elasticsearch & elastiflow & logstash & Kibana 搭建开源 netflow 流量监控系统

最新推荐文章于 2024-07-09 10:30:00 发布
最新推荐文章于 2024-07-09 10:30:00 发布
阅读量7.1k 收藏 10
点赞数 5
分类专栏: GotIT
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/u012836361/article/details/101694828
版权

elasticsearch & elastiflow & logstash & Kibana 搭建开源 netflow 流量监控系统

################################################################

@官方安装文档

 

环境

#####

[ Ubuntu ]

# lsb_release -a
No LSB modules are available.
Distributor ID: Ubuntu
Description:    Ubuntu 18.04.3 LTS
Release:        18.04
Codename:       bionic

[ Java ]

# java -version
openjdk version "11.0.4" 2019-07-16
OpenJDK Runtime Environment (build 11.0.4+11-post-Ubuntu-1ubuntu218.04.3)
OpenJDK 64-Bit Server VM (build 11.0.4+11-post-Ubuntu-1ubuntu218.04.3, mixed mode, sharing)

[ nodejs ]

/usr/local/nodejs/bin/node -v      #kibana 使用nodejs 提供web服务 
v10.16.3

npm 的一些模块可能没装,产生一些问题。

 

#############################

 

Elasticsearch

################

@下载elasticsearch

tar -zxvf elasticsearch-7.3.2-linux-x86_64.tar.gz             #解压
mv elasticsearch-7.3.2/  /usr/local/elsticsearch              

groupadd  elasticsearch                                       #添加组
useradd  elasticsearch -s /sbin/nologin -M -g elastic         #添加用户,不可登入

chown  elasticsearch:elasticsearch -R /usr/local/elasticsearch#更改所属
chmod 744 -R /usr/local/elasticsearch                         #更改权限
vim /usr/local/elasticsearch/config/jvm.options
# Xms represents the initial size of total heap space
# Xmx represents the maximum size of total heap space

-Xms1g    #jvm初始内存
-Xmx4g    #jvm最大内存    建议主机的内存大于4G,不然会有点卡

vim /usr/local/elasticsearch/config/elasticsearch.yml
确认以下配置:
network.host: 127.0.0.1    #运行时的主机IP
http.port: 9200            #运行时的主机端口

indices.query.bool.max_clause_count: 8192    #官方建议
search.max_buckets: 100000                   #官方建议

 

/usr/local/elasticsearch/bin/elasticsearch    #手动运行elasticsearch
curl http://127.0.0.1:9200                    #测试是否正常
{
  "name" : "szqsm",
  "cluster_name" : "elasticsearch",
  "cluster_uuid" : "aaJilAe_TImsaf0sZH2_UA",
  "version" : {
    "number" : "7.3.2",
    "build_flavor" : "default",
    "build_type" : "tar",
    "build_hash" : "1c1faf1",
    "build_date" : "2019-09-06T14:40:30.409026Z",
    "build_snapshot" : false,
    "lucene_version" : "8.1.0",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}
vim /etc/systemd/system/elasticsearch.service    #设定开机启动

[Unit]
Description=Elasticsearch

[Service]
Type=simple
WorkingDirectory=/usr/local/elasticsearch        #程序运行目录
User=elasticsearch
Group=elasticsearch
ExecStart=/usr/local/elasticsearch/bin/elasticsearch -p elasticsearch.pid  #开始运行命令
Restart=always

[Install]
WantedBy=multi-user.target

Logstash

###########

@下载logstash

@下载elastiflow(logstash下的netflow模块)

@官方文档

#没有安装java环境先执行以先安装
#java jdk && jre
#apt-get install openjdk-11-jdk openjdk-11-jre

tar -zxvf logstash-7.3.2.tar.gz
mv logstash-7.3.2/  /usr/local/logstash

groupadd  logstash                                         #添加组
useradd   logstash -s /sbin/nologin -M -g logstash         #添加用户,不可登入

chown  logstash:logstash -R /usr/local/logstash            #更改所属
chmod 744 -R /usr/local/logstash                           #更改权限

#安装及更新logstash的各个工具模块,确保是最新版本

/usr/local/logstash/bin/logstash-plugin install logstash-codec-sflow
/usr/local/logstash/bin/logstash-plugin update logstash-codec-netflow
/usr/local/logstash/bin/logstash-plugin update logstash-input-udp
/usr/local/logstash/bin/logstash-plugin update logstash-input-tcp
/usr/local/logstash/bin/logstash-plugin update logstash-filter-dns
/usr/local/logstash/bin/logstash-plugin update logstash-filter-geoip
/usr/local/logstash/bin/logstash-plugin update logstash-filter-translate
cp -R /usr/local/logstash/config/  /etc/logstash    #把配置目录放到/etc 下

tar -axvf logstash-7.3.2.tar.gz
mv elastiflow-3.5.1/logstash/elastiflow/ /etc/logstash/logstash  #elastiflow模块配置文件
cp -R elastiflow-3.5.1/logstash.service.d/ /etc/systemd/system/  #elastiflow启动参数文件

 

vim /etc/logstash/pipelines.yml    #关联模块elastiflow配置到logstash
- pipeline.id: elastiflow
  path.config: "/etc/logstash/elastiflow/conf.d/*.conf"
                                                         

/usr/local/logstash/bin/logstash "--path.settings" "/etc/logstash"  #检查手动运行是否正常
netstat -tunlp  | grep java   #查看此时服务端口有哪些
tcp6       0      0 :::4739                 :::*                    LISTEN      1285/java           
tcp6       0      0 127.0.0.1:9200          :::*                    LISTEN      1238/java           
tcp6       0      0 127.0.0.1:9300          :::*                    LISTEN      1238/java           
tcp6       0      0 127.0.0.1:9600          :::*                    LISTEN      1285/java           
udp        0      0 0.0.0.0:2055            0.0.0.0:*                           1285/java           
udp        0      0 0.0.0.0:6343            0.0.0.0:*                           1285/java           
udp        0      0 0.0.0.0:4739            0.0.0.0:*                           1285/java 

@注意
2055 端口是默认的 netflow v5 v9
4739 端口是默认的 ipfix v10
其实ipfix_10 就是netflow v10
端口修改
vim /etc/systemd/system/logstash.service.d/elastiflow.conf


ps -aux | grep logstash        #查看进程
kill -9 xxx                    #手动终止

./usr/local/logstash/bin/system-install     #自动安装启动服务
vim /etc/systemd/system/logstash.service    #更据情况修改启动参数

[Unit]
Description=logstash
After=elasticsearch.service                  
#由于logstash启动会自动搜索9200端口,所以需要在elasticsearch启动后运行

[Service]
Type=simple
User=logstash
Group=logstash
# Load env vars from /etc/default/ and /etc/sysconfig/ if they exist.
# Prefixing the path with '-' makes it try to load, but if the file doesn't
# exist, it continues onward.
EnvironmentFile=-/etc/default/logstash
EnvironmentFile=-/etc/sysconfig/logstash
ExecStart=/usr/local/logstash/bin/logstash "--path.settings" "/etc/logstash"
Restart=always
WorkingDirectory=/
Nice=19
LimitNOFILE=16384

[Install]
WantedBy=multi-user.target

systemctl sart logstash      #开启服务
systemctl status logstash    #服务状态
systemctl enable logstash    #加入自启动

cat /usr/local/logstash/logs/logstash-plain.log    #查看运行日志

Kibana

#########

@下载kibana

tar -zxvf kibana-7.3.1-linux-x86_64.tar.gz
mv kibana-7.3.1/  /usr/local/kibana

groupadd  kibana                                       #添加组
useradd   kibana -s /sbin/nologin -M -g kibana         #添加用户,不可登入

chown  kibana:kibana -R /usr/local/kibana              #更改所属
chmod 744 -R /usr/local/kibana                         #更改权限

vim /usr/local/kibana/config/kibana.yml    #更改及确认配置

server.name: "SZQSM-Kibana"
server.host: "192.168.91.35"    #对外web服务的IP(服务器IP)
server.port: 5601               #web服务端口(默认)
elasticsearch.hosts: ["http://127.0.0.1:9200"]    #elasticsearch URL
i18n.locale: "zh-CN"            #中文显示
vim /etc/systemd/system/kibana.service     #添加到管理服务

[Unit]
Description=kibana
After=logstash.service                     #kibana 最后启用,获取logstash提供的数据

[Service]
Type=simple
WorkingDirectory=/usr/local/kibana
User=kibana
Group=kibana
ExecStart=/usr/local/kibana/bin/kibana
Restart=always

[Install]
WantedBy=multi-user.target


systemctl start/status/enable kibana
#Kibana 上传Elastiflow 模板文件
../elastiflow-3.5.1/kibana/elastiflow.kibana.7.3.x.ndjson  最新版本为ndjson文件
Kibana 导入 elastiflow模板
Kibana 上传Elastiflow 模板文件

 

效果图:

##############

 

GTaylor
关注
  • 5
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
搭建流量分析工具elastiflow(基于elk)
dfggggg的博客
12-23 5297
一、*功能* 接收网络设备的netflow或sflow报文,对网络设备的数据进行分析,从而得到协议的流量排行、下载IP排行、通信对等信息。 二、*基础环境* 1、安装ELK和java RHEL server 7,ELK 6.8.21 用rpm安装elasticsearchlogstashkibana 下载地址:https://www.elastic.co/cn/downloads/past-releases#elasticsearch rpm -ivh elasticserach-6.8.21.rpm
ELK+Elastifolw--网络流量监控
suixhxy的博客
05-24 1582
执行命令ip netstream export host ip-address port-number [ vpn-instance vpn-instance-name ],配置IPv4原始流统计信息输出报文的目的NSC。配置第三个输出目的地址时,则需要先使用undo ip netstream export host命令取消原来配置的目的NSC地址。注:没给es添加密码之前,访问地址登录是不需要输入账号密码的,直接能打开地址。否则,系统会提示超出最大的输出地址数,从而无法进行配置。
开源的NETFLOW分析工具支持v5,v9
10-30
Java Netflow Collect/Analyzer uses pure Java to collect netflow v1 v5 v7 v8 v9 UDP packets from cisco routers. It stores both raw data or analyzed contents to DB thru JDBC and can be used in large enterprises or ISPs. JNC beta is ready JNA is underway. 主题:监控() 编程语言:Java() 界面类型:Java Swing 支持语种:中文简体 操作系统:OS Independent (Written in an interpreted language) 许可类型:Academic Free License (AFL) 适用对象:电信行业 开发状态:4 - Beta版 数据库环境:JDBC
安利7个免费开源的网络监控工具(非常详细)零基础入门到精通,收藏这一篇就够了
最新发布
logic1001的博客
07-09 1449
有朋友想要我安利几个免费开源的网络监控工具,今天给大家安排了7个比较常用的:Nagios Core、Zabbix、Icinga 2、OpenNMS、Prometheus、Graphite、Checkmk。在开始介绍之前,你知道为啥需要网络监控工具,或许这个问题太low了,肯定有朋友说,当然需要才用了!换句话说,网络监控工具能给我们带来啥?:网络监控工具可以实时监控网络设备的状态,一旦发现异常,就会立即发出警报,这样你就可以在问题变得严重之前及时进行处理。
选一款好用的Netflow流量统计分析工具
04-01
最近在试用Netflow流量分析工具,以下几个进入视线
推荐开源项目:Akvorado - 网络流量收集、丰富与可视化工具
gitblog_00053的博客
05-16 346
推荐开源项目:Akvorado - 网络流量收集、丰富与可视化工具 项目地址:https://gitcode.com/akvorado/akvorado 1、项目介绍 Akvorado 是一款强大的网络流量管理工具,它能够接收Netflow/IPFIX和sFlow流量数据,通过SNMP接口添加设备名,并借助IPinfo.io进行地理定位信息的补充。随后,这些丰富后的数据被导出到Kafka,再存入...
Netflow及其及配置案例
openlab网工之路
03-12 7181
NetFlow 是Cisco发布的一款用于分析网络数据包信息的工具包; 根据不同的需要定制不同的方案; 典型的是对网络数据的源地址、目的地址的分析,对流量各种应用的分析或者路由器上各个端口的负载等; addr、dstaddr、port、dstport、protocol、ToS、input interface、output interface、nexthop、masked Packet count、...
怎样使用NetFlow分析网络异常流量
迎风飘来的专栏
08-06 4910
一、前言      近年来,随着互联网在全球的迅速发展和各种互联网应用的快速普及,互联网已成为人们日常工作生活中不可或缺的信息承载工具。然而,伴随着互联网的正常应用流量,网络上形形色色的异常流量也随之而来,影响到互联网的正常运行,威胁用户主机的安全和正常使用。      本文从互联网运营商的视角,对互联网异常流量的特征进行了深入分析,进而提出如何在网络层面对互联网异常流量采取防护措施,其中
网络流量分析利器-可视化网络-netflow【4】-接收器nfdump简介
cnxhsy的博客
03-09 2552
网络流量分析利器-可视化网络-netflow【1】-基础原理 网络流量分析利器-可视化网络-netflow【2】-Cisco NetFlow 工作原理介绍及配置 网络流量分析利器-可视化网络-netflow【3】-netflow版本5和版本9区别 网络流量分析利器-可视化网络-netflow【4】-接收器nfdump简介 网络流量分析利器-可视化网络-netflow【5】-linux下数据采集器f...
流影---开源网络流量可视化分析平台(一)
idealion的博客
07-23 5366
流影是国内第一款开源的轻量级网络安全态势感知与可视化分析平台,集成了流量探针、网络行为分析引擎、威胁检测引擎和交互式可视化分析引擎四个核心模块,本期实验将对流影进行部署与测试。
elk-docker:Elasticsearch 的 Docker 配置 - logstash - kibana 堆栈
06-25
ElasticsearchLogstashKibana 的 Docker 配置。 建造 为了构建图像: docker build -t elk:latest . 跑步 为了运行图像: docker run -d -p 5000:5601 --name elk -v /path/access-logs:/var/log/access ...
JNFA - Java NetFlow Analyzer-开源
04-18
JNFA-是一个netflow分析器。 它使用MySQL数据库存储会计信息。 JNFA中使用的过滤器允许非常灵活地对任何流量进行分类,并将其存储在数据库的不同字段中。
Netflow数据分析
07-02
Netflow数据分析
netflow数据采集
05-27
用于采集路由器netflow数据,用以监控网络情况。
常见五大开源网络监控软件测评分析
09-14
如何缩减成本是IT高管面临的永恒难题,确保企业中所有的东西满足服务水平协议对资源本就紧张的IT部门是极具挑战的。开源软件为企业节约成本带来了曙光,相较于更昂贵的商业产品,开源软件提供了极具吸引力的替代方案,但是开源产品可以提供企业级效果吗?
NetworkSpeed:显示网络流量的简单工具-开源
04-29
2018/05:项目移至GitHub。 https://github.com/mdevoldere/NetworkSpeed NetworkSpeed显示实时网络流量。 用户可以选择要显示的界面。
elastiflow:使用弹性堆栈进行网络流分析(Netflow,sFlow和IPFIX)
04-30
ElastiFlow:trade_mark:我们已经发布了下一代ElastiFlow:trade_mark:,其中引入了适用于Netflow,IPFIX和sFlow的新型ElastiFlow统一流收集器。...在ElastiFlow:trade_mark:使用Elastic Stack(Elasticsearch
docker-elk-netflow:配置了NetflowElasticsearchLogstashKibana设置
05-01
docker-elk-netflow Elasticsearch / Logstash / Kibana设置配置为Netflow接收器 基于 $NETFLOW_PORT UDP $NETFLOW_PORT ,默认情况下为9995。 使用或发送数据。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值