Elastiflow представляет собой решение для сбора и анализа сетевых данных, основанное на стеке ELK. Ключевым отличием от традиционного ELK является наличие оптимизированного агента сбора телеметрии и готовых дашбордов, что упрощает анализ. Проект изначально развивался на GitHub, но теперь коммерчески доступен flow-collector, который демонстрирует повышенную производительность. Бесплатное использование flow-collector возможно, при регистрации доступно большее количество полей и более высокая скорость обработки.
Для корректной работы flow-collector, особенно при высоких нагрузках, требуется настроить сетевые параметры ядра Linux. В частности, необходимо увеличить размеры очередей и буферов для обработки сетевых пакетов, чтобы избежать потери данных. Конкретные значения параметров зависят от интенсивности трафика.
Установка flow-collector в Debian/Ubuntu предполагает установку дополнительных библиотек и загрузку deb-пакета. После установки необходимо отредактировать конфигурационный файл flowcoll.yml, в котором, помимо прочего, нужно активировать опцию приема лицензии и настроить вывод данных в Elasticsearch. Для тестирования удобно использовать docker-compose файл, который разворачивает Elasticsearch и Kibana. После запуска необходимо загрузить объекты визуализации в Kibana, которые можно найти в документации. Для эмуляции трафика NetFlow можно использовать утилиту nflow-generator, что позволяет проверить работоспособность установленной инфраструктуры.
Использование NetFlow и его аналогов является эффективным подходом для выявления аномалий в сети благодаря небольшому объему данных и скорости обработки.
Изображение носит иллюстративный характер
Для корректной работы flow-collector, особенно при высоких нагрузках, требуется настроить сетевые параметры ядра Linux. В частности, необходимо увеличить размеры очередей и буферов для обработки сетевых пакетов, чтобы избежать потери данных. Конкретные значения параметров зависят от интенсивности трафика.
Установка flow-collector в Debian/Ubuntu предполагает установку дополнительных библиотек и загрузку deb-пакета. После установки необходимо отредактировать конфигурационный файл flowcoll.yml, в котором, помимо прочего, нужно активировать опцию приема лицензии и настроить вывод данных в Elasticsearch. Для тестирования удобно использовать docker-compose файл, который разворачивает Elasticsearch и Kibana. После запуска необходимо загрузить объекты визуализации в Kibana, которые можно найти в документации. Для эмуляции трафика NetFlow можно использовать утилиту nflow-generator, что позволяет проверить работоспособность установленной инфраструктуры.
Использование NetFlow и его аналогов является эффективным подходом для выявления аномалий в сети благодаря небольшому объему данных и скорости обработки.
