SNMP 输入插件
编辑SNMP 输入插件编辑
- 插件版本:v1.3.3
- 发布时间:2023-08-07
- 更新日志
有关其他版本,请参阅版本化插件文档。
获取帮助编辑
如果您对插件有任何疑问,请在Discuss论坛中打开一个主题。对于错误或功能请求,请在Github中打开一个问题。有关 Elastic 支持的插件列表,请参阅Elastic 支持矩阵。
描述编辑
SNMP 输入插件使用简单网络管理协议 (SNMP) 轮询网络设备,以收集与设备当前运行状态相关的信息。
SNMP 输入插件支持通过 UDP 和 TCP 传输协议的 SNMP v1、v2c 和 v3。
与 Elastic 通用模式 (ECS) 的兼容性编辑
由于 SNMP 数据具有基于 OID 的特定字段名称,因此我们建议设置target。启用ECS 兼容模式时,元数据字段遵循特定的命名约定。
ECS 禁用 |
ECS v1、v8 |
描述 |
[@metadata][host_protocol] |
[@metadata][input][snmp][host][protocol] |
用于检索数据的协议,例如“udp”。 |
[@metadata][host_address] |
[@metadata][input][snmp][host][address] |
主机 IP,例如“192.168.1.1”。 |
[@metadata][host_port] |
[@metadata][input][snmp][host][port] |
主机的端口,例如“161”。 |
[@metadata][host_community] |
[@metadata][input][snmp][host][community] |
配置的团体字符串,例如“public”。 |
[host] |
导入 MIB编辑
此插件已包含 IETF MIB(管理信息库),无需导入。
任何其他 MIB 都需要手动导入,以便在生成的事件中提供数字 OID 到 MIB 字段名称的映射。
要导入 MIB,需要使用开源的libsmi 库。 libsmi 可在大多数操作系统上安装。
要导入 MIB,您需要首先使用 libsmi smidump 命令行实用程序将 ASN.1 MIB 文件转换为.dic文件。
示例(使用RFC1213-MIB文件)
$ smidump --level=1 -k -f python RFC1213-MIB > RFC1213-MIB.dic
请注意,smidump输出的结果文件必须具有.dic扩展名。
防止出现failed to locate MIB module错误编辑
smidump函数在其预先配置的路径列表中查找 mib 依赖项。您可能需要提供特定环境中 MIB 位置的路径。
您可以通过提供以下附加路径配置信息来避免failed to locate MIB module错误:
- 环境变量,或
- 配置文件以提供附加路径配置。
有关更多信息,请参阅smi_config 文档中的“模块位置”部分。
选项 1:使用环境变量编辑
使用指向您的 mib 的路径设置SMIPATH环境变量。请确保为路径添加前置冒号 (:)。
选项 2:提供配置文件编辑
另一种方法是使用path选项创建一个配置文件。例如,您可以创建一个名为smi.conf的文件。
path :/path/to/mibs/
将配置与 smidump 一起使用
$ smidump -c smi.conf -k -f python CISCO-PROCESS-MIB.mib > CISCO-PROCESS-MIB_my.dic
SNMPv3 身份验证选项编辑
此插件支持以下 SNMPv3 身份验证选项。
SNMP 输入配置选项编辑
另请参阅通用选项,以获取所有输入插件支持的选项列表。
get编辑
- 值类型为数组
- 此设置没有默认值
使用get选项查询给定 OID 的标量值。一个或多个 OID 被指定为 OID 字符串数组。
示例
input {
snmp {
get => ["1.3.6.1.2.1.1.1.0", "1.3.6.1.2.1.1.3.0", "1.3.6.1.2.1.1.5.0"]
hosts => [{host => "udp:127.0.0.1/161" community => "public"}]
}
}
hosts编辑
- 值类型为数组
- 此设置没有默认值
hosts选项指定要查询已配置的get和walk选项的主机列表。
每个主机定义都是一个哈希,并且必须定义host键和值。 host必须使用格式{tcp|udp}:{ip 地址}/{端口},例如host => "udp:127.0.0.1/161"
每个主机定义可以选择性地包含以下键和值
-
community团体字符串,默认为public。 -
version1、2c或3,默认为2c。 -
retries是失败时的重试次数,默认为2。 -
timeout是以毫秒为单位的超时时间,默认值为1000。
指定所有主机选项
input {
snmp {
get => ["1.3.6.1.2.1.1.1.0"]
hosts => [{host => "udp:127.0.0.1/161" community => "public" version => "2c" retries => 2 timeout => 1000}]
}
}
指定多个主机
input {
snmp {
get => ["1.3.6.1.2.1.1.1.0"]
hosts => [{host => "udp:127.0.0.1/161" community => "public"}, {host => "udp:192.168.0.1/161" community => "private"}]
}
}
指定 IPv6 主机
input {
snmp {
get => ["1.3.6.1.2.1.1.1.0"]
hosts => [{host => "udp:[::1]/161" community => "public"}, {host => "udp:[2001:db8::2:1]/161" community => "private"}]
}
}
mib_paths编辑
- 值类型为路径
- 此设置没有默认值
mib_paths选项指定一个或多个导入的 MIB 文件的位置。该值可以是包含导入的 MIB .dic文件的目录路径,也可以是单个 MIB .dic文件的路径。
此插件包含 IETF MIB。如果您需要其他 MIB,则需要导入它们。请参阅导入 MIB。
oid_root_skip编辑
- 值类型为数字
- 默认值为
0
oid_root_skip选项指定在事件字段名称中忽略的 OID 根数字位数。例如,在像“1.3.6.1.2.1.1.1.0”这样的数字 OID 中,可以通过设置oid_root_skip => 5来忽略前 5 位数字,这将导致字段名称为“1.1.1.0”。类似地,当使用 MIB 时,像“1.3.6.1.2.mib-2.system.sysDescr.0”这样的 OID 将变为“mib-2.system.sysDescr.0”。
oid_path_length编辑
- 值类型为数字
- 默认值为
0
oid_path_length选项指定在事件字段名称中保留的 OID 根数字位数。例如,在像“1.3.6.1.2.1.1.1.0”这样的数字 OID 中,可以通过设置oid_path_length => 2来保留最后 2 位数字,这将导致字段名称为“1.0”。类似地,当使用 MIB 时,像“1.3.6.1.2.mib-2.system.sysDescr.0”这样的 OID 将变为“sysDescr.0”。
walk编辑
- 值类型为数组
- 此设置没有默认值
使用walk选项检索给定 OID 的信息子树。一个或多个 OID 被指定为 OID 字符串数组。
查询从给定 OID 开始的信息子树。
示例
snmp {
walk => ["1.3.6.1.2.1.1"]
hosts => [{host => "udp:127.0.0.1/161" community => "public"}]
}
}
tables编辑
- 值类型为数组
- 此设置没有默认值
- 结果在使用表名的字段下返回
tables选项用于查询给定列 OID 的表格值。
每个表定义都是一个哈希,必须定义名称键和值以及要返回的列。
指定单个表
input {
snmp {
hosts => [{host => "udp:127.0.0.1/161" community => "public" version => "2c" retries => 2 timeout => 1000}]
tables => [ {"name" => "interfaces" "columns" => ["1.3.6.1.2.1.2.2.1.1", "1.3.6.1.2.1.2.2.1.2", "1.3.6.1.2.1.2.2.1.5"]} ]
}
}
指定多个表
input {
snmp {
get => ["1.3.6.1.2.1.1.1.0"]
tables => [ {"name" => "interfaces" "columns" => ["1.3.6.1.2.1.2.2.1.1", "1.3.6.1.2.1.2.2.1.2", "1.3.6.1.2.1.2.2.1.5"]}, {"name" => "ltmPoolStatTable" "columns" => ["1.3.6.1.4.1.3375.2.2.5.2.3.1.1", "1.3.6.1.4.1.3375.2.2.5.2.3.1.6"]} ]
}
}
SNMPv3 身份验证选项编辑
可以配置单个用户,并将用于所有定义的 SNMPv3 主机。如果需要多个 SNMPv3 用户,则需要多个 snmp 输入声明。仅当您使用 SNMPv3 时才需要这些选项。
auth_protocol编辑
auth_protocol 选项指定 SNMPv3 身份验证协议或类型
- 值可以是以下任意一项:
md5、sha、sha2、hmac128sha224、hmac192sha256、hmac256sha384、hmac384sha512 - 此设置没有默认值
ecs_compatibility编辑
- 值类型为 字符串
-
支持的值为
-
disabled:不使用与 ECS 兼容的字段名称(字段可能设置在事件的根目录下) -
v1、v8:避免可能与 Elastic Common Schema 冲突的字段名称(例如,host字段)
-
-
默认值取决于运行的 Logstash 版本
- 当 Logstash 提供
pipeline.ecs_compatibility设置时,其值将用作默认值 - 否则,默认值为
disabled。
- 当 Logstash 提供
控制此插件与 Elastic Common Schema (ECS) 的兼容性。
priv_protocol编辑
- 值可以是以下任意一项:
des、3des、aes、aes128、aes192、aes256 - 请注意,
aes和aes128是等效的 - 此设置没有默认值
priv_protocol 选项指定 SNMPv3 隐私/加密协议。
security_level编辑
- 值可以是以下任意一项:
noAuthNoPriv、authNoPriv、authPriv - 此设置没有默认值
security_level 选项指定身份验证、无隐私;身份验证、隐私;或无身份验证、无隐私之间的 SNMPv3 安全级别。
配置示例编辑
指定 SNMPv3 设置
input {
snmp {
hosts => [{host => "udp:127.0.0.1/161" version => "3"}]
get => ["1.3.6.1.2.1.1.1.0"]
security_name => "mySecurityName"
auth_protocol => "sha"
auth_pass => "ShaPassword"
priv_protocol => "aes"
priv_pass => "AesPasword"
security_level => "authPriv"
}
}
在每个主机(s) 的同一轮询周期中同时使用 get 和 walk
input {
snmp {
get => ["1.3.6.1.2.1.1.1.0", "1.3.6.1.2.1.1.3.0", "1.3.6.1.2.1.1.5.0"]
walk => ["1.3.6.1.2.1.1"]
hosts => [{host => "udp:127.0.0.1/161" community => "public"}]
}
}
指定所有全局选项
input {
snmp {
get => ["1.3.6.1.2.1.1.1.0"]
hosts => [{host => "udp:127.0.0.1/161"}]
mib_paths => ["path/to/converted/mibfile.dic"]
oid_root_skip => 0
interval => 30
}
}
轮询主机信息编辑
所有轮询的主机信息都存储在事件 @metadata 中
-
[@metadata][host_protocol]:udp或tcp -
[@metadata][host_address]: 主机地址,例如127.0.0.1 -
[@metadata][host_port]: 主机端口(例如161) -
[@metadata][host_community]: 社区字符串,例如public
默认情况下,使用 [@metadata][host_address] 值将 host 字段添加到事件中。
config :add_field, :validate => :hash, :default => { "host" => "%{[@metadata][host_address]}" }
您可以通过指定备用 add_field 来自定义 host 字段的格式和内容。
示例
input {
snmp {
get => ["1.3.6.1.2.1.1.1.0"]
hosts => [{host => "udp:127.0.0.1/161"}]
add_field => {host => "%{[@metadata][host_protocol]}:%{[@metadata][host_address]}/%{[@metadata][host_port]},%{[@metadata][host_community]}"}
}
}