Packetbeat adalah network packet analyzer yang dapat Anda gunakan dengan Elasticsearch untuk menyediakan sistem monitoring aplikasi dan analisis kinerja secara real-time.
Packetbeat bekerja dengan cara menangkap lalu lintas jaringan seperti HTTP, MySQL, Redis, dan sebagainya sehingga dapat membantu Anda melihat masalah pada aplikasi back-end atau masalah kinerja.
Sebelum memulai Anda memerlukan Elastic Stack seperti Elasticsearch untuk menyimpan dan mencari data, dan Kibana untuk memvisualisasikan dan mengelolanya.
Install Packetbeat
Install dependensi libpcap untuk packet capture.
yum -y install libpcap
Selanjutnya install Packetbeat di server khusus atau menjadi satu dengan server aplikasi Anda.
curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-8.11.0-x86_64.rpm
sudo rpm -vi packetbeat-8.11.0-x86_64.rpm
Connect to the Elastic Stack
Konfigurasikan packetbeat.yml agar dapat terhubung dengan Elasticsearch dan Kibana.
output.elasticsearch:
hosts: ["https://myEShost:9200"]
username: "packetbeat_internal"
password: "YOUR_PASSWORD"
ssl:
enabled: true
ca_trusted_fingerprint: "b9a10bbe64ee9826abeda6546fc988c8bf798b41957c33d05db736716513dc9c"
setup.kibana:
host: "mykibanahost:5601"
username: "my_kibana_user"
password: "{pwd}"
Configure sniffing
Masih di packetbeat.yml. Secara default Packetbeat menggunakan pcap dari library libpcap yang dapat berfungsi di sebagaian besar platform.
Namun di Linux, Anda dapat mangatur jenis sniffer ke af_packet untuk menggunakan sniffing yang dipetakan memory.
Opsi ini lebih cepat daripada libpcap dan tidak memerlukan modul kernel.
packetbeat.interfaces.type: af_packet
Tentukan interface untuk menangkap lalu lintas. Anda bisa mengaturnya ke any bila perlu.
packetbeat.interfaces.device: eth0
Untuk melihat interface yang tersedia.
packetbeat devices
Bagian protokol, konfigurasikan port yang akan dipantau. Nilai defaulnya seperti berikut
packetbeat.protocols:
- type: icmp
enabled: true
- type: amqp
ports: [5672]
- type: cassandra
ports: [9042]
- type: dhcpv4
ports: [67, 68]
- type: dns
ports: [53]
- type: http
ports: [80, 8080, 8000, 5000, 8002]
- type: memcache
ports: [11211]
- type: mysql
ports: [3306,3307]
- type: pgsql
ports: [5432]
- type: redis
ports: [6379]
- type: thrift
ports: [9090]
- type: mongodb
ports: [27017]
- type: nfs
ports: [2049]
- type: tls
ports:
- 8443
- type: sip
ports: [5060]
Test konfigurasi packetbeat.
packetbeat test config -e
Set up assets
Packetbeat dilengkapi dengan assets bawaan untuk parsing, indexing, dan visualizing data Anda.
Untuk menerapkannya gunakan perintah berikut.
packetbeat setup -e
Start Packetbeat
Start service packetbeat untuk memulai pengambilan data.
systemctl start packetbeat
Cek dashboard Kibana untuk memastikan data sudah masuk.
