基于ELK的NetFlow/sFlow流量分析系统

最近接手的IDC运维工作,发现原团队没有好的流量分析系统,以往突发案件需要在出口出的一台机器上抓包分析,缺少历史记录和趋势分析。遂考虑用ELK来建一套。

一阵捣鼓后,发现GitHub上已有成熟的项目了:https://github.com/robcowart/elastiflow

安装过程不复杂,这里记录一下发现的一个bug:锐捷和H3C设备只支持sFlow,用最新版本的LogStash会出现如u0000、u0005、u0000L等乱码。

一阵Google后,降级到7.3版本,问题解决。

 4,449 total views