史數(shù)據(jù)可以加速

八.維護(hù)

yum -y install net-snmp-utils

snmpwalk -v 2c -c 團(tuán)體?OID

失敗查看日志

tail -f /var/log/zabbix/zabbix_server.log

tail -f /var/log/zabbix/zabbix_proxy.log

tail -f /var/log/zabbix/zabbix_agentd.log

修改配置文件

vim /etc/zabbix/zabbix_agentd.conf

systemctl restart zabbix-agentd.

vim /etc/zabbix/zabbix_server.conf

systemctl restart zabbix-server

vim /etc/zabbix/zabbix_proxy.conf

systemctl restart zabbix-proxy

ELK系統(tǒng)搭建

Elasticsearch 是個(gè)開源分布式搜索引擎，提供搜集、分析、存儲(chǔ)數(shù)據(jù)三大功能。它的特點(diǎn)有：分布式，零配置，自動(dòng)發(fā)現(xiàn)，索引自動(dòng)分片，索引副本機(jī)制，restful風(fēng)格接口，多數(shù)據(jù)源，自動(dòng)搜索負(fù)載等。詳細(xì)可參考Elasticsearch權(quán)威指南

Kibana 也是一個(gè)開源和免費(fèi)的工具，Kibana可以為 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面，可以幫助匯總、分析和搜索重要數(shù)據(jù)日志。

Beats在這里是一個(gè)輕量級(jí)日志采集器，其實(shí)Beats家族有6個(gè)成員，早期的ELK架構(gòu)中使用Logstash收集、解析日志，但是Logstash對內(nèi)存、cpu、io等資源消耗比較高。

一．ELK集群安裝

服務(wù)器使用4核16G內(nèi)存500G硬盤Centos?7??ELK 7.3.0，這個(gè)版本有破解的白金會(huì)員

可以使用全功能的ELK.

ELK7.4.0版本logstash不支持netflow了，必須用filebeat，但是filebeat對asa的日志識(shí)別異常，官網(wǎng)提示產(chǎn)品bug

我們這次使用到的集群是兩臺(tái)設(shè)備，要先搞集群，之后每臺(tái)node點(diǎn)都要破解x-pack，在主節(jié)點(diǎn)進(jìn)行x-pack設(shè)置會(huì)自動(dòng)同步到其他節(jié)點(diǎn)

關(guān)閉火墻并增加實(shí)體數(shù)為655360

vim /etc/sysctl.conf

SELINUX=disable

vm.max_map_count=655360

安裝jave8??jdk1.8版本

yum?install?–y?jdk

查看java進(jìn)程

jps

安裝elasticsearch kibana?logstash?7.3.2到中文社區(qū)下載rpm包

https://elasticsearch.cn/download/

cd?var/lib

mkdir elk

cd elk

rpm –hiv elasticsearch-7.3.2-x86_64.rpm

rpm –hiv kibana-7.3.2-x86_64.rpm

rpm –hiv logstash-7.3.2.rpm

rpm?–hiv?filebeat-7.3.2-x86_64.rpm

安裝完成后進(jìn)行兩臺(tái)elasticsearch配置文件修改，內(nèi)容基本相同，設(shè)置參數(shù)如下：

vim /etc/elasticsearch/elasticsearch.yml

同一個(gè)集群的集群名稱必須一致

cluster.name: ELK

集群成員的名稱

node.name: ELK-1

配置是否可以競選master設(shè)備

node.master: true

配置是否可以作為數(shù)據(jù)節(jié)點(diǎn)

node.data: true

配置數(shù)據(jù)存儲(chǔ)路徑

path.data: /var/lib/elasticsearch

配置日志存儲(chǔ)路徑

path.logs: /var/log/elasticsearch

配置監(jiān)聽IP為本機(jī)所有IP

network.host: 0.0.0.0

配置監(jiān)聽端口號(hào)

http.port: 9200

配置單播方式進(jìn)行集群

discovery.zen.ping.unicast.hosts: ["10.143.202.79:9300", "10.174.221.227:9300"]

需要最少幾臺(tái)設(shè)備同意該設(shè)備為master節(jié)點(diǎn)

cluster.initial_master_nodes: ["10.143.202.79","10.174.221.227"]

配置允許跨域，當(dāng)有多個(gè)集群需要互通的時(shí)候，允許跨域訪問

http.cors.enabled: true

http.cors.allow-origin: "*"

控制集群在達(dá)到多少個(gè)節(jié)點(diǎn)之后才會(huì)開始數(shù)據(jù)恢復(fù),通過這個(gè)設(shè)置可以避免集群自動(dòng)相互發(fā)現(xiàn)的初期,shard分片不全的問題,假如es集群內(nèi)一共有5個(gè)節(jié)點(diǎn),就可以設(shè)置為5,那么這個(gè)集群必須有5個(gè)節(jié)點(diǎn)啟動(dòng)后才會(huì)開始數(shù)據(jù)分片,如果設(shè)置為3,就有可能另外兩個(gè)節(jié)點(diǎn)沒存儲(chǔ)數(shù)據(jù)分片

gateway.recover_after_nodes: 2

這個(gè)設(shè)置使刪除只限于特定名稱指向的數(shù)據(jù)，而不允許通過指定 _all 或通配符來刪除指定索引庫

action.destructive_requires_name: true

因?yàn)橐平鈞pack，所以我們先關(guān)閉xpack安全功能

xpack.security.enabled: false

xpack.security.transport.ssl.enabled: false

啟動(dòng)elasticsearch

systemctl start elasticsearch

systemctl enable?elasticsearch

驗(yàn)證啟動(dòng)成功

curl -X GET "10.143.202.79:9200"

curl -X GET "10.174.221.227:9200"

安裝調(diào)試插件，在chrome擴(kuò)展插件中直接拖拽安裝

星號(hào)代表Master

二．ELK白金會(huì)員破解使用x-pack全功能

停止兩臺(tái)node的elasticsearch程序，分別開始破解x-pack插件，下面的操作完全一致

systemctl stop elasticsearch

找到x-pack-core-7.3.0.jar路徑

/usr/share/elasticsearch/modules/x-pack-core/x-pack-core-7.3.0.jar

找個(gè)路徑創(chuàng)建一個(gè)文件夾，我這里找的下面的路徑，文件夾名字我起的xpack

/var/lib/elk/xpack

復(fù)制x-pack-core-7.3.0.jar到/var/lib/elk/xpack

cp x-pack-core-7.3.0.jar /var/lib/elk/xpack

在/var/lib/elk/xpack解壓縮?x-pack并刪除

jar -xvf x-pack-core-7.3.0.jar

rm -rf x-pack-core-7.3.0.jar

用已經(jīng)破解好的文件，并覆蓋到原文件

LicenseVerifier.class 路徑在 /org/elasticsearch/license/LicenseVerifier.class

XPackBuild.class 路徑在 /org/elasticsearch/xpack/core/XPackBuild.class

/var/lib/elk/xpack目錄下重新打包x-pack

jar cvf x-pack-core-7.3.0.jar *

用新生成的x-pack覆蓋源路徑下的文件

原路徑 /usr/share/elasticsearch/modules/x-pack-core/x-pack-core-7.3.0.jar

啟動(dòng)elasticsearch

systemctl start?elasticsearch

在cd var/lib/elk/xpack/目錄下上傳破解后的license，并在當(dāng)前目錄進(jìn)行導(dǎo)入，密碼不用寫

出現(xiàn)true就是破解成功

curl -XPUT -u elastic 'http://127.0.0.1:9200/_xpack/license' -H "Content-Type: application/json" -d @license.json

查看破解后的license

curl -XGET -u elastic:tWbWZc7NE3wYqS6DvSu4 http://127.0.0.1:9200/_license

三．ELK開啟安全防護(hù)

使用SSL證書，使ES內(nèi)部交互更加安全，在master節(jié)點(diǎn)生成證書，停止全部node

Systemctl?stop?elasticsearch

cd /usr/share/elasticsearch/

文件目錄下執(zhí)行，創(chuàng)建ca證書，第一個(gè)回車，第二個(gè)設(shè)置密碼123456

bin/elasticsearch-certutil ca

文件目錄下執(zhí)行，創(chuàng)建客戶端證書，第一個(gè)密碼123456，第二個(gè)回車，第三個(gè)設(shè)置密碼123456

bin/elasticsearch-certutil cert --ca elastic-stack-ca.p12

執(zhí)行下面命令并輸入第一步輸入的密碼123456

bin/elasticsearch-keystore add xpack.security.transport.ssl.keystore.secure_password

執(zhí)行下面命令并輸入第一步輸入的密碼123456

bin/elasticsearch-keystore add xpack.security.transport.ssl.truststore.secure_password

將生成的elastic-certificates.p12和elastic-stack-ca.p12放在master節(jié)點(diǎn)的/etc/elasticsearch目錄下

把master節(jié)點(diǎn)的/etc/elasticsearch目錄下的elastic-certificates.p12和elastic-stack-ca.p12和elasticsearch.keystore傳遞到其他node的/etc/elasticsearch下

所有node的elasticsearch.yml修改，最后重啟

xpack.security.enabled: true

xpack.security.transport.ssl.enabled: true

xpack.security.transport.ssl.verification_mode: certificate

xpack.security.transport.ssl.keystore.path: /etc/elasticsearch/elastic-certificates.p12

xpack.security.transport.ssl.truststore.path: /etc/elasticsearch/elastic-certificates.p12

systemctl restart elasticsearch

所有node完成集群后，在master上配置用戶密碼,我設(shè)置的都一樣123456

cd /usr/share/elasticsearch/

./bin/elasticsearch-setup-passwords interactive

修改kibana配置文件

vim?/etc/kibana/kibana.yml

server.port: 5601

server.host: "0.0.0.0"

elasticsearch.hosts: ["http://10.143.202.79:9200"]

elasticsearch.username: "elastic"

elasticsearch.password: "123456"

systemctl start kibana

systemctl enable kibana

systemctl status kibana

netstat -nltp|grep 5601

四.???ELK syslog分析

因?yàn)橐占痵yslog，開啟udp514監(jiān)控并創(chuàng)建elasticsearch索引

配置里我們對h3c cisco junier的日志進(jìn)行格式標(biāo)準(zhǔn)化和分級(jí)

創(chuàng)建/etc/logstash/syslog/conf.d目錄，修改pipelines.yml配置

cd?/etc/logstash

修改logstash啟動(dòng)賬戶為root，默認(rèn)賬戶是logstash，因?yàn)閡dp514用默認(rèn)賬戶無法開啟

vim /etc/systemd/system/logstash.service

User=root

Group=root

配置本地服務(wù)器的日志吐到logstash上測試

vim etc/rsyslog.conf

*.* @@10.143.202.79:514

systemctl restart rsyslog

配置后臺(tái)運(yùn)行

nohup /usr/share/logstash/bin/logstash --path.settings /etc/logstash/ -f /etc/logstash/conf.d/syslog-network.conf &

驗(yàn)證logstash的syslog的索引是否在elasticsearch生效

curl

http://10.143.202.79:9200/_cat/indices

刪除索引的命令，不用操作

curl -XDELETE 'http://10.143.202.79:9200/syslog-2020.03.15'

五．ELK?sflow大數(shù)據(jù)分析

我們使用sflowtool進(jìn)行sflow轉(zhuǎn)換轉(zhuǎn)成netflow，之后用logstash進(jìn)行調(diào)用

/var/lib/elk

mkdir?sflowtool

cd?sflowtool

yum whatprovides autoconf automake

yum install?automake

yum?install?git

git clone https://github.com/sflow/sflowtool

cd sflowtool/

./boot.sh

./configure

make

sudo make install

cd?/var/lib/elk/sflowtool/sflowtool/src

nohup?./sflowtool -p 6543 -c 10.143.202.79 -d 6542 -S &

tcpdump ?-i lo port 6542

設(shè)置java的內(nèi)存，ElastiFlow利用了許多Logstash插件中可用的緩存和排隊(duì)功能

cd etc/logstash/

vim jvm.options

-Xms4g

-Xmx4g

安裝logstash插件

/usr/share/logstash/bin/logstash-plugin install logstash-codec-sflow

/usr/share/logstash/bin/logstash-plugin install logstash-codec-netflow

/usr/share/logstash/bin/logstash-plugin install logstash-input-udp

/usr/share/logstash/bin/logstash-plugin install logstash-input-tcp

/usr/share/logstash/bin/logstash-plugin install logstash-filter-dns

創(chuàng)建/etc/logstash/netflow/conf.d目錄，修改pipelines.yml配置

cd?/etc/logstash

下面基于ELK6.7.2是第三方插件SFLOW的安裝方法

下載elastiflow3.4.2版本和ELK的6.7.2對應(yīng)

https://github.com/robcowart/elastiflow

unzip?elastiflow-master.zip

cd?/etc/logstash/elastiflow-master/logstash

cp -a elastiflow/ /etc/logstash/

配置環(huán)境變量，沒用的選項(xiàng)都注釋掉，保留全局配置和netflow配置，注意修改監(jiān)聽端口號(hào)

cp -a /etc/logstash/elastiflow-master/logstash.service.d /etc/systemd/system

cd?/etc/systemd/system/logstash.service.d

vim elastiflow.conf

請記住，要使更改生效，必須發(fā)出systemctl daemon-reload命令

啟動(dòng)日志判斷是否正常

cd /var/log/logstash/

六．ELK?Grafana監(jiān)控ES sflow

如果grafana要訪問ES需要在elasticsearch.yml增加允許.

http.cors.enabled: true

http.cors.allow-origin: "*"

當(dāng)grafana需要讀取大量數(shù)據(jù)的時(shí)候，elasticsearch有個(gè)聚合查詢限制默認(rèn)是10000，超過1wElasticsearch就會(huì)掛死，在elasticsearch.yml增加聚合桶，（這個(gè)參數(shù)對后面監(jiān)控有作用）

search.max_buckets: 50000

在grafana添加數(shù)據(jù)源

添加篩選項(xiàng)，過濾sflow的交換機(jī)

附件： ELK+Zabbix+TimesacleDB+Grafana.docx 4.53MB 下載次數(shù)：7次

Zabbix 數(shù)據(jù)庫

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。

版權(quán)聲明：本文內(nèi)容由網(wǎng)絡(luò)用戶投稿，版權(quán)歸原作者所有，本站不擁有其著作權(quán)，亦不承擔(dān)相應(yīng)法律責(zé)任。如果您發(fā)現(xiàn)本站中有涉嫌抄襲或描述失實(shí)的內(nèi)容，請聯(lián)系我們jiasou666@gmail.com 處理，核實(shí)后本網(wǎng)站將在24小時(shí)內(nèi)刪除侵權(quán)內(nèi)容。