Для сбора syslog с маршрутизаторов Juniper, Zabbix не подходит из-за высокой нагрузки. Более подходящим решением является связка Vector, Loki и Grafana. Vector преобразует syslog в формат, который понимает Loki, так как Juniper отправляет syslog с небольшим отклонением от стандарта RFC.
Для настройки Vector, используется файл vector.toml, в котором определяются источники syslog (порты 514 для Juniper и 515 для Cisco), фильтры (например, исключение debug-сообщений), а также преобразования для корректного добавления полей host и severity. Выходной поток направляется в Loki. Конфигурация Loki хранится в файле loki-config.yaml, в котором, в частности, задается порт для прослушивания и путь к хранилищу данных.
Развертывание компонентов выполняется с помощью docker-compose, где определяются образы loki, grafana и vector, а также порты, тома и переменные окружения. Для отправки syslog с Juniper на Vector нужно настроить маршрутизаторы следующими командами:
В Grafana для визуализации логов, Loki подключается как источник данных. Создаются панели для отображения логов (с возможностью фильтрации по хосту и уровню severity), а также панели со статистикой в виде Bar Gauge и Pie Chart. Запросы для построения графиков составляются с использованием синтаксиса Loki Query Language. Собранные таким образом данные позволяют своевременно выявлять сетевые сбои, отслеживать производительность и обнаруживать атаки.
Изображение носит иллюстративный характер
Для настройки Vector, используется файл vector.toml, в котором определяются источники syslog (порты 514 для Juniper и 515 для Cisco), фильтры (например, исключение debug-сообщений), а также преобразования для корректного добавления полей host и severity. Выходной поток направляется в Loki. Конфигурация Loki хранится в файле loki-config.yaml, в котором, в частности, задается порт для прослушивания и путь к хранилищу данных.
Развертывание компонентов выполняется с помощью docker-compose, где определяются образы loki, grafana и vector, а также порты, тома и переменные окружения. Для отправки syslog с Juniper на Vector нужно настроить маршрутизаторы следующими командами:
set system syslog host <ip-адрес vector> any any, set system syslog host <ip-адрес vector> port 514, set system syslog host <ip-адрес vector> facility-override local7 и set system syslog host <ip-адрес vector> structured-data. Настройка может быть выполнена вручную или автоматизирована с использованием Ansible. В Grafana для визуализации логов, Loki подключается как источник данных. Создаются панели для отображения логов (с возможностью фильтрации по хосту и уровню severity), а также панели со статистикой в виде Bar Gauge и Pie Chart. Запросы для построения графиков составляются с использованием синтаксиса Loki Query Language. Собранные таким образом данные позволяют своевременно выявлять сетевые сбои, отслеживать производительность и обнаруживать атаки.
