数据库审计一(ELK结合packetbeat分析)

于 2024-08-23 14:35:35 发布
阅读量474 收藏 6
点赞数 18
文章标签: 数据库 elk 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fangyingquano/article/details/141465302
版权

一、介绍

packetbeat是一个实时的网络数据包分析器,可以使用Elasticsearch提供应用程序监控和性能分析系统。packetbeat可通过提供你的网络服务器之间的可见性。

packetbeat通过捕捉你的应用服务器之间的网络流量,解码的应用层协议(HTTP,mysql,redis等等),将请求与响应相关联,并记录每个事务的字段。

packetbeat可以帮助您轻松地通知你的后端应用程序的问题,如错误或性能问题进行故障排查,而且他们因此更快的进行问题定位。

packetbeat探嗅服务器之间的流量,动态分析的应用层协议,并将消息关联到事务中。目前packetbeat支持以下协议:

ICMP (v4 and v6)

DNS

HTTP

AMQP 0.9.1

Cassandra

Mysql

PostgreSQL

Redis

Thrift-RPC

MongoDB

Memcache

TLS

packetbeat可以插入相关的事务直接进入到一个中央队列elasticsearch、redis或logstash进行创建。

packetbeat可以运行在与应用程序进程相同的服务器上,也可以在自己的服务器上单独运行。当在专用服务器上运行时,Packetbeat可以从交换机的镜像端口或窃听设备获得流量。在这样的部署中监视应用程序上的开销为零。详情请参阅设置流量捕获选项。在解码了第7层消息之后,请求与我们所称的事务中的响应相关联。对于每个事务,packetbeat将插入一个JSON文档到Elasticsearch。有关哪些字段被索引的详细信息,请参见导出字段部分。相同的ElasticSearch和Kibana实例用于分析Packetbeat收集的网络流量,可以用于分析Logstash收集的日志文件。通过这种方式,您可以在同一系统中进行网络通信和日志分析。

二、部署packetbeat及在elasticsearch中加载packetbeat索引模板

curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-6.1.2-x86_64.rpm

rpm -ivh packetbeat-6.1.2-x86_64.rpm

egrep -v "#|^$" /etc/packetbeat/packetbeat.yml

packetbeat.interfaces.device: any

packetbeat.flows:

  timeout: 30s

  period: 10s

packetbeat.protocols:

- type: amqp

  ports: [5672]

- type: cassandra

  ports: [9042]

  include_authorities: true

  include_additionals: true

- type: http

  ports: [80, 8080, 8000, 5000, 8002]

- type: memcache

  ports: [11211]

- type: mysql

  ports: [3306]

- type: pgsql

  ports: [5432]

- type: redis

  ports: [6379]

- type: thrift

  ports: [9090]

- type: mongodb

  ports: [27017]

- type: nfs

  ports: [2049]

- type: tls

  ports: [443]

setup.template.settings:

  index.number_of_shards: 3

setup.kibana:

output.elasticsearch:

  hosts: ["172.29.36.187:9200"]

开启packetbeat服务:

service packetbeat start

创建/etc/yum.repos.d/elasticsearch.repo,并添加如下内容:

[elasticsearch-6.x]

name=Elasticsearch repository for 6.x packages

baseurl=https://artifacts.elastic.co/packages/6.x/yum

gpgcheck=1

gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch

enabled=1

autorefresh=1

type=rpm-md

通过yum源安装elasticsearch

yum install elasticsearch

配置/etc/elasticsearch/elasticsearch.yml中相关参数

path.data: /home/elasticsearch

network.host: 172.29.36.187

开启elasticsearch服务

/etc/init.d/elasticsearch start

在Elasticsearch中索引模板用于定义设置和映射,这些设置和映射决定如何分析字段。

Packetbeat的推荐索引模板文件是由Packetbeat包安装的。如果您接受packetbeat.yml配置文件中的默认配置,则Packetbeat在成功连接到elasticsearch之后将自动加载模板。如果模板已经存在,除非您配置Packetbeat否则它不会被覆盖。 可以通过在Packetbeat配置文件中配置模板加载选项来禁用自动加载模板或加载自定义的模板。 还可以设置选项以更改索引和索引模板的名称。 

注:加载索引模板需要连接到Elasticsearch。如果输出是Logstash,则必须手动加载模板。 

默认情况如果启用了Elasticsearch输出,Packetbeat会自动加载推荐的模板文件fields.yml。可以将packetbeat.yml配置文件中的默认值更改为:

setup.template.name: “packetbeat"

setup.template.fields: "/etc/packetbeat/fields.yml"

如果模板已经存在,它不会覆盖配置packetbeat

覆盖现有模板

setup.template.overwrite:true

禁用自动模板加载

setup.template.enabled:false

手动加载模板(代替方法) 如果运行PacketBate的主机没有与Elasticsearch的直接连接,则可以将索引模板导出到文件中,将其移动到已经连接性的机器上,然后手动安装该模板。

packetbeat export template > packetbeat.template.json

curl -XDELETE 'http://172.29.36.187:9200/packetbeat-*'

curl -XPUT -H 'Content-Type: application/json' 'http://172.29.36.187:9200/_template/packetbeat' -d@paacketbeat.template-es.json

{"acknowledged":true}

curl -XGET 'http://172.29.36.187:9200/packetbeat-*/_search?pretty'

三、部署kibana及相关配置

创建/etc/yum.repos.d/kibana.repo,并添加如下内容:

[kibana-5.x]

name=Kibana repository for 5.x packages

baseurl=https://artifacts.elastic.co/packages/5.x/yum

gpgcheck=1

gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch

enabled=1

autorefresh=1

type=rpm-md

通过yum源安装kibana

yum install kibana

配置/etc/kibana/kibana.yml文件中的如下参数

server.host: “172.29.36.187"

elasticsearch.url: "http://172.29.36.187:9200”

开启kibana服务

/etc/init.d/kibana start

Packetbeat附带了例如Kibana仪表板、可视化和搜索Kibana中的Packetbeat数据。在使用仪表板之前,您需要创建索引模式packetbeat-*,并将仪表板加载到Kibana。为此您可以运行安装命令(如这里所述),也可以在packetbeat.yml配置文件中配置仪表板加载。

# packetbeat setup --dashboards

Loaded dashboards

kibana效果展示如下

使用nginx访问,添加kibana-nginx.conf配置如下内容:

worker_processes  1;

events {

    worker_connections  1024;

}

http {

    include       mime.types;

    default_type  application/octet-stream;

    sendfile        on;

    keepalive_timeout  65;

    server {

        listen       80;

        server_name  localhost;

        auth_basic "Restricted Access";

        auth_basic_user_file /usr/local/openresty/nginx/conf/htpasswd.users;

         location / {

              proxy_pass http://172.29.36.187:5601;

              proxy_set_header Upgrade $http_upgrade;

              proxy_set_header Connection 'upgrade';

              proxy_set_header Host $host;

              proxy_cache_bypass $http_upgrade;

         }

        error_page   500 502 503 504  /50x.html;

        location = /50x.html {

            root   html;

        }

    }

}

参考链接:

Packetbeat quick start: installation and configuration | Packetbeat Reference [8.15] | Elastic

Configure traffic capturing options | Packetbeat Reference [master] | Elastic

Q&A

启elasticsearch报错 elasticsearch 5.6.6版本

[2] bootstrap checks failed

[1]: max number of threads [1024] for user [elasticsearch] is too low, increase to at least [2048]

[2]: system call filters failed to install; check the logs and fix your configuration or disable system call filters at your own risk

解决:

在elasticsearch.yml中配置bootstrap.system_call_filter为false,注意要在Memory下面:

bootstrap.memory_lock: false

bootstrap.system_call_filter: false

编辑limits.conf 添加类似如下内容

vi /etc/security/limits.conf

添加如下内容:

* soft nofile 65536

* hard nofile 131072

* soft nproc 2048

* hard nproc 4096

对于第二条错误同意需要切换到root用户,进入limits.d目录下修改配置文件。

vi /etc/security/limits.d/90-nproc.conf

修改如下内容:

* soft nproc 1024

#修改为

* soft nproc 2048

第三条错误需要切换到root用户修改配置sysctl.conf

vi /etc/sysctl.conf

添加下面配置:

vm.max_map_count=655360

并执行命令:

sysctl -p重新启动elasticsearch,即可启动成功。

secaryuan
关注
  • 18
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
快速搭建ELK日志分析系统
01-27
ELK是Elasticsearch、Logstash、Kibana的简称,这三...Logstash是一个用来搜集、分析、过滤日志的工具。它支持几乎任何类型的日志,包括系统日志、错误日志和自定义应用程序日志。它可以从许多来源接收日志,这些来源包
使用ELK搭建日志集中分析平台实践
01-27
Elasticsearch+Logstash+Kibana(ELK)是一套开源的日志管理方案,分析网站的访问情况时我们一般会借助Google/百度/CNZZ等方式嵌入JS做数据统计,但是当网站访问异常或者被攻击时我们需要在后台分析如Nginx的具体...
ELK Packetbeat配置使用及MySQL抓包审计
人生就是一场修行
10-22 9454
目录一、Packetbeat 概述二、Packetbeat 安装配置**1、rpm安装:****2、配置****3、配置模板加载**三、基于packetbeat采集MySQL语句,操作审计四、packetbeat 配置优化1、设置流量捕获选项2、设置流以监控网络流量3、指定要监视的事务协议4、过滤并增强导出的数据`or` 一、Packetbeat 概述 Packetbeat 轻量型网络数据采集器 ...
强大的ELK日志分析系统!
guguai7的博客
08-16 4701
ELK日志分析系统一.ELK日志分析系统简介1.日志服务器的优缺点2.ELK简介3.Logstash管理包含四种工具4.elk工作原理二.Elasticsearch介绍三.Elasticsearch的基础核心概念:1.接近实时(NRT)2.集群(cluster)3.节点(node)4.索引(index)5.类型(type)6.文档(document)7.分片和副本(shards & replicas)四.logstash介绍1.logStash的主要组件:2.LogStash主机分类:五.Kiban
ELK_日志分析系统
潇潇雨歇
08-12 2049
文章目录一.ELK日志分析系统1.ELK组件2.日志处理步骤3.日志分析步骤:4.Elasticsearch1)概述:2)分片和副本分片的最大原因:副本的主要原因5.LogStash1)概述2)LogStash主要组件3)主机分类4)工作原理5.Kibana概述1)主要功能:提供展示页面二.部署ELK 一.ELK日志分析系统 ELK是由Elasticsearch、Logstash、Kiban三个开源软件的组合。在实时数据检索和分析场合,三者通常是配合 共用,而且又都先后归于 Elastic.co 公司名下,
ELK日志收集分析服务
zhangkangren的博客
01-12 1194
ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。新增了一个FileBeat,它是一个轻量级的日志收集处理工具(Agent),Filebeat占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。
ELK---日志分析系统
weixin_48190863的博客
08-11 583
ELK日志分析系统 ELK的组件及其组件功能 Elasticsearch:搜索引擎,对格式化后的数据进行索引和存储 Logstash:收集日志,格式化日志,将日志格式化(Logstash)并输出到Elasticsearch Kibana:前端数据的展示 Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是一个完全开源的工具,它可以对你的日志进行收集、过滤, 并将其存储,供以后
ELK+Filebeat+Redis部署应用指导书(一)
杭州吉网-运维日记
12-23 3082
原创作者:运维工程师 谢晋 ELK+Filebeat+Redis部署应用指导书(一)概述ElasticStack平台简介ElasticStack体系架构系统运行环境系统硬件环境:系统软件环境安装前准备配置网络环境 概述      为本公司ELK相关实施工作的顺利实施,公司数据库部门特制定一系列规范手册以指导软件的实施部署。本文即为其中之一。      此文档用于指导在Centos 7.x(本文档以7.7为示范,7.8以上包括7.8不适用)平台上安装ELK日志分析平台收集Nginx日志。安装可以分成3
ELK日志
folyh
04-19 960
ELK是Elasticsearch、Logstash、Kibana三大开源框架首字母大写简称(但是后期出现的Filebeat(beats中的一种)可以用来替代Logstash的数据收集功能,比较轻量级)。市面上也被成为Elastic Stack。
使用elk beats的packetbeat 来进行mysql的网络抓包审计
weixin_30625691的博客
08-16 380
由于之前使用插件类型的方式来进行了mysql的审计,一是有两例mysql的实例崩溃,二是对性能影响比较大,故在寻求其他的解决方案。后来发现elk beats项目,便拿来试了下,后上线了200个实例,运行了2个月,没有出现问题,故和大家简单分享一下,如需详细了解的话,可以查看官方文档。 packetbeat 支持多种协议的网络抓包,可以将抓包结果发送到es存储起来,非常方便。 性...
ELK简介与学习路线-ELK
抽象的螺旋
12-20 2564
概述 人工智能、大数据快速发展的今天,对于 TB 甚至 PB 级大数据的快速检索已然成为刚需。Elasticsearch 作为开源领域的后起之秀,从2010年至今得到飞跃式的发展。 Elasticsearch 以其开源、分布式、RESTFul API 三大优势,已经成为当下风口中“会飞的猪”。 ELK认知 ELK Stack(ELK技术栈)由最早期的最核心的Elasticsearch(以下部分简称ES)、集合Logstash(日志存储)、Kibana、beats等发展而来,形成ELK Stack体系,如下图
采用ELK搭建日志分析系统.docx
10-13
ELK(Elasticsearch, Logstash, Kibana)栈是一种流行的日志分析和管理系统,它可以帮助企业收集、处理、存储和展示来自不同来源的日志数据。本文将详细介绍如何使用ELK搭建日志分析系统。 首先,我们从基础开始,...
ELK开源日志审计系统
12-25
文件列表: x86_64_tar -------------------------- X86二进制包 x86_64_rpm -------------------------- X86 RPM安装包 x86_64_deb -------------------------- X86 DEB安装包 arm64_rpm ------------------------...
ELK日志分析平台搭建全过程
01-27
创建一个名为/elk的目录,用于存放ELK组件,并将其所有者设置为elk用户。 在确保防火墙已关闭的情况下,可以开始安装ELK组件。Elasticsearch是ELK中的核心,负责存储和检索日志数据。首先,以elk用户身份登录,下载...
【达梦数据库】-导入导出过程中get DDL复现过程
weixin_47686079的博客
08-20 309
在处理问题的过程中,客户反馈在达梦数据库中导入导出分区表,get 表的DDL,不会出现表的所有分区信息,ORACLE数据库却会出现所有分区表,事实真的如此吗?
Spring Boot实现简单的Oracle数据库操作
beautiful77moon的博客
08-18 453
使用到的技术:1. Spring Boot:用于简化Spring应用的开发。2. Dynamic DataSource:实现动态多数据源的访问和切换3. Oracle JDBC Driver:与Oracle数据库进行连接和交互。4. Mybatis-Plus:简化SQL映射和数据库访问。其中BaseMapper接口提供了对数据表进行基本操作的功能。5. Lombok:用于简化Java类的开发,自动生成常用的代码,比如getter、setter、构造函数等。
分布式事务:基本概念
最新发布
玉汝于成
08-20 271
事务可以看做事一次大的活动,它由不同的小的活动组成,这些活动要么全部成功,要么全部失败。
linux安装达梦数据库
HAN_789的博客
08-19 222
如果无法创建dmdba 文件夹,需要进入root用户下 在管理员用户下,这种安装方式一般只用于验证,开发,测试,生产最好还是安装传统的方式安装。在 home/dmdba/dmdbms/bin 目录下执行。(1)将文件上传到 /home/dmdba/ 目录下。(2)加压:tar -xzvf dmdb.tar.gz。进入到root就可以创建dmdba 文件夹了。1、后台启动,一般建议用后台启动。
elk之使用packetbeat分析网络包流量
06-28
### 回答1: 使用Packetbeat可以分析网络包流量,它是一个轻量级的网络数据包分析工具,可以实时监控网络流量并提供详细的统计信息。Packetbeat可以捕获各种协议的数据包,包括HTTP、MySQL、DNS等,同时也支持自定义协议的解析。通过分析Packetbeat捕获的数据包,可以了解网络应用程序的性能瓶颈、网络安全问题等,从而优化网络性能和提高安全性。在ELK(Elasticsearch、Logstash、Kibana)堆栈中,Packetbeat可以将捕获的数据包发送到Logstash进行处理,并将结果存储在Elasticsearch中,最后通过Kibana进行可视化展示和分析。 ### 回答2: Packetbeat是一款实时网络包分析工具,可以对网络流量进行监控、分析和记录。而使用Packetbeat来分析ELK的网络包流量,可以获得以下好处: 1. 实时监控网络流量 Packetbeat可以实时监控网络流量,从而及时发现网络故障和安全问题。这可以帮助ELK及时发现应用程序或系统的问题,从而避免了服务中断和安全漏洞。 2. 精确的流量分析 Packetbeat可以识别各种网络流量协议和应用程序,从而分析网络流量中的详细内容。这些信息可以帮助ELK更好地了解应用程序的运行状态,从而更好地监控和优化服务。 3. 可视化网络分析 Packetbeat可以将网络流量数据转换为可视化的图表和图形。这可以帮助ELK更直观地理解网络流量的情况,并且更好地解释结果。同时,可视化也可以使分析结果更具说服力,更易于分享给其他人。 使用Packetbeat来分析ELK的网络包流量,需要首先配置Packetbeat的捕获规则,以便捕获需要分析的网络流量。然后,需要使用Packetbeat来监控和分析捕获的流量数据,并将结果发送到ELK中进行存储和可视化分析。最后,可以使用ELK提供的分析工具来对Packetbeat收集的网络流量数据进行详细的分析和可视化展示。 总之,Packetbeat是一款强大的网络包分析工具,可以帮助ELK实时监控网络流量,并获得深入的网络分析信息。这可以使ELK更好地了解应用程序的运行状态,从而更好地优化服务和提高效率。 ### 回答3: elk是由Elasticsearch、Logstash和Kibana三部分组成的一套开源数据处理、搜索引擎和可视化工具,它能够帮助用户快速高效地存储、搜索和分析大规模数据。而packetbeat是一款轻量级的网络数据包分析器,它能够实时抓取服务器和客户端之间的网络数据、分析流量,然后将其发送到elk中进行统计和可视化。 使用packetbeat进行网络流量分析的主要过程如下: 第一步:安装和配置packetbeat 用户需要先在自己的服务器上安装packetbeat,并对其进行基本的配置,比如指定监听的网络接口、设置协议过滤规则等。packetbeat的安装和配置可参考官方文档。 第二步:将数据发送到elk packetbeat能够将抓取到的网络数据直接发送到elasticsearch中,并按照预设的格式进行索引。用户需要在packetbeat的配置文件中指定elasticsearch的地址、用户名和密码等信息,以便packetbeat能够将数据正确地发送到elk中。 第三步:在kibana中进行数据可视化和分析 在将数据发送到elk后,用户可以通过kibana来对这些数据进行可视化和分析,比如查看网络流量的变化趋势、统计不同协议的使用情况、分析数据包大小和传输速率等。用户需要在kibana中创建相应的dashboard和visualization,以便能够方便地查看和统计数据。 总的来说,使用packetbeat和elk进行网络流量分析可以帮助用户更好地了解服务器和客户端之间的网络通信情况,发现潜在的问题和瓶颈,并及时采取措施进行优化。同时,这种方式也能够提高运维人员的效率,减少故障排查的时间和成本。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值