2018년 11월 14일 수요일

Packetbeat 활용

가끔 Packetbeat 사용법을 물어보는 분들이 계시는데, 계속 안써봤다고 답하기 궁색해서 써봄(..) 이름처럼 Packetbeat는 트래픽 데이터 전송 에이전트 역할을 한다. 우선 설정부터 살펴보자.

Network device


모니터링 대상 랜카드 설정. 원하는 랜카드의 순서번호를 입력하면 되며, 순서번호 확인은 'packetbeat devices' 명령으로 확인할 수 있다. 참고로 'any' 옵션은 리눅스에서만 쓸 수 있다고.


Flow와 Transaction

Packetbeat는 트래픽을 Flow와 Transaction으로 분류한다. 일단 flow는 30초 이내에 발생한 송수신 패킷 통계를 10초 간격으로 작성해서 보여준다.



Flow가 IP간 단순 송수신 통계라면, Transaction은 사전 정의된 애플리케이션 성격에 따른 세션 단위 분석. 애플리케이션을 추가하고 싶다면 이름과 함께 서비스 포트 정보를 추가하면 된다.


참고로 Packetbeat는 같은 IP간 트래픽에 대해서 Flow와 Transaction, 두가지 결과물을 내놓기 때문에 단순 패킷 송수신 통계가 필요없다면 Flow를 사용하지 않으면 됨.


다음은 http request와 response 정보를 조합해서 보여주는 Transaction 세부 내역.


Dashboards

beat 제품군은 beat 유형에 따른 맞춤 대시보드 샘플을 제공한다. 그런데 이게 다른 beat에서는 잘 안 됐는데 Packetbeat는 잘 동작하더라(..) 그리고 해당 기능을 활성화하면 'packetbeat-*'이라는 인덱스가 키바나에 자동 등록된다.

대시보드 기능 활성화 

대시보드를 저장할 키바나 지정

Output

Packetbest는 패킷 구조를 이용해서 필드 분류를 잘 해주기 때문에 딱히 필터링도 필요없고 해서 로그스태시를 거치지 않고 엘라스틱서치로 바로 전송.


다음은 Packetbeat 실행 후 키바나에 등록된 다양한 대시보드 샘플들.


Overview 대시보드

Overview 대시보드

잠깐 테스트해본 결과, Packetbeat는 송수신 통계 및 완성된 세션 단위의 트래픽 정보를 수집한다. 데이터 폭주할까 걱정했는데 패킷 단위 정보가 아니라서 그나마 다행.

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스