Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

说明：本打算使用hsflowd，测试未能成功，所以参考https://zhuanlan.zhihu.com/p/147259243

这篇GrayLog大佬文章后采用softflowd

(图片可点击放大查看)

使用softflowd发送Netflow日志到Graylog

具体步骤如下

1、下载softflowd源码包

https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/softflowd/softflowd-0.9.9.tar.gz

(图片可点击放大查看)

2、安装libpcap-devel环境

yum install libpcap-devel

(图片可点击放大查看)

3、编译并安装softflowd

tar -xvf softflowd-0.9.9.tar.gz
cd softflowd-0.9.9
./configure 
make
make install

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

4、可以查看softflowd的用法

man softflowd

5、运行softflowd

softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &

-i 指定采集的网卡

-D debug模式

-n 输出到指定的IP和端口

-v 指定netflow协议版本

(图片可点击放大查看)

说明：如果要后台运行

nohup softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &

(图片可点击放大查看)

6、GrayLog添加Netflow的Input

添加类型为Netflow UDP的Input，端口这里用2055

(图片可点击放大查看)

然后防火墙上开放2055 UDP端口

firewall-cmd --permanent --zone=public --add-port=2055/udp
firewall-cmd --reload

(图片可点击放大查看)

7、GrayLog上查看Netflow日志

配置Netflow对应的Indices和Stream这里就不详细描述

以及开启GeoIP查询

配置下显示的字段

(图片可点击放大查看)

效果如下

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)