【ELK学习-2】-PacketBeat流量安装与采集

PacketBeat是ELK框架下用于流量采集的插件。

简介：

Packetbeat 是一个实时网络数据包分析工具，与elasticsearch一体来提供应用程序的监控和分析系统。Packetbeat通过嗅探应用服务器之间
的网络通讯，来解码应用层协议类型如HTTP、MySQL、redis等等，关联请求与响应，并记录每个事务有意义的字段。Packetbeat可以帮助我
们快速发现后端应用程序的问题，如bug或性能问题等等，修复排除故障也很快捷。目前支持icmp,amqp,Cassandra,dhcp,dns,http,memcache,mysql,pgsql,redis,thrift,nfs,Mongodb,tls协议。

下载

下载地址：https://www.elastic.co/cn/downloads/beats/packetbeat

或者yum install packetbeat —配置路径在/etc/packetbeat/packetbeat.yml

Windows下安装配置文件路径在C:\ProgramData\Elastic\Beats\packetbeat

配置packetbeat

a.配置监听网卡 linux中可以监听所有设备：packetbeat.interfaces.device:any
windows只能选择监听，先使用如下命令列出可用设备
-----无线网卡无法置于混杂模式，所以不要配置无线网卡设备
C:\Program Files\Elastic\Beats\7.7.0\packetbeat>packetbeat.exe devices
查看需要监听那些设备，找到设备前面的数字

再添加packetbeat.interfaces.device: 设备数字

b.配置监听协议
如果更改过协议的端口，也需要再这里进行更改，否则无法监听到相应的流量。

一般默认就好

在http协议中，如果要监听请求和响应，需要加上下面的参数：

c.配置输出
packetbeat支持输出到es和logstash
这里输出到es，IP地址根据安装地址进行变更

如果需要使用kibana关于流量的默认大屏，添加如下配置:

——packetbeat配置基本完成—–

添加流量索引模板至ES，大屏配置至Kibana

索引模板在es中时决定字段如何分析和记录的方式。
一般情况下这个索引模板packetbeat会自动添加，但是如果之前已经有的话es不会自动覆盖。
手动添加索引模板和下面的大屏设置使用如下命令：
Linux中：packetbeat setup
Window中： packetbeat.exe setup