这篇GrayLog大佬文章后采用softflowdLinux主机安装NetFlow采集器并使用Graylog进行网络流量分析
(图片可点击放大查看)
使用softflowd发送Netflow日志到Graylog
具体步骤如下
1、下载softflowd源码包
https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/softflowd/softflowd-0.9.9.tar.gz
(图片可点击放大查看)
2、安装libpcap-devel环境
yum install libpcap-devel
(图片可点击放大查看)
3、编译并安装softflowd
tar -xvf softflowd-0.9.9.tar.gz
cd softflowd-0.9.9
./configure
make
make install
(图片可点击放大查看)
(图片可点击放大查看)
(图片可点击放大查看)
4、可以查看softflowd的用法
man softflowd
5、运行softflowd
softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &
-i 指定采集的网卡
-D debug模式
-n 输出到指定的IP和端口
-v 指定netflow协议版本
(图片可点击放大查看)
说明:如果要后台运行
nohup softflowd -v 9 -D -i ens33 -t maxlife=1 -n 192.168.31.127:2055 >/dev/null 2>&1 &
(图片可点击放大查看)
6、GrayLog添加Netflow的Input
添加类型为Netflow UDP的Input,端口这里用2055
(图片可点击放大查看)
然后防火墙上开放2055 UDP端口
firewall-cmd --permanent --zone=public --add-port=2055/udp
firewall-cmd --reload
(图片可点击放大查看)
7、GrayLog上查看Netflow日志
配置Netflow对应的Indices和Stream这里就不详细描述
以及开启GeoIP查询
配置下显示的字段
(图片可点击放大查看)
效果如下
(图片可点击放大查看)
(图片可点击放大查看)
(图片可点击放大查看)