Linux主机安装NetFlow采集器并使用Graylog进行网络流量分析
说明:本打算使用hsflowd,测试未能成功,所以参考https://zhuanlan.zhihu.com/p/147259243
这篇GrayLog大佬文章后采用softflowd
使用softflowd发送Netflow日志到Graylog
具体步骤如下
1、下载softflowd源码包
https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/softflowd/softflowd-0.9.9.tar.gz
2、安装libpcap-devel环境
yum install libpcap-devel
3、编译并安装softflowd
tar -xvf softflowd-0.9.9.tar.gz cd softflowd-0.9.9 ./configure make make install
4、可以查看softflowd的用法
man softflowd
5、运行softflowd
softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &
-i 指定采集的网卡
-D debug模式
-n 输出到指定的IP和端口
-v 指定netflow协议版本
说明:如果要后台运行
nohup softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &
6、GrayLog添加Netflow的Input
添加类型为Netflow UDP的Input,端口这里用2055
然后防火墙上开放2055 UDP端口
firewall-cmd --permanent --zone=public --add-port=2055/udp firewall-cmd --reload
7、GrayLog上查看Netflow日志
配置Netflow对应的Indices和Stream这里就不详细描述
以及开启GeoIP查询
配置下显示的字段
效果如下
