Пример маленькой автоматизации zabbix-Mikrotik-ELK⁠⁠

Девопс это про сферу деятельности. Это ответвление админов, в помощь непосредственно разрабам, грубо говоря.
А собирать с микротов логи, пусть и таким навороченым инструментом - админство.

Я могу быть не прав, да скорее всего так и есть, но думаю, что связка ELK для 55 рутеров избыточна и проще использовать было какой-нибудь SNMP-trapper.

Каждый в целом сам принимает те или иные решения)

Хорошего пинга и горящего линка, плюсик за трудолюбие))

Жили раньше все без логов и дальше бы в принципе жили)

обалденная фраза, которая характеризует всю вашу компанию, где у вас там 55 микротиков завелось. ну и заодно it-руководителя, если таковой имеется.

Вся фишка в веб-интерфейсе - KIBANA.

Только из-за нее можно ставить ELK.

Я в 2017 году установил ELK и переложил на других поиск в логах - почему же почта не ходит. В итоге меня премировали, время поиска ошибки значительно сократилось.

В 2018 программистам объяснил, что они не правы и нужно правильно формировать логи, тогда и понятнее будет, что происходит с программой.

Основная прибыль - теперь администратор может переложить задачу по анализу на других.

Топик-стартеру замечания:

0. Молодец. Но есть возможность улучшить.

1. Вы ужасно пишете на python. Надо это улучшить.

2. Зачем вам этот скрипт? Почему бы сразу не отправить запрос в Elasticsearch, индекс mikrotik, где хранили бы записи о своих микротиках, к каждой записи добавили бы еще и ttl, тогда не нужно удалять записи в ручную. И тогда у вас ansible опрашивал бы elasticsearch, получал бы в ответ json, проходился по json массиву.
https://www.elastic.co/blog/ttl-documents-shield-and-found
3. Если у вас стоит современная система, то там всегда есть systemd, а значит есть и systemd-timer. Забудь-те про cron.
4. Вам пора уже осваивать hashicorp vault + consul. Многие вещи станут лучше.
5. Нужно еще при настройке загружать дашборды и пайплайны в Elasticsearch. Это было сделано?

Суреката/Suricata. Есть готовое решение - вот его и пробовал завести
И сразу приношу извинения - Stamus Networks Open Source - SELKS (Suricata, Elasticsearch, Logstash, Kibana and Stamus Scirius Community Edition )

Немного неправильно написал :-(

Главное понимать, чем девопс от админа отличается, может с этого начать?

Оценивал я) Мне показалось , на основании вашей публикации, что знаний и навыков у вас достаточно, а главное желание разбираться во всем этом. Ну ладно, я не рекрутер не буду уговаривать.

Речь идёт о позиции Джуниор девопс а не обслуживать бухгалтерию))

И  что такого интересного в логах микротиков ?
У меня их за сотню, но с такой потребностью я не сталкивался.

Автоматизация действий, это грамотное админство, а не девопс.

О какой методологии речь? Типа, если для работы используется что-то сложнее блокнота и ping, то это девопс, или что?

@virrasha, logstash не обязательно перезапускать у него в конфиге есть настройка что бы он сам перечитывал конфиг

# Periodically check if the configuration has changed and reload the pipeline

# This can also be triggered manually through the SIGHUP signal

#

config.reload.automatic: true

#

# How often to check if the pipeline configuration has changed (in seconds)

# Note that the unit value (s) is required. Values without a qualifier (e.g. 60)

# are treated as nanoseconds.

# Setting the interval this way is not recommended and might change in later versions.

#

config.reload.interval: 10s

И еще я у себя сделал просто отдельный порт в logstash куда прилетают логи только в микротов и тогда не нужна вообще менять конфиг logstasg

input {

udp {

port => 5045

type => mikrotik

}

}

filter {

if [type] == "mikrotik" {

date {

match => ["message", "dd/MMM/YYYY:HH:mm:ss Z"]

target => "@timestamp"

}

grok {

match => {"message" => "%{NOTSPACE:topics}\s%{GREEDYDATA:log_message}"}

}

mutate {

split => ["topics", ","]

}

if "firewall" in [topics] {

grok {

match => { "log_message" => "(%{NOTSPACE:logprefix}\s)?%{DATA:logchain}:\sin:%{DATA:interface_in}\sout:%{DATA:interface_out}, src-mac\s%{NOTSPACE:src_mac}\,\sproto\s%{WORD:proto}(\s)?(\(%{DATA:con_state}\))?, %{IPV4:src_ip}(:%{INT:src_port})?->%{IPV4:dst_ip}(:%{INT:dst_port})?,(\s%{GREEDYDATA:NAT}\,)? len %{INT:length}" }

remove_field => ["log_message"]

}

if ("" in [NAT]) {

grok {

match => { "NAT" => "NAT %{GREEDYDATA:entry_point}->\(%{IPV4:nat_entry_ip}(:%{INT:nat_entry_port})?->%{IPV4:nat_dst_ip}(:%{INT:nat_dst_port})?\)" }

add_tag => [ "nat" ]

remove_field => ["NAT"]

}

}

}

if "system" in [topics] {

if "account" in [topics] {

grok {

match => {"log_message" => "user %{NOTSPACE:user} logged (?:out|in) from %{IP:src_ip} via %{WORD:src_type}"}

remove_field => ["log_message"]

}

}

if [log_message] =~ /^login failure/ {

grok {

match => {"log_message" => "login failure for user %{NOTSPACE:user} from %{IP:src_ip} via %{WORD:src_type}"}

add_tag => [ "failure" ]

remove_field => ["log_message"]

}

}

if [log_message] =~ /^'\w+' rule/ {

grok {

match => {"log_message" => "%{WORD:rule_type} rule %{WORD:rule_action} by %{NOTSPACE:user}"}

add_tag => [ "rule" ]

remove_field => ["log_message"]

}

}

}

if "ppp" in [topics] {

if "account" in [topics] {

grok {

match => {"log_message" => "%{NOTSPACE:user} logged (?:out|in), (?:%{IPV4:local_ip}|%{GREEDYDATA:OtherData}) from %{IPV4:src_ip}"}

add_tag => [ "vpn","account" ]

add_field => { "src_type" => "vpn" }

remove_field => ["log_message"]

}

}

if "info" in [topics] and [log_message] =~ /^\<\w+\-\S+\>\:/ {

grok {

match => {"log_message" => "<%{NOTSPACE:vpn_type}-%{NOTSPACE:user}>:\s%{GREEDYDATA:vpn_state}"}

add_tag => [ "vpn","state","pptp" ]

remove_field => ["log_message"]

}

}

}

if ("" in [src_ip]) {

cidr {

add_tag => [ "src_local" ]

address => [ "%{src_ip}" ]

network => [ "10.0.0.0/8" ]

}

if "src_local" not in [tags] {

geoip {

source => "src_ip"

}

geoip {

source => "src_ip"

default_database_type => "ASN"

target => "geoip_ASN"

}

}

}

mutate {

#add_tag => [ "mikrotik" ]

convert => {

"length" => "integer"

"src_port" => "integer"

"nat_entry_port" => "integer"

"nat_dst_port" => "integer"

"dst_port" => "integer"

}

rename => { "[geoip][country_name]" => "[geoip][country]" }

rename => { "[geoip_ASN][asn]" => "[geoip][asn]" }

rename => { "[geoip_ASN][as_org]" => "[geoip][as_org]" }

rename => { "[geoip][latitude]" => "[geoip][location][lat]" }

rename => { "[geoip][longitude]" => "[geoip][location][lon]" }

remove_field => [ "[geoip][timezone]","OtherData","geoip_ASN" ]

remove_tag => ["grokked","_geoip_lookup_failure","_dateparsefailure"]

}

}

}

output {

if [type] == "mikrotik" {

elasticsearch {

hosts => ["https://elk:9200"]

cacert => '/etc/elasticsearch/certs/CA.crt'

index => "mikrotik-%{+YYYY.MM}"

user => "logstash_internal"

password => "pass"

manage_template => false

}

}

}

А пощупайте SELK - я пробовал, но не осилил пересылку логов. У вас скил вроде поболее.