Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

admin 2022年4月9日23:26:42评论410 views字数 1181阅读3分56秒阅读模式

点击上方"walkingcloud"关注,并选择"星标"公众号

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

说明:本打算使用hsflowd,测试未能成功,所以参考https://zhuanlan.zhihu.com/p/147259243

这篇GrayLog大佬文章后采用softflowd 

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

使用softflowd发送Netflow日志到Graylog 

具体步骤如下

1、下载softflowd源码包

https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/softflowd/softflowd-0.9.9.tar.gz

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

2、安装libpcap-devel环境

yum install libpcap-devel

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

3、编译并安装softflowd

tar -xvf softflowd-0.9.9.tar.gz
cd softflowd-0.9.9
./configure 
make
make install

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

4、可以查看softflowd的用法

man softflowd

5、运行softflowd

softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &

-i 指定采集的网卡 

-D debug模式 

-n 输出到指定的IP和端口 

-v 指定netflow协议版本 

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

说明:如果要后台运行

nohup softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

6、GrayLog添加Netflow的Input

添加类型为Netflow UDP的Input,端口这里用2055 

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

然后防火墙上开放2055 UDP端口

firewall-cmd --permanent --zone=public --add-port=2055/udp
firewall-cmd --reload

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

7、GrayLog上查看Netflow日志

配置Netflow对应的Indices和Stream这里就不详细描述 

以及开启GeoIP查询 

配置下显示的字段 

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

效果如下 

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

(图片可点击放大查看)

原文始发于微信公众号(WalkingCloud):Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年4月9日23:26:42
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析http://cn-sec.com/archives/891160.html

发表评论

匿名网友 填写信息