全部产品
Search

搜索本产品

    Elasticsearch:Gunakan agen Fleet untuk mengumpulkan data log NetFlow

    文档中心

    Elasticsearch:Gunakan agen Fleet untuk mengumpulkan data log NetFlow

    更新时间:Jul 02, 2025

    NetFlow adalah teknologi analisis lalu lintas jaringan yang digunakan untuk memantau, menganalisis, dan mendiagnosis lalu lintas jaringan. Anda dapat menggunakan NetFlow untuk memantau lalu lintas secara real-time dan menganalisisnya guna meningkatkan kinerja serta memastikan keamanan jaringan. Topik ini menjelaskan cara menggunakan server Fleet dari Kibana untuk mengelola data log NetFlow yang dikumpulkan oleh Agen Fleet dan mentransfer data tersebut ke Kibana untuk dianalisis.

    Istilah

    Istilah

    Deskripsi

    Fleet

    Fleet adalah solusi kuat yang disediakan oleh Elasticsearch untuk mengelola agen Fleet secara terpusat.

    Agen Fleet

    Agen Fleet adalah agen pengumpulan data ringan yang digunakan untuk mengumpulkan data dari sumber.

    Agen Fleet dapat berjalan pada berbagai jenis sistem operasi dan mengumpulkan berbagai jenis data.

    Server Fleet

    Server Fleet digunakan untuk mentransfer data yang dikumpulkan oleh agen Fleet dari sumber ke Elasticsearch.

    Siapkan lingkungan

    • Buat kluster Elasticsearch Alibaba Cloud. Untuk informasi lebih lanjut, lihat Buat Kluster Elasticsearch Alibaba Cloud. Dalam contoh ini, kluster Elasticsearch V8.5 dibuat.

    • Buat instance Elastic Compute Service (ECS) di virtual private cloud (VPC) yang sama dengan kluster Elasticsearch. Untuk informasi lebih lanjut, lihat Buat Instance pada Tab Peluncuran Kustom.

      Catatan

      Instance ECS digunakan sebagai server sumber. Agen Fleet mengumpulkan data dari instance ECS.

    Buat kebijakan agen dan tambahkan integrasi

    Langkah 1: Buat kebijakan agen

    1. Masuk ke konsol Kibana dari kluster Elasticsearch. Untuk informasi lebih lanjut, lihat Masuk ke Konsol Kibana.

    2. Klik ikon image.png di sudut kiri atas. Di panel navigasi sebelah kiri, pilih Management > Fleet.

    3. Di halaman Fleet, klik tab Agent policies.

    4. Klik Create agent policy. Di panel Create agent policy, konfigurasikan kebijakan agen.

      1. Masukkan nama netflow-log di bidang Name.

      2. Hapus centang pada Collect system logs and metrics.

      3. Klik Advanced options. Di bagian Agent monitoring, hapus centang pada Collect agent logs dan Collect agent metrics.

        image.png

        Catatan

        Dalam contoh ini, hanya log NetFlow Records yang perlu dikumpulkan. Oleh karena itu, opsi Kumpulkan Log Sistem dan Metrik, Kumpulkan Log Agen, dan Kumpulkan Metrik Agen tidak perlu dipilih.

    5. Klik Create agent policy.

    Langkah 2: Tambahkan integrasi server Fleet

    1. Di tab Agent policies halaman Fleet, temukan kebijakan agen netflow-log dan klik namanya.

    2. Di tab Integrations halaman yang muncul, klik Add integration.

    3. Di tab Browse integrations halaman Integrasi, masukkan Fleet Server di kotak pencarian. Lalu, klik kartu Fleet Server yang ditampilkan.

    4. Instal integrasi server Fleet.

      1. Di halaman Fleet Server, klik tab Settings.

      2. Klik Install Fleet Server assets. Di pesan Instal Fleet Server, klik Install Fleet Server.

        Catatan

        Setelah integrasi diinstal, versi integrasi akan ditampilkan di tab Pengaturan halaman Fleet Server.

    5. Di sudut kanan atas halaman Fleet Server, klik Add Fleet Server.

    6. Di halaman Add Fleet Server integration, masukkan nama untuk integrasi di bidang Nama Integrasi di bagian Konfigurasi Integrasi dan pilih netflow-log dari daftar drop-down Kebijakan Agen di bagian Tempat Menambahkan Integrasi Ini.

    7. Di sudut kanan bawah halaman Tambahkan Integrasi Fleet Server, klik Save and continue. Di pesan integrasi Fleet Server telah ditambahkan, klik Add Elastic Agent later.

    Langkah 3: Tambahkan integrasi NetFlow

    1. Di tab Integrations kebijakan agen netflow-log, klik Add integration.

    2. Di tab Browse integrations halaman Integrasi, masukkan NetFlow Records di kotak pencarian. Lalu, klik kartu NetFlow Records yang ditampilkan.

    3. Instal integrasi NetFlow Records.

      1. Di halaman NetFlow Records, klik tab Settings.

      2. Klik Install NetFlow Records assets. Di pesan Instal NetFlow Records, klik Install NetFlow Records.

        Catatan

        Setelah integrasi diinstal, versi integrasi akan ditampilkan di tab Pengaturan halaman NetFlow Records.

    4. Di sudut kanan atas halaman NetFlow Records, klik Add NetFlow Records.

    5. Di halaman Add NetFlow Records integration, konfigurasikan integrasi.

      1. Di bagian Configure integration, masukkan netflow-1 di bidang Integration name.

      2. Klik Change defaults di sebelah Collect NetFlow logs. Masukkan 0.0.0.0 di bidang Host UDP untuk mendengarkan dan pertahankan nilai default 2055 di bidang Port UDP untuk mendengarkan.

        image.png

      3. Di tab Existing hosts bagian Tempat Menambahkan Integrasi Ini, pilih netflow-log dari daftar drop-down Kebijakan Agen.

    6. Di sudut kanan bawah halaman Tambahkan Integrasi NetFlow Records, klik Save and continue. Di pesan integrasi NetFlow Records telah ditambahkan, klik Add Elastic Agent later.

    Tambahkan agen Fleet dan mulai NetFlow

    Langkah 1: Konfigurasikan host untuk server Fleet

    1. Masuk ke konsol Kibana dari kluster Elasticsearch. Untuk informasi lebih lanjut, lihat Masuk ke Konsol Kibana.

    2. Klik ikon image.png di sudut kiri atas. Di panel navigasi sebelah kiri, pilih Management > Fleet.

    3. Di halaman Fleet, klik tab Settings. Di tab Pengaturan, konfigurasikan parameter untuk Fleet.

      1. Di bagian Fleet server hosts, klik Edit hosts.

      2. Di panel Fleet Server hosts, masukkan URL sumber dari mana Anda ingin mengumpulkan data di bidang Tentukan URL Host. URL harus dalam format https://<Alamat IP Privat Sumber>:<Nomor Port>, seperti https://172.16.*.***:8220. Lalu, klik Simpan dan Terapkan Pengaturan. Di pesan Simpan dan Terapkan Perubahan, klik Simpan dan Terapkan.

        Catatan

        Dalam contoh ini, URL yang berisi alamat IP privat utama instance ECS dimasukkan. Untuk informasi lebih lanjut tentang konfigurasi, lihat Host Server Fleet.

      3. Di bagian Outputs halaman Fleet, klik ikon image.png di kolom Actions.

      4. Di panel Edit output, masukkan URL kluster Elasticsearch di bidang Host. URL harus dalam format http://<Titik Akhir Internal Kluster Elasticsearch>:<Nomor Port>, seperti http://es-cn-uqm3auln80001****.elasticsearch.aliyuncs.com:9200.

      5. Klik Save and apply settings. Di pesan Simpan dan Terapkan Perubahan, klik Save and deploy.

    Langkah 2: Tambahkan agen Fleet

    Tambahkan Agen Fleet ke server Fleet.

    Catatan

    Jika Anda ingin mengumpulkan data lalu lintas NetFlow dari beberapa server sumber, Anda dapat mengulangi langkah-langkah berikut. Setelah menambahkan beberapa agen Fleet ke server Fleet, setiap agen Fleet mengumpulkan data dari server sumber terkait. Data yang dikumpulkan dikelola oleh server Fleet secara terpusat.

    1. Klik ikon image.png di sudut kiri atas. Di panel navigasi sebelah kiri, pilih Management > Fleet.

    2. Di halaman Fleet, klik tab Kebijakan Agen.

    3. Di tab Kebijakan Agen, temukan kebijakan agen netflow-log, klik ikon image.png di kolom Actions, dan pilih Add agent.

    4. Di tab Enroll in Fleet panel Add agent, klik Tambahkan Fleet Server. Di panel Tambahkan Fleet Server, klik Advanced. Di bagian Select a policy for Fleet Server, pertahankan nilai default netflow-log.

    5. Di bagian Choose a deployment mode for security, pertahankan nilai default Quick start.

    6. Di bagian Add your Fleet Server host, klik Add host.

    7. Di bagian Generate a service token, klik Generate service token.

    8. Di bagian Install Fleet Server to a centralized host, salin kode yang dihasilkan secara otomatis dan jalankan kode di instance ECS.

      image.png

      Jika Successfully ditampilkan setelah Anda menjalankan kode, Agen Fleet diinstal di instance ECS dan dimulai.

    Langkah 3: Konfigurasikan layanan NetFlow

    Dalam contoh ini, softflowd digunakan untuk menghasilkan log NetFlow. Anda harus menjalankan kode berikut untuk memulai softflowd di instance ECS.

    1. Unduh paket kode sumber softflowd.

      wget https://storage.googleapis.com/google-code-archive-downloads/v2/code.google.com/softflowd/softflowd-0.9.9.tar.gz

    2. Instal lingkungan ibpcap-devel.

      yum install libpcap-devel

    3. Kompilasi kode dan instal softflowd.

      tar -xvf softflowd-0.9.9.tar.gz
cd softflowd-0.9.9
./configure 
make
make install

    4. Jalankan softflowd.

      nohup softflowd -v 9 -D -i eth0 -t maxlife=1 -n localhost:2055 >/dev/null 2>&1 &

    Lihat data yang dikumpulkan

    Anda dapat menggunakan salah satu metode berikut untuk melihat data log NetFlow yang dikumpulkan:

    • Metode 1: Lihat data log NetFlow yang dikumpulkan di halaman View Dashboards

      1. Klik ikon image.png di sudut kiri atas. Di panel navigasi sebelah kiri, pilih Management > Fleet.

      2. Di halaman Fleet, klik tab Data streams. Di tab Aliran Data, Anda dapat melihat data log NetFlow yang dikumpulkan di daftar dataset.

      3. Temukan dataset yang diinginkan, klik ikon image.png di kolom Actions, dan pilih View Dashboards. Di halaman yang muncul, Anda dapat memilih item yang ingin dilihat informasinya. Misalnya, Anda dapat memilih [Logs Netflow] Overview dan melihat informasi terkait.

    • Metode 2: Lihat data log NetFlow yang dikumpulkan di indeks tujuan di halaman Discover

      Klik ikon image.png di sudut kiri atas. Di panel navigasi sebelah kiri, pilih Analytics > Discover. Di halaman Discover, lihat data di indeks tujuan.

    • Metode 3: Kueri data log NetFlow yang dikumpulkan dengan menjalankan perintah di tab Console

      1. Klik ikon image.png di sudut kiri atas. Di panel navigasi sebelah kiri, pilih Management > Dev Tools.

      2. Di tab Console, jalankan perintah berikut untuk mengkueri data log NetFlow yang dikumpulkan:

        GET logs-netflow.log-default/_search