眼见为真是我们在处理大多数判断的时候采取的一个有效措施,这条基本的判断方法也许存在出入, 但是通过视觉的确能增加我们处理信息的速度,提升我们决策的准确性。这一篇博文我们还是继续来探讨如何进行数据可视化, 如何把网络中的流量进行汇总分析,最终以一张美丽的页面展示在我们面前。
在上一篇博文中, 我介绍了sflow+flowRT的组合,一个用来收集网络流量, 一个用来提供流量的展示页面。这些都是一些开源的解决方案。不要因为公司有钱,就小瞧开源化方案。我相信随着云平台的开花结果, 开源化的解决方案还是会绽放出美丽的花朵。因为云环境不大可能让你把一个硬件产品搬进云服务商的机房,唯一能做的就是在虚拟环境里面假设应用级别的安全平台。
今天我们一起来看看如何使用大名鼎鼎的ELK组件来搭建流量可视化平台,我重点介绍的是如何来玩转网络安全产品, 如何搭配使用,提供最经济的网络安全管控手段。里面涉及的配置可能不是特别的详细,我给出的是思路和玩法,融汇贯通了,可以去敲任意一家大门(博客)去学习copy配置。
我们还是采用hsflow的方式来采集主机层面的流量, 然后hsflow把流量信息甩给logstash,logstash稍作加工之后转发给E+K去做搜索和可视化的展示。
1, Hsflow的安装大家可以到官方网站上去下载适合平台使用的应用,进行安装。 也可以参考我的上一篇博客:
信息安全体系建设☞流量可视化(2)sflow
也可以访问hsflow的官网,或者各大博客:
hsflow官网
2, logstash 是一款收集,处理,发送log信息的工具。是ELK的二当家的, 里面绝大部分的配置都可以进行自定义, 所以关于hsflow里面配置collector端口的部分, 可以自定义指定端口, 可以使UDP6343, 也可以是其他吉祥数字。
a) 下载logstash,我们可以直接去ELK的