ElasticFlow搭建立莉,接入網(wǎng)絡(luò)設(shè)備sflow

CentOS 7 中部署安裝(非docker)

1绢彤、jdk環(huán)境和其他工具準(zhǔn)備
yum install java-openjdk-devel java-openjdk    # jdk
java -version
yum install git unzip net-tools lrzsz
2、下載elk安裝包并安裝
# 創(chuàng)建安裝包存放目錄
mkdir -p /home/apps/elk
# 下載安裝包
wget https://artifacts.elastic.co/downloads/elasticsearch/elasticsearch-7.8.1-x86_64.rpm
wget https://artifacts.elastic.co/downloads/kibana/kibana-7.8.1-x86_64.rpm
wget https://artifacts.elastic.co/downloads/logstash/logstash-7.8.1.rpm
# 安裝
rpm -ivh elasticsearch-7.8.1-x86_64.rpm kibana-7.8.1-x86_64.rpm logstash-7.8.1.rpm
# 加入systemd管理蜓耻,使其開機(jī)自啟
systemctl daemon-reload
systemctl enable elasticsearch.service 
systemctl enable kibana.service 
systemctl enable logstash.service
3茫舶、修改配置文件
vim /etc/elasticsearch/elasticsearch.yml

檢查配置文件關(guān)鍵配置如下

[root@testhost elk]# grep -v "^$\|^#" /etc/elasticsearch/elasticsearch.yml
cluster.name: elastiflow
node.name: elastiflow
path.data: /var/lib/elasticsearch
path.logs: /var/log/elasticsearch
bootstrap.memory_lock: true
network.host: 0.0.0.0
http.port: 9200
action.destructive_requires_name: true
indices.query.bool.max_clause_count: 8192
search.max_buckets: 250000
discovery.type: single-node

修改es的jvm配置
vim /etc/elasticsearch/jvm.options
檢查配置文件關(guān)鍵配置如下

-Xms4g
-Xmx4g

修改kibana配置文件vim /etc/kibana/kibana.yml

server.host: "0.0.0.0"
elasticsearch.hosts: ["http://localhost:9200"]
4、啟動服務(wù)

順序啟動

systemctl restart elasticsearch.service
systemctl status elasticsearch.service 
systemctl restart kibana.service
systemctl status kibana.service
5刹淌、安裝logstash plugin
/usr/share/logstash/bin/logstash-plugin install logstash-codec-sflow
/usr/share/logstash/bin/logstash-plugin install logstash-codec-netflow
/usr/share/logstash/bin/logstash-plugin install logstash-input-udp
/usr/share/logstash/bin/logstash-plugin install logstash-input-tcp
/usr/share/logstash/bin/logstash-plugin install logstash-filter-dns
/usr/share/logstash/bin/logstash-plugin install logstash-filter-geoip
/usr/share/logstash/bin/logstash-plugin install logstash-filter-translate
6饶氏、logstash中的elastiflow模塊下載部署
git clone https://github.com/robcowart/elastiflow.git
wget https://github.com/robcowart/elastiflow/archive/master.zip
unzip master.zip
cp -a /home/apps/elk/elastiflow/logstash/elastiflow/. /etc/logstash/elastiflow/
cp -a /home/apps/elk/elastiflow/logstash.service.d/. /etc/systemd/system/logstash.service.d/
sz /home/apps/elk/elastiflow-master/kibana/elastiflow.kibana.7.8.x.ndjson    # 把kibana模板保存到本地,后面步驟需要在kibana頁面中導(dǎo)入此模板文件

修改logstash jvm配置文件vim /etc/logstash/jvm.options(此項很重要有勾,需要把jvm堆改大疹启,否則logstash啟動會報OOM)

[root@testhost elk]# grep -v "^$\|^#" /etc/logstash/jvm.options 
-Xms4g
-Xmx4g
-XX:+UseConcMarkSweepGC
-XX:CMSInitiatingOccupancyFraction=75
-XX:+UseCMSInitiatingOccupancyOnly
-Djava.awt.headless=true
-Dfile.encoding=UTF-8
-Djruby.compile.invokedynamic=true
-Djruby.jit.threshold=0
-Djruby.regexp.interruptible=true
-XX:+HeapDumpOnOutOfMemoryError
-Djava.security.egd=file:/dev/urandom
-Dlog4j2.isThreadContextMapInheritable=true

修改管道配置文件vim /etc/logstash/pipelines.yml

# This file is where you define your pipelines. You can define multiple.
# For more information on multiple pipelines, see the documentation:
#   https://www.elastic.co/guide/en/logstash/current/multiple-pipelines.html

#- pipeline.id: main
#  path.config: "/etc/logstash/conf.d/*.conf"

- pipeline.id: elastiflow
  path.config: "/etc/logstash/elastiflow/conf.d/*.conf"

執(zhí)行l(wèi)ogstash系統(tǒng)腳本/usr/share/logstash/bin/system-install
啟動logstash并設(shè)置開機(jī)自啟

systemctl daemon-reload
systemctl enable logstash
systemctl start logstash.service
7、其他測試項

關(guān)閉防火墻和selinux

systemctl stop firewalld.service
systemctl disable firewalld.service

# 臨時禁用selinux
setenforce 0

測試es

[root@testhost ~]# curl http://0.0.0.0:9200
{
  "name" : "elastiflow",
  "cluster_name" : "elastiflow",
  "cluster_uuid" : "a_PBznEvT0iULfVEC1MdGA",
  "version" : {
    "number" : "7.8.1",
    "build_flavor" : "default",
    "build_type" : "rpm",
    "build_hash" : "b5ca9c58fb664ca8bf9e4057fc229b3396bf3a89",
    "build_date" : "2020-07-21T16:40:44.668009Z",
    "build_snapshot" : false,
    "lucene_version" : "8.5.1",
    "minimum_wire_compatibility_version" : "6.8.0",
    "minimum_index_compatibility_version" : "6.0.0-beta1"
  },
  "tagline" : "You Know, for Search"
}

檢查端口

[root@testhost ~]# netstat -antupl |grep java
tcp6       0      0 :::9200                 :::*                    LISTEN      3924/java           
tcp6       0      0 :::9300                 :::*                    LISTEN      3924/java           
tcp6       0      0 127.0.0.1:9600          :::*                    LISTEN      4181/java           
tcp6       0      0 :::4739                 :::*                    LISTEN      4181/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42400         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42410         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42404         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42406         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:42412         127.0.0.1:9200          ESTABLISHED 4181/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42412         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42398         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42394         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42408         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42402         ESTABLISHED 3924/java           
tcp6       0      0 127.0.0.1:9200          127.0.0.1:42396         ESTABLISHED 3924/java           
udp        0      0 0.0.0.0:2055            0.0.0.0:*                           4181/java           
udp        0      0 0.0.0.0:4739            0.0.0.0:*                           4181/java           
udp        0      0 0.0.0.0:6343            0.0.0.0:*                           4181/java      # elastiflow監(jiān)聽端口

[root@testhost ~]# netstat -antp |grep 5601
tcp        0      0 0.0.0.0:5601            0.0.0.0:*               LISTEN      3289/node      # kibana web端口

檢查日志

tailf /var/log/logstash/logstash-plain.log

elasticflow各協(xié)議的端口查看

[root@testhost ~]# grep -i sflow /etc/systemd/system/logstash.service.d/elastiflow.conf    # 只查看sflow相關(guān)端口和配置
# sFlow - IPv4
Environment="ELASTIFLOW_SFLOW_IPV4_HOST=0.0.0.0"
Environment="ELASTIFLOW_SFLOW_IPV4_PORT=6343"
# sFlow - IPv6
Environment="ELASTIFLOW_SFLOW_IPV6_HOST=[::]"
Environment="ELASTIFLOW_SFLOW_IPV6_PORT=56343"
# sFlow - UDP input options
Environment="ELASTIFLOW_SFLOW_UDP_WORKERS=4"
Environment="ELASTIFLOW_SFLOW_UDP_QUEUE_SIZE=4096"
Environment="ELASTIFLOW_SFLOW_UDP_RCV_BUFF=33554432"
8蔼卡、kibana配置

瀏覽器打開http://127.0.0.1:5601


image.png

image.png

image.png

image.png

image.png

image.png

二喊崖、交換機(jī)配置(H3C)

# 全局sflow配置
sflow agent ip 192.168.10.35
sflow source ip 192.168.10.35
sflow collector 1 ip 192.168.10.10 description "Test Collector"
sflow sampling-rate 1000

# 接口下應(yīng)用sflow配置
sflow flow collector 1

# 查看sflow狀態(tài)
<H3C>dis sflow
sFlow datagram version: 5
Global information:
Agent IP: 192.168.10.35(CLI)
Source address: 192.168.10.35 
Collector information:
ID    IP              Port  Aging      Size VPN-instance Description
1     192.168.10.10   6343  N/A        1400              "Test Collector"       
Port counter sampling information:
Interface      Instance   CID   Interval(s)
Port flow sampling information:
Interface      Instance   FID   MaxHLen Rate       Mode      Status
GE1/0/24       1          1     128     1000       Random    Active

參考鏈接:
https://cloud.tencent.com/developer/article/1648854
https://blog.51cto.com/coolsky/3190806

最后編輯于
?著作權(quán)歸作者所有,轉(zhuǎn)載或內(nèi)容合作請聯(lián)系作者
  • 人面猴
    序言:七十年代末,一起剝皮案震驚了整個濱河市,隨后出現(xiàn)的幾起案子贷祈,更是在濱河造成了極大的恐慌趋急,老刑警劉巖,帶你破解...
    沈念sama閱讀 219,270評論 6 508
  • 死咒
    序言:濱河連續(xù)發(fā)生了三起死亡事件势誊,死亡現(xiàn)場離奇詭異呜达,居然都是意外死亡,警方通過查閱死者的電腦和手機(jī)粟耻,發(fā)現(xiàn)死者居然都...
    沈念sama閱讀 93,489評論 3 395
  • 救了他兩次的神仙讓他今天三更去死
    文/潘曉璐 我一進(jìn)店門查近,熙熙樓的掌柜王于貴愁眉苦臉地迎上來,“玉大人挤忙,你說我怎么就攤上這事霜威。” “怎么了册烈?”我有些...
    開封第一講書人閱讀 165,630評論 0 356
  • 道士緝兇錄:失蹤的賣姜人
    文/不壞的土叔 我叫張陵戈泼,是天一觀的道長。 經(jīng)常有香客問我赏僧,道長大猛,這世上最難降的妖魔是什么? 我笑而不...
    開封第一講書人閱讀 58,906評論 1 295
  • ?港島之戀(遺憾婚禮)
    正文 為了忘掉前任淀零,我火速辦了婚禮挽绩,結(jié)果婚禮上,老公的妹妹穿的比我還像新娘驾中。我一直安慰自己唉堪,他們只是感情好,可當(dāng)我...
    茶點故事閱讀 67,928評論 6 392
  • 惡毒庶女頂嫁案:這布局不是一般人想出來的
    文/花漫 我一把揭開白布肩民。 她就那樣靜靜地躺著唠亚,像睡著了一般。 火紅的嫁衣襯著肌膚如雪此改。 梳的紋絲不亂的頭發(fā)上趾撵,一...
    開封第一講書人閱讀 51,718評論 1 305
  • 城市分裂傳說
    那天侄柔,我揣著相機(jī)與錄音共啃,去河邊找鬼。 笑死暂题,一個胖子當(dāng)著我的面吹牛移剪,可吹牛的內(nèi)容都是我干的。 我是一名探鬼主播薪者,決...
    沈念sama閱讀 40,442評論 3 420
  • 雙鴛鴦連環(huán)套:你想象不到人心有多黑
    文/蒼蘭香墨 我猛地睜開眼纵苛,長吁一口氣:“原來是場噩夢啊……” “哼!你這毒婦竟也來了?” 一聲冷哼從身側(cè)響起攻人,我...
    開封第一講書人閱讀 39,345評論 0 276
  • 萬榮殺人案實錄
    序言:老撾萬榮一對情侶失蹤取试,失蹤者是張志新(化名)和其女友劉穎,沒想到半個月后怀吻,有當(dāng)?shù)厝嗽跇淞掷锇l(fā)現(xiàn)了一具尸體瞬浓,經(jīng)...
    沈念sama閱讀 45,802評論 1 317
  • ?護(hù)林員之死
    正文 獨居荒郊野嶺守林人離奇死亡,尸身上長有42處帶血的膿包…… 初始之章·張勛 以下內(nèi)容為張勛視角 年9月15日...
    茶點故事閱讀 37,984評論 3 337
  • ?白月光啟示錄
    正文 我和宋清朗相戀三年蓬坡,在試婚紗的時候發(fā)現(xiàn)自己被綠了猿棉。 大學(xué)時的朋友給我發(fā)了我未婚夫和他白月光在一起吃飯的照片。...
    茶點故事閱讀 40,117評論 1 351
  • 活死人
    序言:一個原本活蹦亂跳的男人離奇死亡屑咳,死狀恐怖萨赁,靈堂內(nèi)的尸體忽然破棺而出,到底是詐尸還是另有隱情兆龙,我是刑警寧澤杖爽,帶...
    沈念sama閱讀 35,810評論 5 346
  • ?日本核電站爆炸內(nèi)幕
    正文 年R本政府宣布,位于F島的核電站紫皇,受9級特大地震影響掂林,放射性物質(zhì)發(fā)生泄漏。R本人自食惡果不足惜坝橡,卻給世界環(huán)境...
    茶點故事閱讀 41,462評論 3 331
  • 男人毒藥:我在死后第九天來索命
    文/蒙蒙 一泻帮、第九天 我趴在偏房一處隱蔽的房頂上張望。 院中可真熱鬧计寇,春花似錦锣杂、人聲如沸。這莊子的主人今日做“春日...
    開封第一講書人閱讀 32,011評論 0 22
  • 一樁弒父案元莫,背后竟有這般陰謀
    文/蒼蘭香墨 我抬頭看了看天上的太陽。三九已至蝶押,卻和暖如春踱蠢,著一層夾襖步出監(jiān)牢的瞬間,已是汗流浹背棋电。 一陣腳步聲響...
    開封第一講書人閱讀 33,139評論 1 272
  • 情欲美人皮
    我被黑心中介騙來泰國打工茎截, 沒想到剛下飛機(jī)就差點兒被人妖公主榨干…… 1. 我叫王不留,地道東北人赶盔。 一個月前我還...
    沈念sama閱讀 48,377評論 3 373
  • 代替公主和親
    正文 我出身青樓企锌,卻偏偏與公主長得像,于是被迫代替她去往敵國和親于未。 傳聞我的和親對象是個殘疾皇子撕攒,可洞房花燭夜當(dāng)晚...
    茶點故事閱讀 45,060評論 2 355

推薦閱讀更多精彩內(nèi)容