通过本地轮询器采集网络日志
集中式日志记录对于分布式网络环境中的实时监控、故障排除和数据审计至关重要。Site24x7 通过本地轮询器,支持从多台网络设备采集日志。
此设置使您能够接收并监控从不同设备(如防火墙、路由器和交换机)转发到集中式服务器的日志。
此功能目前仅按需启用。请联系我们的支持团队以激活该功能。
工作原理
需要两个层级的配置:
-
服务器级配置:中央服务器上需同时安装本地轮询器和 Site24x7 服务器代理。本地轮询器负责捕获日志并将其写入本地文件,代理随后读取该文件、解析数据,并将其发送到 Site24x7 进行监控。
-
设备级配置:每台设备必须配置为将日志转发到远程服务器的指定端口。
前提条件
要开始接收日志,需在日志接收服务器(Windows 或 Linux)上同时安装本地轮询器和 Site24x7 服务器监控代理。本地轮询器监听指定端口(例如 UDP 514),代理负责处理和转发数据。
Windows 和 Linux 代理均可完成网络日志采集。但在 Windows 上采集网络日志时,必须使用本地轮询器。
请确保两者安装在同一台机器上,以实现无缝的日志摄取和处理。
在网络设备中配置 syslog
以下是在 Cisco 设备上启用 syslog 的示例配置。将 Cisco 交换机配置为将 syslog 消息转发到运行 Site24x7 本地轮询器代理的服务器的指定端口:
-
打开网络日志的命令行界面并开始会话。验证是否已启用特权 EXEC 模式。如未启用,请输入以下命令进入特权 EXEC 模式:
输入以下命令切换到全局配置模式:enable
configure terminal
-
验证是否已启用日志记录。如未启用,请使用以下命令启用:
logging enable
-
输入以下命令,将网络日志配置为向安装了 Site24x7 Linux 服务器监控代理的服务器发送日志消息:
其中,host 是安装了 Site24x7 Linux 服务器监控代理的设备名称或 IP 地址。logging host
-
根据优先级,您可以限制发送的消息。为此,请使用以下命令:
其中,级别可以是 emergencies、alerts、errors、warnings、notifications、informational(默认级别)和 debugging。logging trap level
-
输入以下命令返回特权 EXEC 模式:
end
默认 UDP 端口为 514。您可以在以下操作系统的已配置路径中查看 syslog 消息:
-
-
-
Windows:C:\Program Files(x86)\Site24x7OnPremisePoller\syslogs\*\*
-
Linux: /opt/Site24x7OnPremisePoller/syslogs/*/*
-
-
添加日志类型
设置完成后,在 Site24x7 中定义一个自定义日志类型,以正确解析和解释日志。以下是来自防火墙的示例日志条目:
2025-01-12T00:00:02+05:30 zylker 1,2025/01/12 00:00:02,019901005075,TRAFFIC,end,2817,2025/01/12 00:00:02,192.168.1.10,10.0.0.25,0.0.0.0,0.0.0.0,WAN_to_WAN,,,incomplete,vsys2,WAN ZONE VSYS2,WAN ZONE VSYS2,ae9.382,ae9.382,Log_Profile_VSYS2,2025/01/12 00:00:02,545677478,1,59049,8088,0,0,0x400c,tcp,allow,64,64,0,1,2025/01/11 23:58:25,0,any,,7434000683263814095,0x0,Palo Alto,California,,1,0,aged-out,0,0,0,0,,LTKNP1MR1EGFW01,from-policy,,,0,,0,,N/A,0,0,0,0,a9bc0841-ce89-4401-b560-157301d29dab,0,0,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,,2025-01-12T00:00:02.804+05:30,,,unknown,unknown,unknown,1,,,incomplete,no,no,0,NonProxyTraffic
日志模式
$DateTime:date:yyyy-MM-ddTHH:mm:ssX$ $HostName$ $Domain$,$ReceiveTime$,$SerialNumber$,$Type$,$ThreatType$,$ConfigVersion$,$GenerateTime$,$SourceAddress$,$DestinationAddress$,$NATSourceIP$,$NATDestinationIP$,$Rule$,$SourceUser$,$DestinationUser$,$Application$,$VirtualSystem$,$SourceZone$,$DestinationZone$,$InboundInterface$,$OutboundInterface$,$LogAction$,$TimeLogged$,$SessionID$,$RepeatCount$,$SourcePort$,$DestinationPort$,$NATSourcePort$,$NATDestinationPort$,$Flags$,$IPProtocol$,$Action$,$Bytes$,$BytesSent$,$BytesReceived$,$Packets$,$StartTime$,$ElapsedTime$,$URLCategory$,$Padding$,$seqno$,$actionflags$,$SourceCountry$,$DestinationCountry$,$cpadding$,$pktsSent$,$pktsReceived$,$SessionEndReason$,$Message$
添加日志类型时
-
将您的网络设备日志详情添加到示例日志中。
-
定义相关字段,如时间戳、主机名、源 IP、目标 IP、操作和接口。
-
使用设备的实际日志验证格式。
添加日志配置文件
在 Site24x7 中创建一个日志配置文件,将本地轮询器输出文件与解析逻辑关联。导航至管理 > AppLogs > 日志配置文件(+)。此配置文件定义:
-
本地轮询器写入日志文件的路径。
示例:-
Windows:
C:\Program Files (x86)\Site24x7OnPremisePoller\syslogs\
-
Linux:
/opt/Site24x7OnPremisePoller/syslogs/*/*
-
如果配置了多种网络设备类型,请在日志配置文件页面中将 * 替换为相应的设备 IP。
-
日志类型(即您从上述步骤创建的日志类型)及关联的日志类型。
示例:Zylker network logs -
安装了代理的服务器。
示例:zylker-poller-host
通过使用 Site24x7 的本地轮询器进行日志摄取,企业可以集中多台设备的日志数据、保持实时可见性,并主动监控网络活动。本地轮询器、代理、自定义日志类型和日志配置文件的组合设置,确保了日志的无缝采集、解析和传输到 Site24x7 以供进一步分析。