Netflowでトラフィックモニタリング(Filebeat+Elasticsearch+Kibana編)

NetflowをFilebeatで流し込む


今回はCiscoルータでNetflowの設定を行いFilebeatを使用してElasticsearchにインデクシングする手順。

Netflow
ルータからNetflowレコードをエクスポートしFilebeat経由でElasticsearchへ保存

1.処理方式

今回の筆者の前提環境では、CiscoルータでNetflowの設定を行いFilebeat経由でElasticsearchへ流し込む方式です。

Cisco 841MJ:Netflow(v9) 、 Elastic Stack Server(192.168.11.210):Filebeat → Elasticsearch


2.インストール

Filebeatのインストールについては、Elastic Stackの歩きかた#6あたりを参照してください。

最新の公式ドキュメントはこちら。


3.各設定

■Cisco841MJ側の設定

Netflowについてはこのあたりを一読いただければと。

Ciscoルータ側でのNetflow設定。

Netflowを有効にする。(筆者の環境では、WAN側のInterface Gi 0/4に設定)

c841clr001#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
c841clr001(config)#interface GigabitEthernet 0/4
c841clr001(config-if)#ip flow egress
c841clr001(config-if)#ip flow ingress
c841clr001(config-if)#

flowレコードの転送先設定。(Elasticstackサーバのポート2055へ転送)

c841clr001#conf t
Enter configuration commands, one per line.  End with CNTL/Z.
c841clr001(config)#ip flow-export version 9
c841clr001(config)#ip flow-export destination 192.168.11.210 2055
c841clr001(config)#

キャッシュ設定は一旦デフォルトでいきます。環境に応じてチューニングしてください。

configは忘れずにセーブしましょう。


Elasticstackサーバ側の設定(Filebeat)

・filebeat.ymlの設定→Elastic Stackの歩きかた#6を参照。

・Netflowモジュールの有効化

# filebeat modules enable netflow

モジュールの有効化を確認

# filebeat modules list
Enabled:
netflow

Disabled:
activemq
apache
auditd
aws
~省略~

4.Filebeat起動

Filebeat起動

# systemctl start filebeat

起動確認

● filebeat.service - Filebeat sends log files to Logstash or directly to Elasticsearch.
   Loaded: loaded (/usr/lib/systemd/system/filebeat.service; disabled; vendor preset: disabled)
   Active: active (running) since 木 2021-02-11 04:21:31 JST; 5 days ago
     Docs: https://www.elastic.co/products/beats/filebeat
 Main PID: 3898 (filebeat)
   CGroup: /system.slice/filebeat.service
           mq3898 /usr/share/filebeat/bin/filebeat --environment systemd -c /etc/filebeat/filebeat.yml --path.home /usr/share/filebeat --path.config ...

 2月 17 01:27:33 sves2020 filebeat[3898]: 2021-02-17T01:27:33.439+0900        INFO        [monitoring]        log/log.go:145        Non-zero metrics...
 2月 17 01:28:03 sves2020 filebeat[3898]: 2021-02-17T01:28:03.439+0900        INFO        [monitoring]        log/log.go:145        Non-zero metrics...
 2月 17 01:28:33 sves2020 filebeat[3898]: 2021-02-17T01:28:33.439+0900        INFO        [monitoring]        log/log.go:145        Non-zero metrics...
 2月 17 01:29:03 sves2020 filebeat[3898]: 2021-02-17T01:29:03.439+0900        INFO        [monitoring]        log/log.go:145        Non-zero metrics...

5.INDEXの確認

DiscoverでINDEXにログが登録されている事を確認。

netflow_discover

6.Dashboard

setupコマンドでLoadされるデフォルトのダッシュボード。


Overview

Overview


Conversation Partners


Traffic Analysis


Top-N


Geo Location


Autonomous Systems


Flow Exporters


Raw Flow Records


Visualize、Dashboardはデフォルトテンプレートを参考に用途に合わせて作成するのが良いかと。

以上。