logstash input有SNMP插件,利用logstash定时从网络设备中获取IP/MAC地址信息,存入elasticsearch,然后利用kibana实现基本查询和可视化。
每个间隔周期获取全部IP/MAC地址信息。
与ARP表类似的SNMP信息的位置在:ipNetToMediaTable(.1.3.6.1.2.1.4.22)( IP-MIB)
与MAC地址表相似的SNMP信息位置在:dot1dTpFdbTable(.1.3.6.1.2.1.17.4.3)( BRIDGE-MIB)
这两个table直接抓就可以获得全部IP、MAC地址信息了,但是对应的port不是直接端口描述,为了日后方便使用就需要准备好端口IP到端口描述的转换。
dot1dTpFdbTable(.1.3.6.1.2.1.17.4.3):
dot1dTpFdbPort(.1.3.6.1.2.1.17.4.3.1.2):对应的是dot1dBasePortTable(.1.3.6.1.2.1.17.1.4)下面的dot1dBasePort(.1.3.6.1.2.1.17.1.4.1.1)
dot1dBasePortTable表中有dot1dBasePortIfIndex(.1.3.6.1.2.1.17.1.4.1.2),对应的是ifTable(.1.3.6.1.2.1.2.2)下面的ifIndex(.1.3.6.1.2.1.2.2.1.1),ifTable下有端口描述ifDescr(.1.3.6.1.2.1.2.2.1.2)
ipNetToMediaTable(.1.3.6.1.2.1.4.22):
ipNetToMediaIfIndex(.1.3.6.1.2.1.4.22.1.1)对应的是ifTable(.1.3.6.1.2.1.2.2)下面的ifIndex(.1.3.6.1.2.1.2.2.1.1),ifTable下有端口描述ifDescr(.1.3.6.1.2.1.2.2.1.2)
这是获取ifindex表的logstash配置:短时间内运行一次相当于初始化就可以了
input {
snmp {
hosts => [{host => "udp:192.168.0.249/161" community => "public"},
{host => "udp:192.168.20.253/161" community => "public"},
{host => "udp:192.168.12.253/161" community => "public"},
{host => "udp:192.168.0.241/161" community => "public"}
]
tables => [{"name"=> "iftable" "columns"=> ["1.3.6.1.2.1.2.2.1.1","1.3.6.1.2.1.2.2.1.2"]}]
}
#上面直接取回来的每个主机是一条信息,为了方便以后处理利用split分割成多条信息
}
filter {
split { field => "iftable" }
mutate {
rename => { "[iftable][iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry.ifIndex]" => "ifIndex"}
rename => { "[iftable][iso.org.dod.internet.mgmt.mib-2.interfaces.ifTable.ifEntry.ifDescr]" => "ifDescr"}
remove_field => ["iftable"]
add_field => {"cmdbtype" => "iftable"}
}
}
output {
elasticsearch{
hosts=> ["192.168.6.44:9200"]
index=> "nhserear-snmpiftable-%{+YYYY.MM.dd}"
}
}
这是获得fdbbaseport表的logstash配置:短时间内运行一次相当于初始化就可以了
input {
snmp {
hosts => [{host => "udp:192.168.0.249/161" community => "public"},
{host => "udp:192.168.20.253/161" community => "public"},
{host => "udp:192.168.12.253/161" community => "public"},
{host => "udp:192.168.0.241/161" community => "public"}
]
tables => [{"name"=> "fdbtable" "columns"=> ["1.3.6.1.2.1.17.1.4.1.1","1.3.6.1.2.1.17.1.4.1.2"]}]
}
}
filter {
split { field => "fdbtable" }
mutate {
rename => { "[fdbtable][iso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dBase.dot1dBasePortTable.dot1dBasePortEntry.dot1dBasePort]" => "fdbport"}
rename => { "[fdbtable][iso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dBase.dot1dBasePortTable.dot1dBasePortEntry.dot1dBasePortIfIndex]" => "ifIndex"}
remove_field => ["fdbtable"]
add_field => {"cmdbtype" => "fdbtable"}
}
elasticsearch {
hosts =>["192.168.6.44:9200"]
index => "nhserear-snmpiftable-2021.01.20"
query =>"ifIndex:%{[ifIndex]} AND host:%{[host]}"
fields => { "ifDescr" => "ifDescr" }
}
}
output {
elasticsearch{
hosts=> ["192.168.6.44:9200"]
index=> "nhserear-snmpfdbtable-%{+YYYY.MM.dd}"
}
}
注意filter elasticsearch这个插件中有几个缺省配置:
sort:
查询结果排序的方式,缺省是"@timestamp:desc",按时间戳 倒序。
result_size:
查询结果返回的个数,缺省值是1.
这两个参数组合后的结果就是,每次elasticsearch查询的是最新的一个结果。
下面是正常运行时logstash的配置:
input {
snmp {
interval => 60
hosts => [{host => "udp:192.168.0.249/161" community => "public"},
{host => "udp:192.168.20.253/161" community => "public"},
{host => "udp:192.168.12.253/161" community => "public"},
{host => "udp:192.168.0.241/161" community => "public"}
]
tables => [{"name"=> "mac-address" "columns"=> ["1.3.6.1.2.1.17.4.3.1.1","1.3.6.1.2.1.17.4.3.1.2"] },
{"name"=> "arp-address" "columns"=>["1.3.6.1.2.1.4.22.1.1","1.3.6.1.2.1.4.22.1.2","1.3.6.1.2.1.4.22.1.3"]}]
}
}
filter {
clone {
clones => [event]
add_field => { "clone" => "true" }
}
if [clone] { mutate {remove_field => ["mac-address"] }}
else { mutate { remove_field => ["arp-address"]}}
if [mac-address] {
split { field => "mac-address" }
mutate {
rename => { "[mac-address][iso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dTp.dot1dTpFdbTable.dot1dTpFdbEntry.dot1dTpFdbAddress]" => "MACaddress"}
rename => { "[mac-address][iso.org.dod.internet.mgmt.mib-2.dot1dBridge.dot1dTp.dot1dTpFdbTable.dot1dTpFdbEntry.dot1dTpFdbPort]" => "FDBPort"}
remove_field => ["mac-address"]
add_field => {"cmdbtype" => "MACtable"}
}
elasticsearch {
hosts =>["192.168.6.44:9200"]
index => "nhserear-snmpfdbtable-2021.01.20"
query =>"fdbport:%{[FDBPort]} AND host:%{[host]}"
fields => { "ifDescr" => "ifDescr" }
}
}
if [arp-address] {
split { field => "arp-address" }
mutate {
rename => { "[arp-address][iso.org.dod.internet.mgmt.mib-2.ip.ipNetToMediaTable.ipNetToMediaEntry.ipNetToMediaIfIndex]" => "ifIndex"}
rename => { "[arp-address][iso.org.dod.internet.mgmt.mib-2.ip.ipNetToMediaTable.ipNetToMediaEntry.ipNetToMediaNetAddress]" => "IPaddress"}
rename => { "[arp-address][iso.org.dod.internet.mgmt.mib-2.ip.ipNetToMediaTable.ipNetToMediaEntry.ipNetToMediaPhysAddress]" => "MACaddress"}
remove_field => ["arp-address"]
add_field => {"cmdbtype" => "ARPtable"}
}
elasticsearch {
hosts =>["192.168.6.44:9200"]
index => "nhserear-snmpiftable-2021.01.20"
query =>"ifIndex:%{[ifIndex]} AND host:%{[host]}"
fields => { "ifDescr" => "ifDescr" }
}
}
}
output {
elasticsearch{
hosts=> ["192.168.6.44:9200"]
index=> "nhserear-snmp-%{+YYYY.MM.dd}"
}
}
简单做了一个可视化效果:
*注:还是有些功能在免代码情况无法实现,后续可能通过定制前端实现
目前发现至少是华为华三的二层交换机和三层交换机,已经和传统我们对交换机MAC地址、ARP表的理解不太一样了,传统上我认为只要有二层以太帧流入交换机,数据帧头部的源MAC地址就会自动被二层交换机学习到,这样以来,以后再有发往该MAC地址的数据帧交换机就知道往哪里交换了,这是以前交换机原理里面的知识。如果按照上面的说明,二层交换机三层交换机中MAC地址表应该是全的,也就是所有流经该设备的源MAC地址都会被记入MAC地址表,但最近发现华为、华三的交换机上如果存在ARP表项的MAC地址,就不会在出现在MAC地址表中了,不知道这是不是现在交换设备的新功能。
通过SNMP获取的ipNetToMediaTable(.1.3.6.1.2.1.4.22)和通过命令行直接在交换机上看到的ARP表是有区别的,三层交换机ARP表中能够显示IP、MAC地址对应的具体物理端口号,ipNetToMediaTable只能告诉你该IP、MAC对应的三层接口的IFINDEX,也就说是三层接口号。
上面两个小问题最后导致一个问题是,在交换机上通过ARP表可以很容易查找到IP、MAC所在的具体物理端口,而通过SNMP方法,如果查IP,可以告诉你在那个三层接口上,例如vlan interface,查MAC地址,如果这个MAC有ARP记录,则MAC地址表中就不会记录,还是只能定位到三层接口,这个MAC地址没有ARP记录,只有这种情况才可能通过MAC地址表获得具体物理接口位置。
查了很多资料,包括H3C私有的MIB库,目前没有找到能够通过SNMP准确获取ARP表的方法。
后来发现并不是交换机MAC地址、arp表发生了变化,而是做实验的这套设备,三层交换机并不是再VLAN接口上配置的IP地址,实现VLAN间路由,而是把物理接口直接改为路由接口(已经不是交换接口,部分三层交换机支持物理路由接口),路由接口直连二层交换机,在这种情况下,三层交换机上是看不到MAC地址表,因为MAC地址表是为了二层交换而建立的,三层路由接口并无直接二层交换的能力。
尝试通过RVM将RubyGems升级到版本1.8.10并出现此错误:$rvmrubygemslatestRemovingoldRubygemsfiles...Installingrubygems-1.8.10forruby-1.9.2-p180...ERROR:Errorrunning'GEM_PATH="/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/ruby-1.9.2-p180@global:/Users/foo/.rvm/gems/ruby-1.9.2-p180:/Users/foo/.rvm/gems/rub
我正在使用puppet为ruby程序提供一组常量。我需要提供一组主机名,我的程序将对其进行迭代。在我之前使用的bash脚本中,我只是将它作为一个puppet变量hosts=>"host1,host2"我将其提供给bash脚本作为HOSTS=显然这对ruby不太适用——我需要它的格式hosts=["host1","host2"]自从phosts和putsmy_array.inspect提供输出["host1","host2"]我希望使用其中之一。不幸的是,我终其一生都无法弄清楚如何让它发挥作用。我尝试了以下各项:我发现某处他们指出我需要在函数调用前放置“function_”……这
我正在编写一个gem,我必须在其中fork两个启动两个webrick服务器的进程。我想通过基类的类方法启动这个服务器,因为应该只有这两个服务器在运行,而不是多个。在运行时,我想调用这两个服务器上的一些方法来更改变量。我的问题是,我无法通过基类的类方法访问fork的实例变量。此外,我不能在我的基类中使用线程,因为在幕后我正在使用另一个不是线程安全的库。所以我必须将每个服务器派生到它自己的进程。我用类变量试过了,比如@@server。但是当我试图通过基类访问这个变量时,它是nil。我读到在Ruby中不可能在分支之间共享类变量,对吗?那么,还有其他解决办法吗?我考虑过使用单例,但我不确定这是
我的最终目标是安装当前版本的RubyonRails。我在OSXMountainLion上运行。到目前为止,这是我的过程:已安装的RVM$\curl-Lhttps://get.rvm.io|bash-sstable检查已知(我假设已批准)安装$rvmlistknown我看到当前的稳定版本可用[ruby-]2.0.0[-p247]输入命令安装$rvminstall2.0.0-p247注意:我也试过这些安装命令$rvminstallruby-2.0.0-p247$rvminstallruby=2.0.0-p247我很快就无处可去了。结果:$rvminstall2.0.0-p247Search
我在理解Enumerator.new方法的工作原理时遇到了一些困难。假设文档中的示例:fib=Enumerator.newdo|y|a=b=1loopdoy[1,1,2,3,5,8,13,21,34,55]循环中断条件在哪里,它如何知道循环应该迭代多少次(因为它没有任何明确的中断条件并且看起来像无限循环)? 最佳答案 Enumerator使用Fibers在内部。您的示例等效于:require'fiber'fiber=Fiber.newdoa=b=1loopdoFiber.yieldaa,b=b,a+bendend10.times.m
我有一个用户工厂。我希望默认情况下确认用户。但是鉴于unconfirmed特征,我不希望它们被确认。虽然我有一个基于实现细节而不是抽象的工作实现,但我想知道如何正确地做到这一点。factory:userdoafter(:create)do|user,evaluator|#unwantedimplementationdetailshereunlessFactoryGirl.factories[:user].defined_traits.map(&:name).include?(:unconfirmed)user.confirm!endendtrait:unconfirmeddoenden
我有一个存储主机名的Ruby数组server_names。如果我打印出来,它看起来像这样:["hostname.abc.com","hostname2.abc.com","hostname3.abc.com"]相当标准。我想要做的是获取这些服务器的IP(可能将它们存储在另一个变量中)。看起来IPSocket类可以做到这一点,但我不确定如何使用IPSocket类遍历它。如果它只是尝试像这样打印出IP:server_names.eachdo|name|IPSocket::getaddress(name)pnameend它提示我没有提供服务器名称。这是语法问题还是我没有正确使用类?输出:ge
几个月前,我读了一篇关于rubygem的博客文章,它可以通过阅读代码本身来确定编程语言。对于我的生活,我不记得博客或gem的名称。谷歌搜索“ruby编程语言猜测”及其变体也无济于事。有人碰巧知道相关gem的名称吗? 最佳答案 是这个吗:http://github.com/chrislo/sourceclassifier/tree/master 关于ruby-寻找通过阅读代码确定编程语言的rubygem?,我们在StackOverflow上找到一个类似的问题:
从MB升级到新的MBP后,Apple的迁移助手没有移动我的gem。我这次是通过macports安装rubygems,希望在下次升级时避免这种情况。有什么我应该注意的陷阱吗? 最佳答案 如果你想把你的gems安装在你的主目录中(在传输过程中应该复制过来,作为一个附带的好处,会让你以你自己的身份运行geminstall,而不是root),将gemhome:键设置为您在~/.gemrc中的主目录中的路径. 关于通过MacPorts的RubyGems是个好主意吗?,我们在StackOverf
我想将我的MacSnowLeopardruby从1.8.7升级到1.9.1版本,有人知道轻松且最好的升级方法吗?因为我读了一些论坛/帖子/博客/讨论说覆盖苹果发布的ruby不好将Rails从版本2.2.2升级到2.3.8的最佳方法是什么?因为我找到的所有信息都仅适用于豹/老虎,而且很少有关于雪豹的复杂文章。他们还说覆盖apple提供的rails不好吗。谁能帮帮我?谢谢。 最佳答案 DanBenjamin有一些greatinstructionsforcompilingandinstallingRuby,RubyGemsandRai