2018년 11월 15일 목요일

Packetbeat 활용 - 2nd

실시간 모니터링 말고 파일로 저장된 트래픽도 분석할 수 있을까? 당연히 된다. pcap 파일 리플레이를 할 수 있다는 얘기. Winlogbeat도 파일 접근할 수 있게 해줘


해보자. 시간 많이 걸림 주의. 실제 패킷에 기록된 시간 정도 소요됨.


데이터 연동만 하면 대시보드까지 다 만들어져서 좋은데를 연발하던 중에 다시 보니 IP 지도가 안 그려지네?


매뉴얼 뒤져보니 지도 작성을 위해서는 몇가지 사전 작업이 필요하다. 삽질 시작
  1. Ingest Geoip Processor Plugin 설치
  2. 엘라스틱서치 재시작
  3. Ingest node pipeline 정의
  4. Packetbeat 출력 설정 수정

1. Ingest Geoip Processor Plugin 설치

로그스태시를 이용할 때 IP에 대한 지리정보 매핑이 필요하면 geoip 필터를 이용했다. 하지만 지금은 Packetbeat -> 엘라스틱서치 다이렉트 전송 환경.

로그스태시의 geoip 필터 역할을 해주는 뭔가가 엘라스틱서치에 필요하겠지. 그런 역할을 하는 플러그인인 모양. 그런데 매뉴얼대로 해당 플러그인을 설치해도 지도가 그려지지 않는다. 매뉴얼을 다시 읽어보자.

2. 엘라스틱 노드 재시작을 잊지마라잊지마라잊지마라


그러나 여전히 안 됨. 뭘 또 빼먹었나 싶어 매뉴얼을 다시 보니 떡하니 번호까지 매겨진 추가 설정이 기다리고 있다.

3. Ingest node pipeline 정의

로그스태시에서 geoip 필터가 동작하려면 필터 표현식을 이용해서 지리정보를 매핑할 필드를 정의해야 한다. 같은 과정이라고 생각하면 쉬울 듯. geoip 플러그인이 지리정보를 매핑할 필드를 정의하는 과정.


이제 완벽하다고 생각했으나(..)

4. Packetbeat 출력 설정 수정

이렇게 덜렁대다 조만간 망하지-_- 엘라스틱서치로 데이터를 던질 때 geoip 플러그인을 거치라는 의미인 듯.


이제 됨.


오늘의 결론, 매뉴얼을 꼼꼼히 읽자.

관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스