« Rabbitmq 集成插件 输入插件 »
Elastic 文档 Logstash 参考 [8.17] 集成插件

SNMP 集成插件

编辑

SNMP 集成插件

编辑
  • 插件版本:v4.0.4
  • 发布日期:2024-07-08
  • 更新日志

有关其他版本,请参阅版本化插件文档

获取帮助

编辑

有关插件的问题,请在Discuss论坛中打开一个主题。对于错误或功能请求,请在Github中打开一个问题。有关 Elastic 支持的插件列表,请查阅Elastic 支持矩阵

发布新的 SNMP 集成插件

新的 logstash-integration-snmp 插件已发布,并默认与 Logstash 8.15.0(及更高版本)捆绑在一起。此插件将我们经典的 logstash-input-snmplogstash-input-snmptrap 插件组合到一个 v4.0.0 及更高版本的单个 Ruby gem 中。默认与 Logstash 捆绑在一起的独立插件的早期版本将被此新集成中包含的 4.0.0+ 版本替换。

在您升级到默认包含此新集成的 Logstash 8.15.0 之前,请注意独立插件与 integration-snmp 中包含的新版本之间的行为和映射差异。如果您需要维护 input-snmptrap 插件的当前映射,您可以通过一些选项来保留现有行为

描述

编辑

SNMP 集成插件包括

新的 logstash-integration-snmp 插件将 logstash-input-snmplogstash-input-snmptrap 插件合并为一个集成的插件,该插件包含两者的功能。此集成插件包在 SNMP 处理方面提供了更好的对齐,更好的资源管理,更轻松的包维护以及更小的安装占用空间。

在本节中,我们将介绍

从单个插件迁移到 logstash-integration-snmp

编辑

您将保留和扩展现有独立插件的功能,但采用更紧凑的集成包。在本节中,我们将说明映射和行为更改,并解释如何在需要时保留当前行为。

迁移说明:logstash-input-snmp

编辑

作为新的 logstash-integration-snmp 插件的组件,logstash-input-snmp 插件提供与独立 logstash-input-snmp 相同的功能。

您可能需要根据用例以及如何通过管道处理摄取的数据来解决一些行为更改。

映射和错误日志记录的更改:logstash-input-snmp
编辑
  • 无此类实例错误被映射为 error: no such instance currently exists at this OID string,而不是 noSuchInstance
  • 无此类对象错误被映射为 error: no such object currently exists at this OID string,而不是 noSuchObject
  • MIB 视图结束错误被映射为 error: end of MIB view,而不是 endOfMibView
  • 未知变量类型回退到 string 表示形式,而不是像独立 logstash-input-snmp 中那样记录错误。此更改不应影响现有管道,除非它们具有依赖于特定错误消息的自定义错误处理程序。

迁移说明:logstash-input-snmptrap

编辑

作为新的 logstash-integration-snmp 插件的组件,logstash-input-snmptrap 插件提供几乎与独立 logstash-input-snmp 插件相同的功能。

您可能需要根据用例以及如何通过管道处理摄取的数据来解决一些行为更改。

映射和错误日志记录的更改:logstash-input-snmptrap
编辑
  • PDU 变量绑定使用定义的数据类型映射到 Logstash 事件中。默认情况下,独立的 logstash-input-snmptrap 插件会将所有数据转换为 string,忽略原始类型。如果这不是您想要的行为,则可以使用过滤器来保留原始类型。
  • SNMP TimeTicks 变量映射为 Long 时间戳,而不是格式化的日期字符串 (%d days, %02d:%02d:%02d.%02d)。
  • null 变量值使用字符串 null 而不是 Null(大写 N)进行映射。
  • 无此类实例错误被映射为 error: no such instance currently exists at this OID string,而不是 noSuchInstance
  • 无此类对象错误被映射为 error: no such object currently exists at this OID string,而不是 noSuchObject
  • MIB 视图结束错误被映射为 error: end of MIB view,而不是 endOfMibView

  • 上一代(独立的)input-snmptrap 插件将 message 字段格式化为 ruby-snmp SNMP::SNMPv1_Trap 对象表示形式。

    <SNMP::SNMPv1_Trap:0x6f1a7a4 @varbind_list=[#<SNMP::VarBind:0x2d7bcd8f @value="teststring", @name=[1.11.12.13.14.15]>], @timestamp=#<SNMP::TimeTicks:0x1af47e9d @value=55>, @generic_trap=6,  @enterprise=[1.2.3.4.5.6], @source_ip="127.0.0.1", @agent_addr=#<SNMP::IpAddress:0x29a4833e @value="test">, @specific_trap=99>

    新的集成 input-snmptrap 插件使用 JSON 格式化 message 字段

    {"error_index":0, "variable_bindings":{"1.3.6.1.6.3.1.1.4.1.0":"SNMPv2-MIB::coldStart", "1.3.6.1.2.1.1.3.0":0}, "error_status":0, "type":"TRAP", "error_status_text":"Success", "community":"public", "version":"2c", "request_id":1436216872}
保持与先前实现的最大兼容性
编辑

如果需要,您可以配置新的 logstash-integration-snmp 插件,以保持与先前(独立)版本的 input-snmp 插件的最大兼容性。

input {
   snmptrap {
    use_provided_mibs => false
    oid_mapping_format => 'ruby_snmp'
    oid_map_field_values => true
   }
}

导入 MIB

编辑

SNMP 插件已包含 IETF MIB(管理信息库),这些 MIB 不需要导入。要禁用捆绑的 MIB,请将 use_provided_mibs 选项设置为 false

任何其他 MIB 都需要手动导入,以便在生成的事件中提供数字 OID 到 MIB 字段名称的映射。

要导入 MIB,需要 OSS libsmi 库。libsmi 在大多数操作系统上都可用并可安装。

要导入 MIB,您需要首先使用 libsmi smidump 命令行实用程序将 ASN.1 MIB 文件转换为 .dic 文件。

示例(使用 RFC1213-MIB 文件)

$ smidump --level=1 -k -f python RFC1213-MIB > RFC1213-MIB.dic

请注意,smidump 输出的结果文件必须具有 .dic 扩展名。

防止 failed to locate MIB module 错误

编辑

smidump 函数在其预配置的路径列表中查找 MIB 依赖项。为避免 failed to locate MIB module 错误,您可能需要在特定环境中提供 MIB 位置。

提供其他路径配置的推荐方法是

  • 环境变量,或
  • 配置文件以提供其他路径配置。

有关更多信息,请参阅smi_config 文档的“模块位置”部分。

选项 1:使用环境变量

编辑

使用 MIB 的路径设置 SMIPATH 环境变量。请务必为路径包含一个前置冒号 (:)。

$ SMIPATH=":/path/to/mibs/" smidump -k -f python CISCO-PROCESS-MIB.mib > CISCO-PROCESS-MIB_my.dic

请注意路径定义之前的前置冒号。

选项 2:提供配置文件

编辑

另一种方法是创建一个带有 path 选项的配置文件。例如,您可以创建一个名为 smi.conf 的文件

path :/path/to/mibs/

并将配置与 smidump 一起使用

$ smidump -c smi.conf -k -f python CISCO-PROCESS-MIB.mib > CISCO-PROCESS-MIB_my.dic
« Rabbitmq 集成插件 输入插件 »