点击上方"walkingcloud"关注,并选择"星标"公众号
Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析
说明:本打算使用hsflowd,测试未能成功,所以参考https://zhuanlan.zhihu.com/p/147259243
这篇GrayLog大佬文章后采用softflowd
(图片可点击放大查看)
使用softflowd发送Netflow日志到Graylog
具体步骤如下
1、下载softflowd源码包
https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/softflowd/softflowd-0.9.9.tar.gz
(图片可点击放大查看)
2、安装libpcap-devel环境
yum install libpcap-devel
(图片可点击放大查看)
3、编译并安装softflowd
tar -xvf softflowd-0.9.9.tar.gz
cd softflowd-0.9.9
./configure
make
make install
(图片可点击放大查看)
(图片可点击放大查看)
(图片可点击放大查看)
4、可以查看softflowd的用法
man softflowd
5、运行softflowd
softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &
-i 指定采集的网卡
-D debug模式
-n 输出到指定的IP和端口
-v 指定netflow协议版本
(图片可点击放大查看)
说明:如果要后台运行
nohup softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &
(图片可点击放大查看)
6、GrayLog添加Netflow的Input
添加类型为Netflow UDP的Input,端口这里用2055
(图片可点击放大查看)
然后防火墙上开放2055 UDP端口
firewall-cmd --permanent --zone=public --add-port=2055/udp
firewall-cmd --reload
(图片可点击放大查看)
7、GrayLog上查看Netflow日志
配置Netflow对应的Indices和Stream这里就不详细描述
以及开启GeoIP查询
配置下显示的字段
(图片可点击放大查看)
效果如下
(图片可点击放大查看)
(图片可点击放大查看)
(图片可点击放大查看)
原文始发于微信公众号(WalkingCloud):Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论