›

Packetbeat 快速入门：安装和配置

编辑

Packetbeat 快速入门：安装和配置编辑

了解像 Packetbeat 这样的网络数据包分析系统价值的最佳方法是在您自己的流量上进行尝试。

本指南介绍如何快速开始使用网络数据包分析。您将了解如何

在要监控的每个系统上安装 Packetbeat
指定要嗅探的网络设备和协议
将数据包数据解析为字段并将其发送到 Elasticsearch
在 Kibana 中可视化数据包数据

开始之前编辑

您需要 Elasticsearch 来存储和搜索数据，以及 Kibana 来可视化和管理数据。

要快速入门，请启动我们的托管 Elasticsearch 服务部署。Elasticsearch 服务在 AWS、GCP 和 Azure 上可用。免费试用。
在大多数平台上，Packetbeat 需要 libpcap 数据包捕获库。根据您的操作系统，您可能需要安装它
```
sudo apt-get install libpcap0.8
```
```
sudo yum install libpcap
```
您可能不需要安装 libpcap。

您可能不需要安装 libpcap。

您可能不需要安装 libpcap。Windows 版 Packetbeat 的默认发行版捆绑了 Npcap 库。

对于 OSS 仅发行版，您必须下载并安装一个数据包嗅探库，例如 Npcap，它实现了 libpcap 接口。

如果您使用 Npcap，请确保以 WinPcap API 兼容模式安装它。如果您计划从环回设备捕获流量（127.0.0.1 流量），请选择支持环回流量的选项。

步骤 1：安装 Packetbeat编辑

您可以在专用服务器上安装 Packetbeat，从镜像端口或镜像设备获取流量，也可以在现有的应用程序服务器上安装它。

要下载和安装 Packetbeat，请使用适合您系统的命令

curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-8.14.3-amd64.deb
sudo dpkg -i packetbeat-8.14.3-amd64.deb

curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-8.14.3-x86_64.rpm
sudo rpm -vi packetbeat-8.14.3-x86_64.rpm

curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-8.14.3-darwin-x86_64.tar.gz
tar xzvf packetbeat-8.14.3-darwin-x86_64.tar.gz

curl -L -O https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-8.14.3-linux-x86_64.tar.gz
tar xzvf packetbeat-8.14.3-linux-x86_64.tar.gz

下载 Packetbeat Windows zip 文件：https://artifacts.elastic.co/downloads/beats/packetbeat/packetbeat-8.14.3-windows-x86_64.zip
将 zip 文件的内容解压缩到 C:\Program Files。
将 packetbeat-8.14.3-windows-x86_64 目录重命名为 Packetbeat。
以管理员身份打开 PowerShell 提示符（右键单击 PowerShell 图标并选择 以管理员身份运行）。

从 PowerShell 提示符中，运行以下命令将 Packetbeat 安装为 Windows 服务

PS > cd 'C:\Program Files\Packetbeat'
PS C:\Program Files\Packetbeat> .\install-service-packetbeat.ps1

如果您的系统上禁用了脚本执行，则需要将当前会话的执行策略设置为允许脚本运行。例如：PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-packetbeat.ps1。

显示的命令适用于 AMD 平台，但 ARM 软件包也可用。有关可用软件包的完整列表，请参阅下载页面。

其他安装选项编辑

步骤 2：连接到 Elastic Stack编辑

要设置 Packetbeat，需要连接到 Elasticsearch 和 Kibana。

在 packetbeat.yml 中设置连接信息。要查找此配置文件，请参阅目录布局。

指定 cloud.id 的 Elasticsearch 服务，并将 cloud.auth 设置为有权设置 Packetbeat 的用户。例如

cloud.id: "staging:dXMtZWFzdC0xLmF3cy5mb3VuZC5pbyRjZWM2ZjI2MWE3NGJmMjRjZTMzYmI4ODExYjg0Mjk0ZiRjNmMyY2E2ZDA0MjI0OWFmMGNjN2Q3YTllOTYyNTc0Mw=="
cloud.auth: "packetbeat_setup:YOUR_PASSWORD"

此示例显示了一个硬编码密码，但您应该将敏感值存储在 secrets 密钥库中。

设置 Packetbeat 可以找到 Elasticsearch 安装的 host 和端口，并设置有权设置 Packetbeat 的用户的用户名和密码。例如

output.elasticsearch:
  hosts: ["https://myEShost:9200"]
  username: "packetbeat_internal"
  password: "YOUR_PASSWORD" 
  ssl:
    enabled: true
    ca_trusted_fingerprint: "b9a10bbe64ee9826abeda6546fc988c8bf798b41957c33d05db736716513dc9c"

此示例显示了一个硬编码密码，但您应该将敏感值存储在 secrets 密钥库中。

此示例显示了一个硬编码指纹，但您应该将敏感值存储在 secrets 密钥库中。指纹是 CA 证书的十六进制编码 SHA-256，当您首次启动 Elasticsearch 时，会默认启用 Elasticsearch 的安全功能，例如网络加密（TLS）。如果您使用的是 Elasticsearch 首次启动时生成的自签名证书，则需要在此处添加其指纹。指纹会打印在 Elasticsearch 启动日志中，或者您可以参考连接客户端到 Elasticsearch 文档以了解获取指纹的其他选项。如果您为 Elasticsearch 提供自己的 SSL 证书，请参阅 Packetbeat 文档，了解如何设置 SSL。

如果您打算使用我们预先构建的 Kibana 仪表板，请配置 Kibana 端点。如果 Kibana 在与 Elasticsearch 相同的主机上运行，请跳过此步骤。

  setup.kibana:
    host: "mykibanahost:5601" 
    username: "my_kibana_user"  
    password: "{pwd}"

	运行 Kibana 的主机的 hostname 和端口，例如 `mykibanahost:5601`。如果您在端口号之后指定了路径，请包含方案和端口：`http://mykibanahost:5601/path`。
	Kibana 的 `username` 和 `password` 设置是可选的。如果您没有为 Kibana 指定凭据，Packetbeat 会使用为 Elasticsearch 输出指定的 `username` 和 `password`。
	要使用预先构建的 Kibana 仪表板，此用户必须有权查看仪表板或具有 `kibana_admin` 内置角色。

要了解有关所需角色和权限的更多信息，请参阅 授予用户访问受保护资源的权限。

您可以将数据发送到其他输出，例如 Logstash，但这需要额外的配置和设置。

步骤 3：配置嗅探编辑

在 packetbeat.yml 中，配置要从中捕获流量的网络设备和协议。

设置嗅探器类型。默认情况下，Packetbeat 使用 pcap，它使用 libpcap 库，可在大多数平台上运行。

在 Linux 上，将嗅探器类型设置为 af_packet 以使用内存映射嗅探。此选项比 libpcap 更快，并且不需要内核模块，但它是 Linux 特定的
```
packetbeat.interfaces.type: af_packet
```
指定要从中捕获流量的网络设备。例如
```
packetbeat.interfaces.device: eth0
```
在 Linux 上，指定 packetbeat.interfaces.device: any 以捕获安装 Packetbeat 的服务器发送或接收的所有消息。在 macOS 上，any 设置不起作用。

要查看可用设备列表，请运行
```
packetbeat devices
```
```
packetbeat devices
```
```
./packetbeat devices
```
```
./packetbeat devices
```
```
PS C:\Program Files\Packetbeat> .\packetbeat.exe devices

0: \Device\NPF_{113535AD-934A-452E-8D5F-3004797DE286} (Intel(R) PRO/1000 MT Desktop Adapter)
```
在此示例中，系统上只有一个网络卡，索引为 0。如果有多个网络卡，请记住要用于捕获流量的设备的索引。

修改 device 设置以指向设备的索引
```
packetbeat.interfaces.device: 0
```
有关这些设置的更多信息，请参阅 流量嗅探。

在 protocols 部分，配置 Packetbeat 可以找到每个协议的端口。如果您使用任何非标准端口，请在此处添加它们。否则，请使用默认值。

packetbeat.protocols:

- type: dhcpv4
  ports: [67, 68]

- type: dns
  ports: [53]

- type: http
  ports: [80, 8080, 8081, 5000, 8002]

- type: memcache
  ports: [11211]

- type: mysql
  ports: [3306,3307]

- type: pgsql
  ports: [5432]

- type: redis
  ports: [6379]

- type: thrift
  ports: [9090]

- type: mongodb
  ports: [27017]

- type: cassandra
  ports: [9042]

- type: tls
  ports: [443, 993, 995, 5223, 8443, 8883, 9243]

要测试您的配置文件，请更改到安装 Packetbeat 二进制文件的目录，并使用以下指定的选项在前台运行 Packetbeat：sudo ./packetbeat test config -e。确保您的配置文件位于 Packetbeat 预期的路径（请参阅目录布局），或者使用 -c 标志指定配置文件的路径。根据您的操作系统，您在运行此测试时可能会遇到文件所有权问题。有关更多信息，请参阅配置文件所有权和权限。

有关配置 Packetbeat 的更多信息，另请参阅

配置 Packetbeat
配置文件格式
packetbeat.reference.yml：此参考配置文件显示所有未弃用的选项。您可以在与 packetbeat.yml 相同的位置找到它。

步骤 4：设置资产编辑

Packetbeat 附带预定义的资产，用于解析、索引和可视化您的数据。要加载这些资产

确保在 packetbeat.yml 中指定的用户有权设置 Packetbeat。
从安装目录中，运行
```
packetbeat setup -e
```
```
packetbeat setup -e
```
```
./packetbeat setup -e
```
```
./packetbeat setup -e
```
```
PS > .\packetbeat.exe setup -e
```
-e 是可选的，它将输出发送到标准错误而不是配置的日志输出。

此步骤会加载用于写入 Elasticsearch 的推荐索引模板，并部署用于在 Kibana 中可视化数据的示例仪表板。

需要连接到 Elasticsearch（或 Elasticsearch 服务）才能设置初始环境。如果您使用的是其他输出，例如 Logstash，请参阅手动加载索引模板和 加载 Kibana 仪表板。

步骤 5：启动 Packetbeat编辑

在启动 Packetbeat 之前，请修改 packetbeat.yml 中的用户凭据，并指定有权发布事件的用户。

要启动 Packetbeat，请运行

sudo service packetbeat start

如果您使用 init.d 脚本启动 Packetbeat，则无法指定命令行标志（请参阅命令参考）。要指定标志，请在前台启动 Packetbeat。

另请参阅 Packetbeat 和 systemd。

sudo service packetbeat start

如果您使用 init.d 脚本启动 Packetbeat，则无法指定命令行标志（请参阅命令参考）。要指定标志，请在前台启动 Packetbeat。

另请参阅 Packetbeat 和 systemd。

sudo chown root packetbeat.yml 
sudo ./packetbeat -e

您将以 root 身份运行 Packetbeat，因此您需要更改配置文件的所有权，或者使用指定的 --strict.perms=false 运行 Packetbeat。参阅配置文件所有权和权限。

sudo chown root packetbeat.yml 
sudo ./packetbeat -e

您将以 root 身份运行 Packetbeat，因此您需要更改配置文件的所有权，或者使用指定的 --strict.perms=false 运行 Packetbeat。参阅配置文件所有权和权限。

PS C:\Program Files\packetbeat> Start-Service packetbeat

默认情况下，Windows 日志文件存储在 C:\ProgramData\packetbeat\Logs 中。

Packetbeat 应该开始将数据流式传输到 Elasticsearch。

步骤 6：在 Kibana 中查看您的数据编辑

Packetbeat 附带了预建的 Kibana 仪表板和 UI，用于可视化日志数据。您之前在运行 setup 命令时加载了这些仪表板。

要打开仪表板

启动 Kibana
1. 登录您的 Elastic Cloud 帐户。
2. 导航到部署中的 Kibana 终结点。
将浏览器指向 https://127.0.0.1:5601，用 Kibana 主机名替换 localhost。
在侧边导航栏中，单击发现。要查看 Packetbeat 数据，请确保选择了预定义的 packetbeat-* 索引模式。

如果您在 Kibana 中没有看到数据，请尝试将时间过滤器更改为更大的范围。默认情况下，Kibana 显示过去 15 分钟的数据。
在侧边导航栏中，单击 仪表板，然后选择您要打开的仪表板。

仪表板是作为示例提供的。我们建议您自定义它们以满足您的需求。

要填充概述仪表板中的客户端位置地图，请按照使用 geoIP 信息丰富事件中描述的步骤操作。

下一步做什么？编辑

现在您已将数据流式传输到 Elasticsearch，学习如何统一您的日志、指标、正常运行时间和应用程序性能数据。

通过安装和配置其他 Elastic Beats 从其他来源提取数据

Elastic Beats	要捕获
Metricbeat	基础设施指标
Filebeat	日志
Winlogbeat	Windows 事件日志
Heartbeat	正常运行时间信息
APM	应用程序性能指标
Auditbeat	审核事件

使用 Kibana 中的可观察性应用程序跨所有数据进行搜索

Elastic 应用程序	用于
指标应用程序	探索您整个生态系统中系统和服务的指标
日志应用程序	实时跟踪相关日志数据
正常运行时间应用程序	监控应用程序和服务中的可用性问题
APM 应用程序	监控应用程序性能
SIEM 应用程序	分析安全事件

« Packetbeat 概述设置和运行 Packetbeat »