Packetbeat adalah network packet analyzer yang dapat Anda gunakan dengan Elasticsearch untuk menyediakan sistem monitoring aplikasi dan analisis kinerja secara real-time.
Packetbeat bekerja dengan cara menangkap lalu lintas jaringan seperti HTTP, MySQL, Redis, dan sebagainya sehingga dapat membantu Anda melihat masalah pada aplikasi back-end atau masalah kinerja.
Sebelum memulai Anda memerlukan Elastic Stack seperti Elasticsearch untuk menyimpan dan mencari data, dan Kibana untuk memvisualisasikan dan mengelolanya.
Install Packetbeat #
Install dependensi libpcap untuk packet capture.
yum -y install libpcap
Selanjutnya install Packetbeat di server khusus atau menjadi satu dengan server aplikasi Anda.
curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-8.11.0-x86_64.rpm
sudo rpm -vi packetbeat-8.11.0-x86_64.rpm
Connect to the Elastic Stack #
Konfigurasikan packetbeat.yml agar dapat terhubung dengan Elasticsearch dan Kibana.
output.elasticsearch:
hosts: ["https://myEShost:9200"]
username: "packetbeat_internal"
password: "YOUR_PASSWORD"
ssl:
enabled: true
ca_trusted_fingerprint: "b9a10bbe64ee9826abeda6546fc988c8bf798b41957c33d05db736716513dc9c"
setup.kibana:
host: "mykibanahost:5601"
username: "my_kibana_user"
password: "{pwd}"
Configure sniffing #
Masih di packetbeat.yml. Secara default Packetbeat menggunakan pcap dari library libpcap yang dapat berfungsi di sebagaian besar platform.
Namun di Linux, Anda dapat mangatur jenis sniffer ke af_packet untuk menggunakan sniffing yang dipetakan memory.
Opsi ini lebih cepat daripada libpcap dan tidak memerlukan modul kernel.
packetbeat.interfaces.type: af_packet
Tentukan interface untuk menangkap lalu lintas. Anda bisa mengaturnya ke any bila perlu.
packetbeat.interfaces.device: eth0
Untuk melihat interface yang tersedia.
packetbeat devices
Bagian protokol, konfigurasikan port yang akan dipantau. Nilai defaulnya seperti berikut
packetbeat.protocols:
- type: icmp
enabled: true
- type: amqp
ports: [5672]
- type: cassandra
ports: [9042]
- type: dhcpv4
ports: [67, 68]
- type: dns
ports: [53]
- type: http
ports: [80, 8080, 8000, 5000, 8002]
- type: memcache
ports: [11211]
- type: mysql
ports: [3306,3307]
- type: pgsql
ports: [5432]
- type: redis
ports: [6379]
- type: thrift
ports: [9090]
- type: mongodb
ports: [27017]
- type: nfs
ports: [2049]
- type: tls
ports:
- 8443
- type: sip
ports: [5060]
Test konfigurasi packetbeat.
packetbeat test config -e
Set up assets #
Packetbeat dilengkapi dengan assets bawaan untuk parsing, indexing, dan visualizing data Anda.
Untuk menerapkannya gunakan perintah berikut.
packetbeat setup -e
Start Packetbeat #
Start service packetbeat untuk memulai pengambilan data.
systemctl start packetbeat
Cek dashboard Kibana untuk memastikan data sudah masuk.
