CentOS 7
Sponsored Link

Elastic Stack : Packetbeat インストール
2017/05/11
 
ネットワークパケット情報のデータ収集機能を提供する Packetbeat をインストールします。
[1] Packetbeat をインストールします。 事前に Elasticsearch リポジトリ設定済みであることが前提です。
[root@dlp ~]#
yum -y install packetbeat
[2] 基本的な設定をして Packetbeat を起動します。
[root@dlp ~]#
vi /etc/packetbeat/packetbeat.yml
# 29行目:収集する項目を設定

# ICMPv4/ICMPv6 を無効にする場合は false に設定

# 33行目以降:デフォルトで多くのポートが監視対象となっているが

# 無効にする場合は [packetbeat.protocols.*** ~ ports: ***] をコメントアウト

packetbeat.protocols.icmp:
  # Enable ICMPv4 and ICMPv6 monitoring. Default: false
  enabled: true

packetbeat.protocols.amqp:
  # Configure the ports where to listen for AMQP traffic. You can disable
  # the AMQP protocol by commenting out the list of ports.
  ports: [5672]

.....
.....

# 116行目:出力先を指定する

# デフォルト出力先は以下のように localhost の Elasticsearch

# Logstash に出力する場合はコメントアウトして 126,128行目を有効にする

output.elasticsearch:
  # Array of hosts to connect to.l
  hosts: ["localhost:9200"]

.....
.....

#output.logstash:
  # The Logstash hosts
  #hosts: ["localhost:5044"]

[root@dlp ~]#
systemctl start packetbeat

[root@dlp ~]#
systemctl enable packetbeat
[3] データが取り込まれているか確認しておきます。
# index 一覧

[root@dlp ~]#
curl localhost:9200/_cat/indices?v

health status index                 uuid                   pri rep docs.count docs.deleted store.size pri.store.size
yellow open   metricbeat-2017.05.12 YvHWPjbgS12e_oU5Ddi3rA   5   1     170617            0     43.7mb         43.7mb
yellow open   packetbeat-2017.05.12 ZzVaYEjYSNyRGMIHNEaVnw   5   1          7            0      8.6kb          8.6kb
yellow open   sshd_fail-2017.05     owhoRGiwTWGdZaqKAMw66g   5   1         77            0    233.8kb        233.8kb
yellow open   .kibana               FGjE6bGUTlioELtM_QynMQ   1   1        107           27    210.9kb        210.9kb

# indexのドキュメント一覧

[root@dlp ~]#
curl localhost:9200/packetbeat-2017.05.12/_search?pretty

{
  "took" : 2,
  "timed_out" : false,
  "_shards" : {
    "total" : 5,
    "successful" : 5,
    "failed" : 0
  },
  "hits" : {
    "total" : 21,
    "max_score" : 1.0,
    "hits" : [
      {
        "_index" : "packetbeat-2017.05.12",
        "_type" : "nfs",
.....
.....
[4] Kibana を稼働させている場合は、ダッシュボードへのインポートスクリプトが用意されています。
[root@dlp ~]#
/usr/share/packetbeat/scripts/import_dashboards

Create temporary directory /tmp/tmp664402863
Downloading https://artifacts.elastic.co/downloads/beats/beats-dashboards/beats-dashboards-5.4.0.zip
Unzip archive /tmp/tmp664402863
Importing Kibana from /tmp/tmp664402863/beats-dashboards-5.4.0/filebeat
Importing Kibana from /tmp/tmp664402863/beats-dashboards-5.4.0/heartbeat
.....
.....
 
Tweet