› ›

SNMP Trap 输入插件

编辑

SNMP Trap 输入插件

编辑

snmp 集成插件的一个组件
集成版本：v4.0.4
发布日期：2024-07-08
更新日志

有关其他版本，请参阅版本化插件文档。

获取帮助

编辑

有关插件的问题，请在Discuss论坛中开启一个主题。有关错误或功能请求，请在Github中开启一个 issue。有关 Elastic 支持的插件列表，请查阅Elastic 支持矩阵。

从独立的 input-snmptrap 迁移到 logstash-integration-snmp

logstash-input-snmptrap 插件现在是 logstash-integration-snmp 插件的一个组件，该插件默认与 Logstash 8.15.0 捆绑在一起。这个集成的插件包在 SNMP 处理方面提供了更好的对齐，更好的资源管理，更易于维护的包，以及更小的安装占用空间。

在您升级到 Logstash 8.15.0 之前，请注意当前独立插件与 integration-snmp 中包含的新版本之间的行为和映射差异。如果您需要维护 input-snmptrap 插件的当前映射，您可以使用选项来保留现有行为。

描述

编辑

logstash-input-snmptrap 插件将 SNMP trap 消息作为事件读取。

生成的 message 字段类似于

{"agent_addr":"192.168.1.40", "generic_trap":6, "specific_trap":15511, "enterprise":"1.3.6.1.2.1.1.1", "variable_bindings":{"1.3.6.1.2.1.1.2.0":"test one", "1.3.6.1.2.1.1.1.0":"test two"}, "type":"V1TRAP", "community":"public", "version":1, "timestamp":1500}

事件元数据和 Elastic Common Schema (ECS)

编辑

由于 SNMP 数据具有基于 OID 的特定字段名称，我们建议设置一个target。源主机字段会根据ecs_compatibility而变化。

ECS 已禁用	ECS v1, v8	可用性	描述
[host]	[host][ip]	始终	主机的 IP 地址，例如“192.168.1.11”

此插件还会将 trap PDU 元数据添加到每个事件。该值存储在 @metadata 中，可以在管道中的其他插件中使用。

ECS 已禁用，v1，v8	可用性	描述
[@metadata][input][snmptrap][pdu][agent_addr]	`SNMPv1`	生成 trap 的对象的网络地址
[@metadata][input][snmptrap][pdu][community]	`SNMPv1` `SNMPv2c`	SNMP community
[@metadata][input][snmptrap][pdu][enterprise]	`SNMPv1`	生成 trap 的对象的类型
[@metadata][input][snmptrap][pdu][error_index]	`SNMPv2c` `SNMPv3`	通过标识列表中哪个变量绑定导致错误来提供其他信息
[@metadata][input][snmptrap][pdu][error_status]	`SNMPv2c` `SNMPv3`	错误状态代码
[@metadata][input][snmptrap][pdu][error_status_text]	`SNMPv2c` `SNMPv3`	错误状态代码描述
[@metadata][input][snmptrap][pdu][generic_trap]	`SNMPv1`	通用 trap 类型
[@metadata][input][snmptrap][pdu][request_id]	`SNMPv2c` `SNMPv3`	请求 ID
[@metadata][input][snmptrap][pdu][specific_trap]	`SNMPv1`	特定代码，即使 generic_trap 不是企业特定的也会显示
[@metadata][input][snmptrap][pdu][timestamp]	`SNMPv1`	网络实体上次（重新）初始化与生成 trap 之间经过的时间
[@metadata][input][snmptrap][pdu][type]	始终	PDU 类型
[@metadata][input][snmptrap][pdu][variable_bindings]	始终	SNMP 变量绑定值
[@metadata][input][snmptrap][pdu][version]	始终	SNMP 版本

导入 MIB

编辑

此插件已包含 IETF MIB（管理信息库），您无需导入它们。如果您需要额外的 MIB，则需要导入它们。请查看导入 MIB 以获取信息。

SNMP Trap 输入配置选项

编辑

此插件支持以下配置选项，以及稍后描述的通用选项。

设置	输入类型	必需
`community`	数组	否
`ecs_compatibility`	字符串	否
`host`	字符串	否
`mib_paths`	路径	否
`oid_mapping_format`	字符串，可以是 `["default", "ruby_snmp", "dotted_string"]` 之一	否
`oid_map_field_values`	布尔值	是
`oid_path_length`	数字	否
`oid_root_skip`	数字	否
`端口`	数字	否
`supported_transports`	字符串	否
`supported_versions`	字符串	否
`target`	字符串	否
`threads`	数字	否
`use_provided_mibs`	布尔值	否
`yamlmibdir`	字符串	已弃用

SNMPv3 身份验证选项

编辑

此插件支持以下 SNMPv3 身份验证选项。

设置	输入类型	必需
`auth_pass`	密码	否
`auth_protocol`	字符串，可以是 `["md5", "sha", "sha2", "hmac128sha224", "hmac192sha256", "hmac256sha384", "hmac384sha512"]` 之一	否
`priv_pass`	密码	否
`priv_protocol`	字符串，可以是 `["des", "3des", "aes", "aes128", "aes192", "aes256"]` 之一	否
`security_level`	字符串，可以是 `["noAuthNoPriv", "authNoPriv", "authPriv"]` 之一	否
`security_name`	字符串	否

SNMP Trap 输入配置选项

编辑

另请参阅通用选项，以获取所有输入插件支持的选项列表。

`community`

编辑

值类型是数组
默认值是 ["public"]

要侦听的 SNMPv1 和 SNMPv2c community。要允许任何 community，请将此配置值设置为空 community => []。

示例

侦听 public 和 guest community

input {
  snmptrap {
    community => ["public", "guest"]
  }
}

侦听所有 community

input {
  snmptrap {
    community => []
  }
}

`ecs_compatibility`

编辑

值类型是字符串
支持的值为
- disabled：不使用与 ECS 兼容的字段名称（字段可能设置在事件的根目录）
- v1, v8：避免可能与 Elastic Common Schema 冲突的字段名称（例如，host 字段）
默认值取决于正在运行的 Logstash 版本
- 当 Logstash 提供 pipeline.ecs_compatibility 设置时，其值将用作默认值
- 否则，默认值为 disabled。

控制此插件与Elastic Common Schema (ECS)的兼容性。

`host`

编辑

值类型是字符串
默认值是 "0.0.0.0"

要侦听的地址。

`mib_paths`

编辑

值类型是路径
此设置没有默认值

mib_paths 选项指定一个或多个导入的 MIB 文件的位置。该值可以是包含导入的 MIB (.dic、.yaml) 文件的目录路径，也可以是单个 MIB 文件的文件路径。

`oid_mapping_format`

编辑

值可以是以下任何一个：default、ruby_snmp、dotted_string
默认值是 "default"

定义 Logstash 事件中 OID 的映射文本表示形式：* default 使用 MIB 解析的名称（以点分隔）转换每个标识符。示例：1.3.6.1.2.1.1.2.0 映射为 iso.org.dod.internet.mgmt.mib-2.system.sysObjectID.0 * ruby_snmp 生成以 MIB 模块名称为前缀的字段名称，后跟最新的已解析标识符名称和未知值。示例：1.3.6.1.2.1.1.2.0 映射为 SNMPv2-MIB::sysObjectID.0。* dotted_string 使用标准点字符串表示形式映射字段。示例：1.3.6.1.2.1.1.2.0 映射为 1.3.6.1.2.1.1.2.0

`oid_map_field_values`

编辑

值类型是布尔值
默认值是 false

定义是否使用在oid_mapping_format选项上配置的 OID 文本表示形式映射类型为 OID 的 Logstash 事件字段值。

`oid_root_skip`

编辑

值类型是数字
默认值是 0

oid_root_skip 选项指定在事件字段名称中要忽略的 OID 根数字的数量。例如，在像“1.3.6.1.2.1.1.1.0”这样的数字 OID 中，可以通过设置 oid_root_skip => 5 来忽略前 5 位数字，这将导致字段名称为“1.1.1.0”。同样，当使用 MIB 时，诸如“1.3.6.1.2.mib-2.system.sysDescr.0”之类的 OID 将变为“mib-2.system.sysDescr.0”

您可以使用此设置或oid_path_length，但不能同时使用两者。
仅当oid_mapping_format设置为 default 时才使用此设置。

`oid_path_length`

编辑

值类型是数字
默认值是 0

oid_path_length 选项指定在事件字段名称中要保留的 OID 根数字的数量。例如，在像“1.3.6.1.2.1.1.1.0”这样的数字 OID 中，可以通过设置 oid_path_length => 2 来保留最后 2 位数字，这将导致字段名称为“1.0”。同样，当使用 MIB 时，诸如“1.3.6.1.2.mib-2.system.sysDescr.0”之类的 OID 将变为“sysDescr.0”

您可以使用此设置或oid_root_skip，但不能同时使用两者。
仅当oid_mapping_format设置为 default 时才使用此设置。

`port`

编辑

值类型是数字
默认值是 1062

要侦听的端口。请记住，小于 1024 的端口（特权端口）可能需要 root 才能使用。因此默认值为 1062。

`supported_transports`

编辑

值类型是字符串
允许的值为：tcp，udp
默认值是 ["udp"]

要侦听的受支持传输协议。

SNMP 最初设计用于将 UDP 作为传输协议，这是官方建议。TCP 是一种可选的传输映射，可以根据需要启用。有关通过 TCP 的 SNMP 的更多详细信息，请参阅RFC-3430。

`supported_versions`

编辑

值类型是字符串
允许的值为：1、2c、3
默认值是 ["1", "2c"]

要侦听的受支持的 SNMP 协议版本。对于不支持和/或禁用的版本，SNMP 消息会自动丢弃。

`target`

编辑

值类型是字符串
此设置没有默认值

SNMP 有效负载分配的字段名称。如果未指定，数据将存储在事件的根目录中。

启用 ecs_compatibility 时，建议设置目标。

`threads`

编辑

值类型是数字
默认值为 CPU 核心数的 75%

用于处理接收到的 SNMP trap 消息的线程数。

`use_provided_mibs`

编辑

值类型是布尔值
默认值为 true

此插件提供了 libsmi 0.5.0 版本中公开提供的所有 IETF MIB（管理信息库）。启用后，它会自动加载捆绑的 MIB，并在生成的事件中提供数字 OID 到 MIB 字段名称的映射。

`yamlmibdir`

编辑

在 4.0.0 版本中已弃用。

已替换为 mib_paths

值类型是字符串
此设置没有默认值。

YAML MIB 映射目录（与 ruby-snmp 使用的格式相同）

SNMPv3 身份验证选项

编辑

可以配置单个用户。如果需要多个 SNMPv3 用户，则需要多个 snmptrap 输入声明。只有在使用 SNMPv3 时才需要这些选项。

`auth_pass`

编辑

值类型是 password
此设置没有默认值

auth_pass 选项指定 SNMPv3 身份验证密码或密码。

`auth_protocol`

编辑

auth_protocol 选项指定 SNMPv3 身份验证协议或类型

值可以是以下任意值：md5、sha、sha2、hmac128sha224、hmac192sha256、hmac256sha384、hmac384sha512
请注意，sha2 和 hmac192sha256 是等效的
此设置没有默认值

`priv_pass`

编辑

值类型是 password
此设置没有默认值

priv_pass 选项指定 SNMPv3 加密密码。

`priv_protocol`

编辑

值可以是以下任意值：des、3des、aes、aes128、aes192、aes256
请注意，aes 和 aes128 是等效的
此设置没有默认值

priv_protocol 选项指定 SNMPv3 隐私/加密协议。

`security_level`

编辑

值可以是以下任意值：noAuthNoPriv、authNoPriv、authPriv
此设置没有默认值

security_level 选项指定 SNMPv3 安全级别，取值范围为身份验证、无隐私；身份验证、隐私；或无身份验证、无隐私。

`security_name`

编辑

值类型是字符串
此设置没有默认值

security_name 选项指定 SNMPv3 安全名称或用户名。

配置示例

编辑

指定 SNMPv3 trap 设置

input {
  snmptrap {
    supported_versions => ['3']
    security_name => "mySecurityName"
    auth_protocol => "sha"
    auth_pass => "ShaPassword"
    priv_protocol => "aes"
    priv_pass => "AesPasword"
    security_level => "authPriv"
  }
}

常用选项

编辑

所有输入插件都支持这些配置选项

设置	输入类型	必需
`add_field`	hash	否
`codec`	codec	否
`enable_metric`	布尔值	否
`id`	字符串	否
`tags`	数组	否
`type`	字符串	否

`add_field`

编辑

值类型是 hash
默认值是 {}

向事件添加一个字段

`codec`

编辑

值类型是 codec
默认值是 "plain"

用于输入数据的编解码器。输入编解码器是一种方便的方法，可以在数据进入输入之前解码数据，而无需在 Logstash 管道中使用单独的过滤器。

`enable_metric`

编辑

值类型是 boolean
默认值为 true

禁用或启用此特定插件实例的指标日志记录，默认情况下，我们会记录所有可以记录的指标，但是您可以禁用特定插件的指标收集。

`id`

编辑

值类型是 string
此设置没有默认值。

向插件配置添加唯一的 ID。如果未指定 ID，Logstash 将生成一个。强烈建议在配置中设置此 ID。当您有两个或多个相同类型的插件时，此操作特别有用，例如，如果您有 2 个 snmptrap 输入。在这种情况下添加命名 ID 将有助于在使用监控 API 时监控 Logstash。

input {
  snmptrap {
    id => "my_plugin_id"
  }
}

id 字段中的变量替换仅支持环境变量，不支持使用来自秘密存储的值。

`tags`

编辑

值类型是 array
此设置没有默认值。

向事件添加任意数量的标签。

这有助于以后的处理。

`type`

编辑

值类型是 string
此设置没有默认值。

向此输入处理的所有事件添加 type 字段。

类型主要用于过滤器激活。

该类型存储为事件本身的一部分，因此您也可以使用该类型在 Kibana 中搜索它。

如果您尝试在已经有类型的事件上设置类型（例如，当您将事件从 shipper 发送到 indexer 时），则新的输入将不会覆盖现有类型。在 shipper 设置的类型会随该事件的生命周期一起保留，即使发送到另一个 Logstash 服务器也是如此。

« SNMP 输入插件 Sqlite 输入插件 »