Анализ на NetFlow v

Може би много от тези, които някога са се чудили да търсят програма за анализатор NetFlow v.9, знаят, че няма толкова много налични безплатни решения. Особено ако е решение с отворен код. В моя случай трябваше да получа, анализирам и визуализирам трафика NetFlow v.9 cisco ASA 5585. За това използвах ELK (Elasticsearch+Logstash+Kibana):

netflow

1.Тази компилация е внедрена наRed Hat Enterprise Linux 7.

2.Първо инсталирайтеJava, както се изисква от инструкциите на техния уебсайт:

# sudo yum инсталирайте java

3.Инсталиране наElasticsearch(решение за пълнотекстово търсене, изградено върху Apache Lucene, но с допълнителни удобства като лесно мащабиране, репликация и други екстри, които правят elasticsearch много удобно и добро решение за проекти с голямо натоварване и големи количества данни):

4.Инсталиране наLogstash(за сглобяване, филтриране и последващо пренасочване към окончателното хранилище на данни):

5.ИнсталирайтеKibana(позволява ви да вземете\данни за търсене в elasticsearch и да изградите много красиви графики):

# sudo yum install download.elastic.co/kibana/kibana/kibana-4.5.3-1.x86_64.rpm # systemctl enable kibana.service # sudo service kibana start

# /opt/logstash/bin/logstash-plugin инсталиране на logstash-codec-netflow

8.Сега, след успешна инсталация, поставяме върху новата работеща версия 2.1.1 logstash-codec-netflow:

# /opt/logstash/bin/logstash-plugin install --version 2.1.1 logstash-codec-netflow

9.Готово! След инсталирането можем да конфигурираме конфигурацията (/etc/logstash/conf.d):

# cd /etc/logstash/conf.d # nano netflow.conf

Пример за настройка:списък за достъп global_mpc разширено разрешение ip всяко произволно дестинация за износ на поток вътре вВАШИЯ IP9996 карта на класа global_class съвпадение на списък за достъп global_mpc карта на политиката global_policy клас global_class тип на събитие за експортиране на поток всички дестинацияВАШИЯ IP

11.И така, сега можем да проверим резултата от нашите усилия. Използваме командата и проверяваме дали работата ни не е била напразна:

# /opt/logstash/bin/logstash -e 'input < udp < порт=>9996 кодек=> netflow >> изход < stdout rubydebug >>'

Първоначално ще видим само това:

Това може да отнеме няколко минути, не се притеснявайте, записът ще се промени и ще получим желания резултат.

12.След това отидете на localhost:5601, проверете дали сте получили данните, създайте стойностите, от които се нуждаете, в таблици и графики.

И така, това, което бих искал да кажа в края ... Нека започнем с факта, че най-вероятно ще трябва да инсталирате самостоятелно написани плъгини, а това не е лесна задача (поне за мен), за това ще ви трябва такъв пакет (за да монтирате вашия "gem", "gemspec"):

# yum инсталирайте rubygem-bundler

И ето пакета за получаване на някои персонализирани добавки от сайта на github.

# yum инсталирайте git

Всъщност прекарах много време в търсене на решение на този проблем, което ме подтикна да напиша тази статия (не искам никой да се напряга). Надявам се това ръководство да е било полезно. Успех в начинанията!

Hardcore conf в C++. Каним само професионалисти.