ELK安装过程记录,监听netflow和sflow的配置文件编写

最新推荐文章于 2024-05-02 11:44:52 发布
最新推荐文章于 2024-05-02 11:44:52 发布
阅读量4.2k 收藏 8
点赞数 1
分类专栏: 日志过滤 文章标签: elk sflow netflow
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/yuanyaunlv/article/details/102696321
版权
本文记录了ELK Stack(Elasticsearch、Logstash、Kibana)的安装过程,重点介绍了如何配置Logstash监听netflow和sflow流量。在大规模日志管理中,ELK Stack提供了高效的数据收集、分析和可视化解决方案。文章详细阐述了Elasticsearch的特性,Logstash作为日志搜集工具的角色,以及Kibana的日志分析界面。同时,提到了Beats作为轻量级日志采集器的优势。在安装过程中,强调了创建非root用户以运行Elasticsearch的重要性,并给出了启动和验证Elasticsearch、Logstash和Kibana的步骤。
摘要由CSDN通过智能技术生成

一般我们需要进行日志分析场景:直接在日志文件中 grep、awk 就可以获得自己想要的信息。但在规模较大也就是日志量多而复杂的场景中,此方法效率低下,面临问题包括日志量太大如何归档、文本搜索太慢怎么办、如何多维度查询。需要集中化的日志管理,所有服务器上的日志收集汇总。常见解决思路是建立集中式日志收集系统,将所有节点上的日志统一收集,管理,访问。
Elastic Stack包含:

  • Elasticsearch 是个开源分布式搜索引擎,提供搜集、分析、存储数据三大功能。它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。详细可参考Elasticsearch权威指南
  • Logstash 主要是用来日志的搜集、分析、过滤日志的工具,支持大量的数据获取方式。一般工作方式为c/s架构,client端安装在需要收集日志的主机上,server端负责将收到的各节点日志进行过滤、修改等操作在一并发往elasticsearch上去。
  • Kibana 也是一个开源和免费的工具,Kibana可以为 Logstash 和 ElasticSearch 提供的日志分析友好的 Web 界面,可以帮助汇总、分析和搜索重要数据日志。
  • Beats在这里是一个轻量级日志采集器,其实Beats家族有6个成员,早期的ELK架构中使用Logstash收集、解析日志,但是Logstash对内存、cpu、io等资源消耗比较高。相比
    Logstash,Beats所占系统的CPU和内存几乎可以忽略不计

1、Elasticsearch安装

注意:在公司服务器上安装东西时,注意开通网络权限,不然在安装时会很难受

下载 elasticsearch-6.1.2.tar.gz,保存在/usr/elk/路径下,并用解压,es解压即可用,无需安装

tar -xzf elasticsearch-6.1.2.tar.gz

设置配置文件 config/elasticsearch.yml

network.host: 0.0.0.0  # 监听全部ip,在实际环境中应设置为一个安全的ip
http.port: 9200  # es服务的端口号

因为es不允许root用户启动,此时需要创建一个普通用户。所以建议给Elasticsearch单独创建一个用户来运行Elasticsearch,并授权

# 以root用户来创建新的用户 , groupadd 添加一个用户组
groupadd elasticsearch 
# 添加一个用户,-g是在用户组下 -p是密码
useradd elasticsearch -g elasticsearch -p elasticsearch
# 进入es的安装目录
 cd /usr/elk/elasticsearch
# 给用户elasticsearch 授权
 chown -R elasticsearch:elasticsearch elasticsearch-6.1.2/
# 切换到 elasticsearch 用户
 su elasticsearch

启动es

cd /usr/elk/elasticsearch
bin/elasticsearch #或者 ./bin/elasticsearch

还可以用curl命令来验证,curl -X GET http://localhost:9200/ 或者curl “ip:9200”

如果启动时候有其他报错,请看该链接https://my.oschina.net/codingcloud/blog/1615013

2、logstash安装

同样,解压logstash-7.2.0.tar.gz,并打开主目录

tar -xf logstash-7.2.0.tar.gz

cd logstash-7.2.0/bin

运行longstash

./logstash -f sample.conf #可root权限。

测试CSV文件

测试logstash读取过滤csv文件,例如 New01.csv 文件如下所示。
在这里插入图片描述
log

最低0.47元/天 解锁文章
yuanyaunlv
关注
专栏目录
搭建流量分析工具elastiflow(基于elk
dfggggg的博客
12-23 5366
一、*功能* 接收网络设备的netflow或sflow报文,对网络设备的数据进行分析,从而得到协议的流量排行、下载IP排行、通信对等信息。 二、*基础环境* 1、安装ELK和java RHEL server 7,ELK 6.8.21 用rpm安装elasticsearch、logstash、kibana 下载地址:https://www.elastic.co/cn/downloads/past-releases#elasticsearch rpm -ivh elasticserach-6.8.21.rpm
docker-elk-netflow:配置了Netflow的ElasticsearchLogstashKibana设置
05-01
docker-elk-netflow Elasticsearch / Logstash / Kibana设置配置为Netflow接收器 基于 $NETFLOW_PORT UDP $NETFLOW_PORT ,默认情况下为9995。 使用或发送数据。
使用ELK保存Syslog、Netflow日志和审计网络接口流量
lyace2010的博客
12-08 5351
简介 ELK是三个开源软件的缩写,分别表示:Elasticsearch , Logstash, Kibana , 它们都是开源软件。后来新增了一个Beats,它是一个轻量级的日志收集处理工具(Agent),Beats占用资源少,适合于在各个服务器上搜集日志后传输给Logstash,官方也推荐此工具。 Elasticsearch是个开源分布式搜索引擎,它的特点有:分布式,零配置,自动发现,索引自动分片,索引副本机制,restful风格接口,多数据源,自动搜索负载等。 Logstash是开源的数据收集引擎。它
ELK流量
kl专栏
11-16 284
  这样的流量算大了?要考虑怎么做主从备份,集群管理的。。。
elk flow mysql_[k8s]elk架构设计-k8s集群里搭建
weixin_30707165的博客
02-23 100
elasticsearch和mysql的对比Mapping ~ Schemamaster: 负责在集群范围内创建/删除索引,将分片分配给这些节点.data: 用来保存数据和倒排索引,node.data=tureclient: 将节点配置为客户端节点,并充当负载平衡器,将传入的请求路由到集群中的不同节点。node.master和node.data设置为falseIndex templates索引...
netmon-ELK:使用ELK堆栈进行系统日志,Netflow和Packetbeat监视
05-13
#netmon-ELK# ## Description ## Vagrantfile部署ELK堆栈和Packetbeat用作Netmon和Syslog分析工具。 ================================= ##没有Vagrant的设置##如果不使用Vagrant,请运行以下命令以root用户身份登录以模仿相同行为后,在全新的debian / ubuntu上安装命令 ###准备公寓### apt-get update ###安装Nginx ### apt-get安装Nginx服务Nginx启动 ###安装Elasticsearch ### apt-get安装openjdk-7-jdk wget dpkg -i elasticsearch-1.7.1.deb更新-rc.d elasticsearch默认值为95 10服务elasticsearch start
华为交换机SFLOW配置及技术原理
01-10
在配置SFLOW技术时,需要注意一些重要的配置注意事项,包括SFLOW Agent的配置、SFLOW Collector的配置、采样方向的配置、采样比的配置等。同时,SFLOW技术也存在一些常见的配置错误,包括SFLOW Agent的配置错误、...
ELK Stack 8 接入ElasticFlow
最新发布
Songxwn的博客
05-02 1306
Netflow v5 / v9 / v10(IPFIX),支持大部分网络厂商及VMware的分布式交换机。NetFlow是一种数据交换方式。Netflow提供网络流量的会话级视图,记录下每个TCP/IP事务的信息。当汇集起来时,它更加易于管理和易读。Netflow由Cisco创造。而IPFIX是Netflow v9的开放标准实现。同NetFlow一样,sFlow是一种向采集器发送报告的推送技术。
logstash-codec-sflow:Logstash 的 sflow 编解码器
07-04
logstash-codec-sflow Logstash 的 SFlow 编解码器。 允许通过 Logstash 输入直接解码 sflow 数据包。 使用 sflow 实现进行 sflow 解析。 可以在找到有关 SFlow 的信息 Logstash 配置 使用“sflow”编解码器设置输入端口以接收 sflow 流量。 根据您的需要设置输出插件。 input { udp { port => 6343 codec => sflow {} } } output { stdout { codec => rubydebug } } 依赖关系 em-sflow Ruby库 >= 1.0.3 地方发展 在本地克隆 repo(一些 $REPOPATH) 安装 logstash(例如用于 osx) brew install logstash 设置 jru
sflowtool-sflow流量数据收集工具
08-09
sflowtool是一个sflow流量数据收集工具
IP-NETFLOW等流量流向技术介绍
12-12
本文主要介绍应用广泛的Cisco NetFlow技术、华为 Netstream技术、Sflow 、Cflowd 和IPFIX 以及支持上述流监测技术的厂家和设备情况 。
ELK在数据中心流量分析中的应用
weixin_34356555的博客
05-21 656
数据中心流量分析的挑战早期的时候安畅网络是做IDC的,当时我们有13个数据中心和两个公共云的节点,出口带宽大概在200G左右。我们当时面临的困难是告警信息无法给出明确的***情况。我们只能是收到DDOS告警,然后通知机房现场,或者是运维工程师来手动的用抓包分析。这样以来,定位时间不可控,如果DDOS直接把机房的流量打死,或者机房直接瘫痪,这对客户的业务影响是不可估量的。所以当时我们就想能不能当DD...
NetFlow学习笔记
洪文聊架构
05-10 4601
NefFlow的出现:   互联网业务流量监测技术现状分析   目前国内电信运营商的运维部门大都还没有建设一套能够完全满足管理需求的互联网业务流量监测系统。现有的网络管理系统虽然可以提供业务流量监测 手段,但基本上只是采用一些通用型的网络链路使用率监视软件,如利用免费的MRTG和简单网络管理协议(SNMP),对网络的重点链路和互联点进行简单的 端口级流量监视和统计;或采用在网络中部
网络大数据分析 -- 使用 ElasticSearch + LogStash + Kibana 来可视化网络流量
IT乌托邦官方博客
05-27 1297
简介 ELK 套装包括 ElasticSearch、LogStash 和 Kibana。 其中,ElasticSearch 是一个数据搜索引擎(基于 Apache Lucene)+分布式 NoSQL 数据库;LogStash 是一个消息采集转换器,类似 Syslog,可以接收包括日志消息在内的多种数据格式,然后进行格式转换,发送给后端继续处理;Kibana 是一个 Web 前段,带有强大的数据分析、整理和可视化功能。 是不是听起来就觉得十分强大! 一般情况下,ELK 套装的工作流程为原始数据 -&g.
ElasticSearch 基础(七)之分析器
weixin_43844718的博客
03-20 2356
就 ES 基础部分来说这暂时就是最后一篇的文章,写完之后就会学习 MQ 了。本篇内容简单了解 ES 的分析器,最重要的还是根据自己需求去定制自定义分析器,自定义分析器自行了解,这里只是基础。其他比较重要的就是中文分词器了,只需要知道常用的几种中文分词器就可以了。无论是内置的分析器,还是自定义的分析器,都是由一个分词器(tokenizers) 、0或多个词项过滤器()、0或多个字符过滤器()组成。分词器(tokenizer):用于定义切词 (分词)逻辑。
elasticsearch & elastiflow & logstash & Kibana 搭建开源 netflow 流量监控系统
taylorgogo
09-29 7257
elasticsearch & elastiflow & logstash & Kibana 搭建开源 netflow 流量监控系统 ################################################################ @官方安装文档 环境 ##### [ Ubuntu ] # lsb_release -a N...
sflow分析工具
weixin_43354959的博客
12-18 3376
下载地址:https://download.csdn.net/download/weixin_43354959/11109794 部署方法,安装java1.8环境和redis环境,将下载的jar和配置文件放在一个目录,修改配置文件的redis配置信息; 使用java -jar 程序包 进行执行.然后sflow数据会存入redis中的列表,列表名为logstash. 欢迎加qq,88439760...
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值