Network device
모니터링 대상 랜카드 설정. 원하는 랜카드의 순서번호를 입력하면 되며, 순서번호는 'packetbeat devices' 명령으로 확인할 수 있다. 참고로 'any' 옵션은 리눅스에서만 쓸 수 있다고.
Flow와 Transaction
Packetbeat는 같은 트래픽을 Flow와 Transaction으로 분류한다. 일단 flow는 송수신 패킷 통계를 10초 간격으로 보여주며, 30초 이내에 완료되지 않는 패킷은 버린다.
Flow가 IP간 단순 송수신 통계라면, Transaction은 사전 정의된 애플리케이션 성격에 따른 세션 단위 분석. 근데 아직 지원하는 애플리케이션이 많지는 않다.
참고로 Packetbeat는 같은 IP간 트래픽에 대해서 Flow와 Transaction, 두가지 결과물을 보여주기 때문에 단순 패킷 송수신 통계가 필요없다면 Flow를 사용하지 않으면 됨.
다음은 http request와 response 정보를 조합해서 보여주는 Transaction 세부 내역.
Dashboards
beat 제품군은 beat 유형에 따른 맞춤 대시보드 템플릿을 제공한다. 그런데 이게 다른 beat에서는 잘 안 됐는데
 |
| 대시보드 기능 활성화 |
 |
| 대시보드를 저장할 키바나 지정 |
참고로 해당 기능을 활성화하면 'packetbeat-*'이라는 인덱스가 키바나에 자동 등록된다.
Output
Packetbest는 패킷 구조를 이용해서 필드 분류를 잘 해주기 때문에 딱히 필터링도 필요없고 해서 로그스태시를 거치지 않고 엘라스틱서치로 바로 전송.
다음은 Packetbeat 실행 후 키바나에 등록된 다양한 대시보드 샘플들.
 |
| Overview 대시보드 |
 |
| Overview 대시보드 |
잠깐 테스트해본 결과, Packetbeat는 송수신 통계 및 완성된 세션 단위의 트래픽 정보를 수집한다. 데이터 폭주할까 걱정했는데 패킷 단위 저장이 아니라서 다행.
관련 글
댓글 없음:
댓글 쓰기