网络设备日志接入观测云最佳实践

简介

Syslog 是一种工业标准的协议，用于记录设备的日志。它广泛应用于 UNIX 系统、路由器、交换机等网络设备中，用于记录系统中发生的各种事件。管理者可以通过查看系统日志来掌握系统状况。UNIX 的系统日志是通过 syslogd 进程记录系统事件，也可以记录应用程序的运作事件。通过适当的配置，还可以实现运行 Syslog 协议的机器间的通信，通过分析这些网络行为日志，追踪和掌握设备和网络的状况。

观测云是一款面向全技术栈的监控观测一体化产品方案，观测云能够集成多种数据源，包括日志、指标和追踪数据，提供全面的监控观测能力。观测云数据的采集是通过 DataKit 来实现的，DataKit 的日志采集器，支持防火墙、交换机、VPN、负载均衡等网络安全设备的 Syslog 协议的日志接入。

前置条件

• 观测云 SaaS（注册观测云）

• Linux 主机（可以连接 https://openway.guance.com ）

• WAF

集成方案

DataKit 的 log 采集器，支持 Socket 协议，使用时 Socket 采集器对外暴露一个端口。在网络设备上配置，DataKit 所在的 IP 和 Socket 端口，即可把日志上报到观测云。下面以 WAF 为例介绍如何把日志上报到观测云。为了方便区分，采集器的 conf 文件名，建议以端口号同名。

部署 DataKit

登录观测云控制台，点击「集成」 -「DataKit」 - 「Linux」，点击“复制”图标。

把复制的安装命令粘贴到 Linux 主机上执行。

开通采集器

DataKit 内置几十种采集器，开通采集器很方便，只需要复制官方提供的 sample 文件，改成 “.conf”结尾，这里我们只需要创建 514.conf。

cd /usr/local/datakit/conf.d/logcp logging.conf.sample 514.conf

修改 Socket 端口，这是配置 514，设置 source 值为 “waf”。

重启 DataKit

执行下面命令，重启 DataKit。

datakit service -R

日志上报

打开 WAF 配置界面，接收 IP 配置 DataKit 所在主机的 IP，端口配置 Socket 的端口 514。

主机上执行 “datakit monitor”，可以看到 WAF 日志已经采集到了。

效果展示

登录观测云控制台，点击「日志」 -「查看器」，搜索框输入“source:waf”即可搜索到采集到的 WAF 日志。

总结

Syslog 是一种重要的日志记录工具，它帮助系统管理员和开发人员记录、监控和分析系统事件，对于维护系统稳定性和安全性至关重要。使用观测云接入网络设备后，可结合指标、日志、链路对整个系统环境进行综合分析，帮助使用者及早发现并定位问题。