首页
学习
活动
专区
圈层
工具
发布
社区首页 >专栏 >Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

作者头像
yuanfan2012
发布2022-05-17 11:16:47
发布2022-05-17 11:16:47
3.7K2
举报
文章被收录于专栏:WalkingCloudWalkingCloud

Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析

说明:本打算使用hsflowd,测试未能成功,所以参考https://zhuanlan.zhihu.com/p/147259243

这篇GrayLog大佬文章后采用softflowd

(图片可点击放大查看)

使用softflowd发送Netflow日志到Graylog

具体步骤如下

1、下载softflowd源码包

代码语言:javascript
复制
https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/softflowd/softflowd-0.9.9.tar.gz

(图片可点击放大查看)

2、安装libpcap-devel环境

代码语言:javascript
复制
yum install libpcap-devel

(图片可点击放大查看)

3、编译并安装softflowd

代码语言:javascript
复制
tar -xvf softflowd-0.9.9.tar.gz
cd softflowd-0.9.9
./configure 
make
make install

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

4、可以查看softflowd的用法

代码语言:javascript
复制
man softflowd

5、运行softflowd

代码语言:javascript
复制
softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &

-i 指定采集的网卡

-D debug模式

-n 输出到指定的IP和端口

-v 指定netflow协议版本

(图片可点击放大查看)

说明:如果要后台运行

代码语言:javascript
复制
nohup softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &

(图片可点击放大查看)

6、GrayLog添加Netflow的Input

添加类型为Netflow UDP的Input,端口这里用2055

(图片可点击放大查看)

然后防火墙上开放2055 UDP端口

代码语言:javascript
复制
firewall-cmd --permanent --zone=public --add-port=2055/udp
firewall-cmd --reload

(图片可点击放大查看)

7、GrayLog上查看Netflow日志

配置Netflow对应的Indices和Stream这里就不详细描述

以及开启GeoIP查询

配置下显示的字段

(图片可点击放大查看)

效果如下

(图片可点击放大查看)

(图片可点击放大查看)

(图片可点击放大查看)

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2022-04-08,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 WalkingCloud 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析
    • 1、下载softflowd源码包
    • 2、安装libpcap-devel环境
    • 3、编译并安装softflowd
    • 4、可以查看softflowd的用法
    • 5、运行softflowd
    • 6、GrayLog添加Netflow的Input
    • 7、GrayLog上查看Netflow日志
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档