需求:
由於我們需要分析***服務器上的一些流量行爲。之前也沒接觸過這方面的知識。嘗試去elasticsearch官網上找。還真找到一個插件支持
介紹:
packbeat是一個開源的實時網絡抓包與分析框架,內置了很多常見的協議捕獲及解析,如HTTP、MySQL、Redis等。在實際使用中,通常和Elasticsearch以及kibana聯合使用,用於數據搜索和分析以及數據展示。
目前Packebeat支持的協議如下:
ICMP (v4 and v6)
DNS
HTTP
Mysql
PostgreSQL
Redis
Thrift-RPC
MongoDB
Memcache
環境:elasticsearch 5.6.3
packetbeat 5.6.3 這個要裝在***服務器上
kibana 5.6.3
安裝插件
rpm -ivh https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-5.6.3-x86_64.rpm
配置packetbeat
vim /etc/packetbeat/packetbeat.yml
只需要修改
output.elasticsearch:
# Array of hosts to connect to.
hosts: ["172.16.81.91:9200"]
es 導入packetbeat模板
curl -XPUT 'http://172.16.81.91:9200/_template/packetbeat' -d@/etc/packetbeat/packetbeat.template.json
啓動packetbeat插件
/etc/init.d/packetbeat start
測試
撥上 ***後,嘗試操作數據庫的任何表。查看kibana是否有記錄
