IT运维:使用数据分析平台监控H3C交换机(进阶)

概述

本文基于《IT运维:使用鸿鹄监控H3C交换机》(以下简称原文)文章进行了优化。主要优化部分包括H3C交换机日志进入到鸿鹄后,如何进行字段抽取,图表的展示,以及包括思华为交换机等的抽取规则。

●字段抽取:由原来采用视图的方式,变为字段抽取

●图表展示:本文将增加一下略复杂的语句,如钻取等,并采用更多的图表展现方式。

前提条件

参考本文有一定的前置条件,包括如下:

●鸿鹄已经完成安装,并可以正常工作

●vector已经安装并完成配置,并可以正常工作(适用于2.10之前的版本,2.10及之后版本可以在页面配置“采集sysylog数据,方法如下”)

●本文的数据源类型为switch_syslog(鸿鹄内置syslog数据源类型,可以按照syslog的属性去配置switch_syslog)如下文实例所示,数据集为switch_syslog,可以按照自己的环境去匹配。但数据源类型建议在syslog导入前完成创建,因为后续字段加工时,会对数据源类型进行更改,并绑定

如需了解鸿鹄vector等详细的安装与配置,可以参考《IT运维:使用鸿鹄监控H3C交换机》原文。

采集syslog数据

TIPS:2.10.0及之后的版本支持页面配置syslog接收数据。简化了syslog数据采集的配置。

创建数据集

IT运维:使用数据分析平台监控H3C交换机(进阶)_第1张图片

创建数据源类型switch_syslog,并按照内置syslog配置

图片

配置syslog,数据导入>采集syslog数据>

端口默认30131-30133可选(注意:发送端设备要指定配置发送的端口和协议,应与鸿鹄上一致)

数据集和数据源类型:上文提前创建后,可以在下拉中选择

IT运维:使用数据分析平台监控H3C交换机(进阶)_第2张图片

操作步骤

字段抽取

原始日志分析

在字段抽取前,我们需要先查看下原始日志,对其进行分析

IT运维:使用数据分析平台监控H3C交换机(进阶)_第3张图片

通过查询可以看到原始日志格式如下,对其进行分析发现日志格式非JSON、键值,适合采用正则抽取。

IT运维:使用数据分析平台监控H3C交换机(进阶)_第4张图片

正则抽取

抽取新字段

IT运维:使用数据分析平台监控H3C交换机(进阶)_第5张图片

选择数据源类型,选择数据样例

IT运维:使用数据分析平台监控H3C交换机(进阶)_第6张图片

选择抽取规则:正则抽取,编辑正则表达式,将下面的抽取规则填进去

IT运维:使用数据分析平台监控H3C交换机(进阶)_第7张图片

IT运维:使用数据分析平台监控H3C交换机(进阶)_第8张图片

为规则命名并保存,完成字段抽取的配置

IT运维:使用数据分析平台监控H3C交换机(进阶)_第9张图片

图表展示

仪表盘可以直接导入,我会在最下面附上我的仪表盘。如果你的数据集名称和我的不一样,需要将数据集名称进行变更。

仪表盘导入

新建仪表盘>选择仪表盘配置文件>浏览后选择你需要导入的仪表盘文件即可

IT运维:使用数据分析平台监控H3C交换机(进阶)_第10张图片

效果图

IT运维:使用数据分析平台监控H3C交换机(进阶)_第11张图片

IT运维:使用数据分析平台监控H3C交换机(进阶)_第12张图片

H3C仪表盘-final.json(10 kB)

(具体文件请加入鸿鹄技术交流群,至知识库中获取)

其他交换机抽取规则

目前只有华为交换机的数据样例,后续有新的会逐步补充。

TIPs:华为,思科等交换机抽取规则在应用的时候,如果syslog发送过来的时间格式和我的不一样,需要调整下正则表达式;由于我抽取时对每个部分的抽取的命名是一样的,所以仪表板和H3C是同一个;注意我的数据集仍旧是switch_syslog,数据源类型switch_syslog,如果你的不是这样命名的,仪表板选择数据集时需要调整为你的数据集。

华为交换机

原始日志分析

IT运维:使用数据分析平台监控H3C交换机(进阶)_第13张图片

正则抽取

IT运维:使用数据分析平台监控H3C交换机(进阶)_第14张图片

你可能感兴趣的:(运维,网络,服务器)