ELK Packetbeat配置使用及MySQL抓包审计

最新推荐文章于 2024-05-15 04:28:36 发布
最新推荐文章于 2024-05-15 04:28:36 发布
阅读量9.4k 收藏 4
点赞数 2
文章标签: ELK Packetbeat MySQL审计 packetbeat部署 网络数据采集
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/fgf00/article/details/83271172
版权

目录

一、Packetbeat 概述

Packetbeat 轻量型网络数据采集器

用于深挖网线上传输的数据,了解应用程序动态。Packetbeat 是一款轻量型网络数据包分析器,能够将数据发送至 Logstash 或 Elasticsearch等。

目前,Packetbeat支持以下协议:

  • ICMP (v4 and v6)
  • DNS
  • HTTP
  • AMQP 0.9.1
  • Cassandra
  • Mysql
  • PostgreSQL
  • Redis
  • Thrift-RPC
  • MongoDB
  • Memcache
  • TLS

二、Packetbeat 安装配置

1、rpm安装:

sudo yum install libpcap
curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-6.4.2-x86_64.rpm
sudo rpm -vi packetbeat-6.4.2-x86_64.rpm

2、配置

配置文件/etc/packetbeat/packetbeat.yml。还有一个完整的示例配置文件,/etc/packetbeat/packetbeat.reference.yml其中显示了所有未弃用的选项。

vim /etc/packetbeat/packetbeat.yml 配置数据接收端,其他配置先默认即可

#============================== Kibana 
setup.kibana:
  host: "127.0.0.1:5602"  # kibana地址
  username: "elastic"     # kibanna账户密码,根据场景填写
  password: "elastic"
#-------------------------- Elasticsearch output 
output.elasticsearch:
  hosts: ["127.0.0.1:9200"]  # es地址
  username: "elastic"        # es账户密码,根据场景填写
  password: "elastic"

3、配置模板加载

第一次 启动beat前需要在es里load 对应的template

git clone https://github.com/elastic/packetbeat-dashboards
cd packetbeat-dashboards
sh load.sh -url http://你的IP地址:9200/ -user elastic:elastic

如果先启动了packetbeat,需要删掉packetbeat的es索引及Index Patterns,再加载模块操作。

Loading dashboards to http://你的IP地址:9200/ in .kibana
{"error":"Incorrect HTTP method for uri [//.kibana] and method [PUT], allowed: [POST]","status":405}No handler found for uri [//.kibana/_mapping/search] and method [PUT]Loading search Cache-transactions:
No handler found for uri [//.kibana/search/Cache-transactions] and method [PUT]
Loading search DB-transactions:
No handler found for uri [//.kibana/search/DB-transactions] and method [PUT]
......

这时,kibana上还看不到Dashboard,启动packetbeat后,就可以看的了

/etc/init.d/packetbeat start

overview

三、基于packetbeat采集MySQL语句,操作审计

packetbeat通过MySQL监听端口、即可进行抓包统计,dashboard可以展示以下等信息:

  • SQL语句执行次数排名
  • SQL执行响应时间排名

mysql

vim /etc/packetbeat/packetbeat.yml

- type: mysql
  ports: [3307, 3346]

配置MySQL监听端口,重启即可

四、packetbeat 配置优化

以上基本使用没有问题,但是默认配置,数据量太大了。几台机器一天好几百G的数据,而且这里主要做MySQL审计,所以很多地方可以优化、定制一下

1、设置流量捕获选项

  1. 嗅探选项配置

目前,Packetbeat有多种流量捕获选项:

  • pcap,它使用libpcap库并适用于大多数平台,但它不是最快的选择。
  • af_packet,它使用内存映射嗅探。此选项比libpcap更快,不需要内核模块,但它是特定于Linux的。

af_packet选项也称为“内存映射嗅探”,它使用特定于Linux的 功能。这可能是专用服务器和Packetbeat部署在现有应用程序服务器上的最佳嗅探模式。

它的工作方式是内核和用户空间程序映射相同的内存区域,并在此内存区域中组织一个简单的循环缓冲区。

af_packet嗅探器可以进一步调整使用,以换取更多的内存以提高性能。循环缓冲区的大小越大,所需的系统调用越少,这意味着消耗的CPU周期越少。缓冲区的默认大小为30 MB

  1. ignore_outgoing

如果ignore_outgoing启用该选项,Packetbeat将忽略从运行Packetbeat的服务器发起的所有事务。

当两个Packetbeat实例发布相同的事务时,这很有用。要删除重复项,可以packetbeat.ignore_outgoing在其中一台服务器上启用该选项。

packetbeat.interfaces.device: any
packetbeat.interfaces.snaplen: 1514
packetbeat.interfaces.type: af_packet
packetbeat.interfaces.buffer_size_mb: 100

packetbeat.ignore_outgoing: true

2、设置流以监控网络流量

要配置流,请使用 配置文件packetbeat.yml中的packetbeat.flows选项。默认情况下启用流量。如果配置文件中缺少此部分,则禁用网络流。

packetbeat.flows:

这里不需要,关闭后,数据量减少70倍左右

3、指定要监视的事务协议

先介绍下常用协议选项,以下选项适用于所有协议:

  • enabled

启用的设置是布尔设置,用于启用或禁用协议,而无需注释掉配置节。如果设置为false,则禁用协议。 默认值是true。

  • send_request

如果启用此选项,请求(request字段)的原始消息将发送到Elasticsearch。默认值为false。当您要索引整个请求时,此选项很有用。请注意,对于HTTP,默认情况下不包括正文,只包含HTTP标头。

  • send_response

如果启用此选项,则响应(response字段)的原始消息将发送到Elasticsearch。默认值为false。如果要索引整个响应,此选项很有用。请注意,对于HTTP,默认情况下不包括正文,只包含HTTP标头。

  • processors

要应用于协议生成的数据的处理器列表。

有关在配置中指定处理器的信息,请参阅 [筛选并增强导出的数据]。

4、过滤并增强导出的数据

您可以在配置中定义处理器,以便在将事件发送到配置的输出之前处理事件。

如果要删除所有成功的事务,可以使用以下配置:

processors:
 - drop_event:
     when:
        equals:
           http.response.code: 200
or

or运算符接收条件列表。

例如,要配置条件 http.response.code = 304 OR http.response.code = 404

or:
  - equals:
      http.response.code: 304
  - equals:
      http.response.code: 404

如题,这里做MySQL审计,一般增删改是比较需要的,二查询操作可以先过滤掉,可以如下实现:

- type: mysql
  ports: [3307, 3346]
  processors:
  - drop_event:
      when:
        or:
          - equals:
             method: SELECT
          - equals:
             method: SHOW
凌_风
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 4
    评论
packetbeat mysql_ELK Packetbeat 部署指南(15th)
weixin_33603405的博客
01-28 368
Packetbeat 是一个实时网络数据包分析工具,与elasticsearch一体来提供应用程序的监控和分析系统。Packetbeat通过嗅探应用服务器之间的网络通讯,来解码应用层协议类型如HTTP、MySQL、redis等等,关联请求与响应,并记录每个事务有意义的字段。Packetbeat可以帮助我们快速发现后端应用程序的问题,如bug或性能问题等等,修复排除故障也很快捷。Packetbeat...
Packetbeat协议扩展开发教程(3)
weixin_30633949的博客
01-13 289
前面介绍了Packetbeat的项目结构,今天终于要开始写代码了,想想还是有点小激动呢。(你快点吧,拖半天了) 网络传输两大协议TCP和UDP,我们的所有协议都不离这两种,HTTP、MySQL走的是TCP传输协议,DNS走的是UDP协议,在Packetbeat里面,实现一个自己的协议非常简单,继承并实现这两者对应的接口就行了,我们看一下长什么样: 打开一个现有的UDP和HTTP协议接口...
2024年Go最全Go异常处理——defer、panic、recover,Golang零基础
2401_84920027的博客
05-11 228
事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!二、panic和recover(宕机和宕机恢复)
2024年最全packetbeat配置分析(1),如何才能通过一线互联网公司面试
最新发布
2401_84910943的博客
05-15 762
如果指定了该选项,则在监控网络分路器或镜像端口时,Packetbeat 将尝试对与网络边界相关的不打算用于此主机的流量的网络方向性进行分类。例如,如果您为 HTTP 配置了端口 80,为 MySQL 配置了端口 3306,Packetbeat 会生成以下 BPF 过滤器:.例如,如果您为 HTTP 配置了端口 80,为 MySQL 配置了端口 3306,Packetbeat 会生成以下 BPF 过滤器:.循环缓冲区的大小越大,需要的系统调用就越少,这意味着消耗的 CPU 周期就越少。超时配置流的生命周期。
packetbeat解析pcap文件数据丢包现象及解决方式
sheehan_xu的博客
03-01 1545
packetbeat解析pcap文件丢失部分数据的解决方式
ELK应用之 Packetbeat分析网络包流量
Kason_iWiki
01-18 2082
1. 介绍 packbeat是一个开源的实时网络抓包与分析框架,内置了很多常见的协议捕获及解析,如HTTP、MySQL、Redis等。在实际使用中,通常和Elasticsearch以及kibana联合使用,用于数据搜索和分析以及数据展示。   目前Packebeat支持的协议如下: ICMP (v4 and v6) DNS HTTP Mysql PostgreSQL Redis...
开源网络抓包与分析框架学习-Packetbeat篇
weixin_30502965的博客
01-13 852
开源简介 packbeat是一个开源的实时网络抓包与分析框架,内置了很多常见的协议捕获及解析,如HTTP、MySQL、Redis等。在实际使用中,通常和Elasticsearch以及kibana联合使用,用于数据搜索和分析以及数据展示。 开发环境:Go语言 Git:源码管理 IDE:推荐sublime或者liteide 开发之前 1.packbeat已经被elastic整合在b...
ELK大数据平台安装及使用手册.doc
05-17
ELK大数据平台安装及使用手册,无任何坑,按照步骤敲命令即可。
ELK开源日志审计系统
12-25
x86_64_tar -------------------------- X86二进制包 x86_64_rpm -------------------------- X86 RPM安装包 x86_64_deb -------------------------- X86 DEB安装包 arm64_rpm -------------------------- ARM RPM...
ELK-快速入门使用
03-03
ELK是三个开源软件的缩写,分别表示:Elasticsearch,Logstash,Kibana。...使用Kibana,可以通过各种图表进行高级数据分析及展示。Logstash是一款基于插件的数据收集和处理引擎。Logstash配有大量的插件,
ELK多种架构及优劣
02-24
众所周知,大数据平台组件是很复杂的。笔者之前接触的一个大数据平台解决方案,仅平台组件就达20多个...基于此,本文向大家推荐一款开源利器——ELK组件(Apache2.0License),提供分布式的实时日志(数据)搜集和分析
ELK详细搭建及使用笔记word文档
11-15
需要注意的是,本文档只覆盖了基础的ELK Stack搭建流程,实际使用中可能需要根据业务需求调整Logstash的过滤规则,或者对Elasticsearch进行集群配置以提高可扩展性和容错性。此外,Kibana还可以用于创建复杂的仪表板...
linux下packetbeat安装和配置packetbeat流量监听http,真·避免踩坑,包教包会。(packetbeat7(1)
2401_83739503的博客
04-17 529
16、mysql的innodb如何定位锁问题,mysql如何减少主从复制延迟?2、在工作中,运维人员经常需要跟运营人员打交道,请问运营人员是做什么工作的?6、Squid、Varinsh和Nginx有什么区别,工作中你怎么选择?5、LVS、Nginx、HAproxy有什么区别?9、讲述一下Tomcat8005、8009、8080三个端口的含义?7、Tomcat和Resin有什么区别,工作中你怎么选择?3、现在给你三百台服务器,你怎么对他们进行管理?15、讲述一下LVS三种模式的工作过程?10、什么叫CDN?
Beats:如何安装 Packetbeat
Elastic 中国社区官方博客
03-17 3677
网络数据包分析器Packetbeat是第一个引入的beat。 Packetbeat捕获服务器之间的网络流量,因此可用于应用程序和性能监视。 Packetbeat可以安装在受监视的服务器上,也可以安装在其专用服务器上。 Packetbeat跟踪网络流量,解码协议并记录每笔交易的数据。 Packetbeat支持的协议包括:DNS,HTTP,ICMP,Redis,MySQL,MongoDB,Cassan......
简单使用packetbeat
weixin_30555515的博客
01-09 160
原文链接:http://ylw6006.blog.51cto.com/blog/470441/1722905 在前面两篇文章中记录了使用logstash来收集mysql的慢查询日志,然后通过kibana以web的方式展示出来,但在生产环境中,需求会更复杂一些,而且通过logstash写正则,实在是个费时费劲的事。例如在生产环境中会有要求分析某个时间段mysql或者mongodb的慢查询日志情况;...
packetbeat mysql_ELK Packetbeat 协议和进程配置项(16th)
weixin_32469089的博客
01-28 491
Packetbeat 协议部分包含支持每个协议的配置项,如ports, send_request, send_response 和 特定的协议选项。目前Packetbeat支持以下协议:DNSHTTPMysqlPostgreSQLThrift-RPC配置如下:protocols:dns:ports: [53]http:ports: [80, 8080, 8000, 5000, 8002]memca...
packetbeat的mysql协议解析代码分析
馒 的技术空间
03-31 889
最近改了一个packetbeat里mysql协议解析的bug,网上没有搜到详细分析的文章,自己抓包加解析把整个流程跑了几遍,记录一下。 如果需要自己分析,需要自己搭个mysql环境,执行各种操作,抓mysql的包,然后作为packetbeat的输入。修改packetbeat的代码,添加多个log输出各种变量。执行packetbeat把打出来的日志和pcap包挨个对应来查看。目前packetbea...
Beats:Beats 入门教程 (一)
热门推荐
Elastic 中国社区官方博客
02-23 1万+
在今天的这个教程里,我们来针对初学者如何快速地
elk使用packetbeat分析网络包流量
06-28
### 回答1: 使用Packetbeat可以分析网络包流量,它是一个轻量级的网络数据包分析工具,可以实时监控网络流量并提供详细的统计信息。Packetbeat可以捕获各种协议的数据包,包括HTTP、MySQL、DNS等,同时也支持自定义协议的解析。通过分析Packetbeat捕获的数据包,可以了解网络应用程序的性能瓶颈、网络安全问题等,从而优化网络性能和提高安全性。在ELK(Elasticsearch、Logstash、Kibana)堆栈中,Packetbeat可以将捕获的数据包发送到Logstash进行处理,并将结果存储在Elasticsearch中,最后通过Kibana进行可视化展示和分析。 ### 回答2: Packetbeat是一款实时网络包分析工具,可以对网络流量进行监控、分析和记录。而使用Packetbeat来分析ELK网络包流量,可以获得以下好处: 1. 实时监控网络流量 Packetbeat可以实时监控网络流量,从而及时发现网络故障和安全问题。这可以帮助ELK及时发现应用程序或系统的问题,从而避免了服务中断和安全漏洞。 2. 精确的流量分析 Packetbeat可以识别各种网络流量协议和应用程序,从而分析网络流量中的详细内容。这些信息可以帮助ELK更好地了解应用程序的运行状态,从而更好地监控和优化服务。 3. 可视化网络分析 Packetbeat可以将网络流量数据转换为可视化的图表和图形。这可以帮助ELK更直观地理解网络流量的情况,并且更好地解释结果。同时,可视化也可以使分析结果更具说服力,更易于分享给其他人。 使用Packetbeat来分析ELK网络包流量,需要首先配置Packetbeat的捕获规则,以便捕获需要分析的网络流量。然后,需要使用Packetbeat来监控和分析捕获的流量数据,并将结果发送到ELK中进行存储和可视化分析。最后,可以使用ELK提供的分析工具来对Packetbeat收集的网络流量数据进行详细的分析和可视化展示。 总之,Packetbeat是一款强大的网络包分析工具,可以帮助ELK实时监控网络流量,并获得深入的网络分析信息。这可以使ELK更好地了解应用程序的运行状态,从而更好地优化服务和提高效率。 ### 回答3: elk是由Elasticsearch、Logstash和Kibana三部分组成的一套开源数据处理、搜索引擎和可视化工具,它能够帮助用户快速高效地存储、搜索和分析大规模数据。而packetbeat是一款轻量级的网络数据包分析器,它能够实时抓取服务器和客户端之间的网络数据、分析流量,然后将其发送到elk中进行统计和可视化。 使用packetbeat进行网络流量分析的主要过程如下: 第一步:安装和配置packetbeat 用户需要先在自己的服务器上安装packetbeat,并对其进行基本的配置,比如指定监听的网络接口、设置协议过滤规则等。packetbeat的安装和配置可参考官方文档。 第二步:将数据发送到elk packetbeat能够将抓取到的网络数据直接发送到elasticsearch中,并按照预设的格式进行索引。用户需要在packetbeat的配置文件中指定elasticsearch的地址、用户名和密码等信息,以便packetbeat能够将数据正确地发送到elk中。 第三步:在kibana中进行数据可视化和分析 在将数据发送到elk后,用户可以通过kibana来对这些数据进行可视化和分析,比如查看网络流量的变化趋势、统计不同协议的使用情况、分析数据包大小和传输速率等。用户需要在kibana中创建相应的dashboard和visualization,以便能够方便地查看和统计数据。 总的来说,使用packetbeat和elk进行网络流量分析可以帮助用户更好地了解服务器和客户端之间的网络通信情况,发现潜在的问题和瓶颈,并及时采取措施进行优化。同时,这种方式也能够提高运维人员的效率,减少故障排查的时间和成本。
评论 4
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值