网络大数据分析 -- 使用 ElasticSearch + LogStash + Kibana 来可视化网络流量

最新推荐文章于 2024-07-22 20:22:10 发布
最新推荐文章于 2024-07-22 20:22:10 发布
阅读量1.7w 收藏 15
点赞数 1
分类专栏: Bigdata Network Cloud Computing Docker 文章标签: elasticsearch 网络 network logstash kibana
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yeasy/article/details/45332493
版权
本文介绍了如何利用ELK套装(ElasticSearch、LogStash、Kibana)配合NetFlow或sFlow协议,实现网络流量的实时可视化。详细讲述了ELK的安装配置过程,包括ElasticSearch的安装、LogStash的配置以及Kibana的启动。此外,还展示了如何通过Docker生成流量,以及使用Kibana创建可视化模板来监控网络流量。
摘要由CSDN通过智能技术生成

简介

ELK 套装包括 ElasticSearch、LogStash 和 Kibana。 其中,ElasticSearch 是一个数据搜索引擎(基于 Apache Lucene)+分布式 NoSQL 数据库;LogStash 是一个消息采集转换器,类似 Syslog,可以接收包括日志消息在内的多种数据格式,然后进行格式转换,发送给后端继续处理;Kibana 是一个 Web 前段,带有强大的数据分析、整理和可视化功能。

是不是听起来就觉得十分强大!

一般情况下,ELK 套装的工作流程为 原始数据 -> LogStash -> ElasticSearch -> Kibana

网络流量信息采集协议常见包括 sFlow 和 NetFlow,两种协议都支持采集需要的网络信息,发送到指定的采集器(例如 netflow-analyzersFlowTrend 和 softflowd)。其中,sFlow 一般基于采样,NetFlow 则可以基于所有网包信息获取更为精确的信息。

这里展示如何使用 ELK 套装 + NetFlow 来实时可视化网络流量,基于 sFlow 的操作是类似的,也给出了关键步骤。

安装 ELK 套装

快速体验

觉得下面的本地安装过程太复杂的,可以直接从 https://github.com/yeasy/docker-compose-files/tree/master/elk_netflow 下载 docker-compose 模板,一键部署并启动。

$ sudo mkdir -p /opt/data/elasticsearch/
$ git clone https://github.com/yeasy/docker-compose-files.git && cd elk_netflow
$ docker-compose up

启动后,logstash 将监听本地 2055 端口过来的 netflow 消息;kibana 监听在 5601 端口;elasticsearch 监听在 9200 端口。

安装 ElasticSearch

步骤参考 http://www.elasticsearch.org/guide/en/elasticsearch/reference/current/setup-repositories.html。可以选择源码编译或安装包安装。

安装和启动服务

以 CentOS 下使用安装包为例,首先添加证书。

$ rpm --import https://packages.elasticsearch.org/GPG-KEY-elasticsearch

添加源文件 /etc/yum.repos.d/elasticsearch.repo,内容为

[elasticsearch-1.4]
name=Elasticsearch repository for 1.4.x packages
baseurl=http://packages.elasticsearch.org/elasticsearch/1.4/centos
gpgcheck=1
gpgkey=http://packages.elasticsearch.org/GPG-KEY-elasticsearch
enabled=1

执行安装命令

$ yum update; yum install -y elasticsearch

如果开启了 iptables,需要打开相关的端口。

-A INPUT -p tcp -m state --state NEW -m tcp -m multiport --dports 9200:9400 -j ACCEPT
-A INPUT -m pkttype --pkt-type multicast -j ACCEPT

启动 elasticsearch 服务,默认监听在 9200 端口。

$ /etc/init.d/elasticsearch restart

配置 elasticsearch 服务随系统自动启动

$ chkconfig --add elasticsearch

此时,查询本地 9200 端口,会获取类似下面的反馈信息,表示服务启动成功。

$ curl -XGet localhost:9200
{
   
  "status" : 200,
  "name" : "Thunderball",
  "cluster_name" : "elasticsearch",
  "version" : {
   
    "number" : "1.4.4",
    "build_hash" : "c88f77ffc81301dfa9dfd81ca2232f09588bd512",
    "build_timestamp" : "2015-02-19T13:05:36Z",
    "build_snapshot" : false,
    "lucene_version" : "4.10.3"
  },
  "tagline" : "You Know, for Search"
}

配置文件在 /etc/elasticsearch/elasticsearch.yml,选项不是特别多,有详细的注释说明。

最低0.47元/天 解锁文章
yeasy
关注
专栏目录
Elasticsearch+Logstash+kibana搭建可视化日志分析平台
MyHerux的博客
05-11 1520
Elasticsearch+Logstash+kibana搭建可视化日志分析平台 Elasticsearch安装 关闭防火墙(开放对应端口也可以) systemctl stop firewalld 安装 JDK8 Elasticsearch 需要 Java 8 的环境。 # yum -y list java* # yum -y install ...
ELK之使用packetbeat分析网络包流量
abtmh02622的专栏
04-18 1122
  介绍   packbeat是一个开源的实时网络抓包与分析框架,内置了很多常见的协议捕获及解析,如HTTP、MySQL、Redis等。在实际使用中,通常和Elasticsearch以及kibana联合使用,用于数据搜索和分析以及数据展示。   目前Packebeat支持的协议如下: ICMP (v4 and v6) DNS HTTP Mysql ...
基于大数据的智能网络分析
weixin_33739627的博客
05-05 1309
2018云栖大会深圳峰会弹性计算、网络和CDN专场上,阿里云高级技术专家云州给大家一起探讨了大数据的智能网络分析。通过介绍全球网络的超大规模,进而说明了智能网络齐天的设计必要性,着重详讲解了齐天智能网络的四大分析功能特性,包括网络大盘、网络异常、网络资源和网络运营,最后对未来进行了简要规划。 数十款阿里云产品限时折扣中,赶快点击这里,领券开始云上实践吧...
Elasticsearch基础(六):使用Kibana Lens进行数据可视化
最新发布
Lansonli(蓝深李)的博客
07-22 1465
标题填写Delayed flights,选中保存后添加至Dashboard,单击保存并返回,此可视化将立即被添加到仪表板中。完成以上操作后,用户已经成功体验了Kibana Lens灵活的数据可视化功能,在仪表板中创建了条形图、表格、圆环图和树状图等可视化视图。拖动FlightDelay字段到页面中间的可视化区域,创建一个包含计数的可视化。单击右上角保存,标题为Flights Dashboard,单击保存。Lens允许创建多个图层,并允许将多个数据源中的数据组合到一个可视化中。单击右上角的保存,保存仪表板。
网络流量数据分析平台(1)
W5539228的博客
12-20 1837
网络流量数据分析平台(1) 本系列文章用来记录搭建网络流量大数据平台的过程,后续可能还会写关于做流量分析的部分。 废话不多说,直接开始。 一、项目需求 本项目旨在构建一个网络全流量大数据分析平台的核心子系统,承载着网络流量数据的实时在线处理、持久化存储和检索、分布式数据挖掘等方面大数据存储和计算能力的平台支撑和数据应用。 二、系统架构 总体架构图如下: 使用的软件版本如下: 三、系统功能 因为流量采集使用了一个开源工具,对流量进行了初步的协议解析,所以传入我们系统的是两种流量数据:已知协
基于Elasticsearch+Logstash+Kibana的小型流量分析系统
击水三千里的专栏
09-15 1068
目录 总体流程 虚拟机环境搭建 1、在虚拟机中安装CentOS 2、在每个CentOS中都安装Java logstash部署以及上手使用 安装mysql以及手动导入样例数据 使用logstash将mysql数据导入elasticsearch 安装和部署kibana 基于kibana制作网站流量分析报表 总体流程 小型的流量分析系统,怎么来做,就讲解其中的一个做法和场景 1...
大数据搜索与日志挖掘及可视化方案--ELK+Stack+Elasticsearch+Logstash+Kibana.pdf
02-13
大数据搜索与日志挖掘及可视化方案--ELK+Stack+Elasticsearch+Logstash+Kibana大数据搜索与日志挖掘及可视化方案--ELK+Stack+Elasticsearch+Logstash+Kibana
人工智能-项目实践-可视化-利用Elasticsearch, LogStash, Kibana集群实现数据可视化.zip
12-23
人工智能-项目实践-可视化-利用Elasticsearch, LogStash, Kibana集群实现数据可视化 只需执行下面命令 docker-compose up 运行完成之后即可在http://localhost:5601访问到Kibana界面。本章节操作完 成后,我们...
ELK【elasticsearch+logstash+kibana】企业级日志分析系统
shanjun12的博客
04-09 787
ELK【elasticsearch+logstash+kibana】企业级日志分析系统
ELK日志分析系统(ELasticsearch+Logstash+Kibana)——理论+实例
m0_47452405的博客
10-29 729
文章目录一、ELK日志分析系统简介二、 Elasticsearch介绍三、Logstash介绍四、Kibana介绍五、部署ELK日志分析系统5.1配置elasticsearch环境5.2安装logstash5.3在node2 节点安装kibana5.4对接Apache 一、ELK日志分析系统简介 日志分析是运维工程师解决系统故障,发现问题的主要手段。日志主要包括系统日志、应用程序日志和安全日志。系统运维和开发人员可以通过日志了解服务器软硬件信息、检查配置过程中的错误及错误发生的原因,经常分析日志可以了解服务
基于Kibana和ES的苏宁实时日志分析平台-彭燕卿
04-14
20161210Elastic{ON} Dev China 2016 会议 PPT
docker-elk-netflow:配置了Netflow的ElasticsearchLogstashKibana设置
05-01
docker-elk-netflow Elasticsearch / Logstash / Kibana设置配置为Netflow接收器 基于 $NETFLOW_PORT UDP $NETFLOW_PORT ,默认情况下为9995。 使用或发送数据。
softflowd源码包
11-24
make/make install安装后,即可以使用。 可以指定监听某个接口/pcap文件,生成v5/v9版本的netflow,并且可以将它转发给指定的netflow采集器。 用法示例: ./softflowd -i em1 -v 5 -n 1.1.1.1:9999 ./softflowd -r /root/xxx.pcap -v 5 1.1.1.1:9999
elk - packetbeat 流量分析
weixin_34348174的博客
09-23 490
2019独角兽企业重金招聘Python工程师标准>>> ...
ELK网络流量分析elasticflow
ststcheung的博客
10-12 407
把路径 /usr/local/src/elastiflow/kibana下的文件elastiflow.kibana.7.8.x.ndjson拷到电脑本地 ,然后如上操作上传。把交换机日志收集的索引新建为filebeat-syslog-* 流量分析的索引是默认产生。
elasticsearch入门知识讲解(二)
TonyWu的博客
04-11 447
什么是文档?编辑在大多数应用中,多数实体或对象可以被序列化为包含键值对的 JSON 对象。 一个 键 可以是一个字段或字段的名称,一个 值 可以是一个字符串,一个数字,一个布尔值, 另一个对象,一些数组值,或一些其它特殊类型诸如表示日期的字符串,或代表一个地理位置的对象: 通常情况下,我们使用的术语 对象 和 文档 是可以互相替换的。不过,有一个区别: 一个对象仅仅是类似于 hash 、 hash...
ELK+Elastifolw--网络流量监控
suixhxy的博客
05-24 1621
执行命令ip netstream export host ip-address port-number [ vpn-instance vpn-instance-name ],配置IPv4原始流统计信息输出报文的目的NSC。配置第三个输出目的地址时,则需要先使用undo ip netstream export host命令取消原来配置的目的NSC地址。注:没给es添加密码之前,访问地址登录是不需要输入账号密码的,直接能打开地址。否则,系统会提示超出最大的输出地址数,从而无法进行配置。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值