Ntopng+ELK搭建流量分析平台

前提：机器已经安装好jdk

一、首先搭建es集群

1、下载es压缩包并且解压，进入解压后的conf目录编辑elasticsearch.yml文件，配置es集群

cluster.name: my-els     # 集群名称
node.name: els-node1 # 节点名称，仅仅是描述名称，>用于在日志中区分
​
path.data: /home/davis/elasticsearch-7.15.0/data   # 数据的默认存>放路径
path.logs: /home/davis/elasticsearch-7.15.0/logs   # 日志的默认存放路径
​
​
​
#设置允许跨域
http.cors.enabled: true
http.cors.allow-origin: "*"
​
network.host: 192.168.1.54           # 当前节点的IP地址
http.port: 9200                       # 对外提供服务的端口，9300为>集群服务的端口
#culster transport port
transport.tcp.port: 9300
transport.tcp.compress: true
​
#集群节点IP地址，也可以使用els、els.shuaiguoxia.com等名称，需要各节点能够解析
​
discovery.zen.ping.unicast.hosts["192.168.1.54","192.168.1.53","192.168.1.195"]
​
discovery.zen.minimum_master_nodes: 2             # 为了避免脑裂，集群节点数最>少为 半数+1

2、配置完成以后进入bin目录，./elasticsearch启动节点，注意启动节点前先输入以下命令设置一下内存大小

sudo sysctl -w vm.max_map_count=262144

3、启动以后在浏览器输入localhost:9200测试节点是否启动成功

{
"name" : "els-node2",
"cluster_name" : "my-els",
"cluster_uuid" : "RMFd_ObnS_yQCIC9cEJSKQ",
"version" : {
  "number" : "7.15.0",
  "build_flavor" : "default",
  "build_type" : "tar",
  "build_hash" : "79d65f6e357953a5b3cbcc5e2c7c21073d89aa29",
  "build_date" : "2021-09-16T03:05:29.143308416Z",
  "build_snapshot" : false,
  "lucene_version" : "8.9.0",
  "minimum_wire_compatibility_version" : "6.8.0",
  "minimum_index_compatibility_version" : "6.0.0-beta1"
},
"tagline" : "You Know, for Search"
}

4、另外两台es服务器做同样的操作，三台机器都启动在浏览器输入http://192.168.1.53:9200/_cat/nodes查看集群状态。

二、部署kibana

1、下载kibina压缩包并解压

2、修改confid目录下的配置文件

server.host: "192.168.1.64"#kibana所在机器的ip地址

elasticsearch.hosts: ["http://192.168.1.53:9200","http://192.168.1.54:9200","http://192.168.1.195:9200"]#es集群的地址

3、进入bin目录，运行./kibana启动kibina，启动以后在浏览器输入localhost:5601查看是否启动成功并已经连接到es集群

三、部署logstash+ntopng

1、下载并解压logstash压缩包

2、进入config目录编辑logstash-sample.conf

#从tcp输入

input { tcp{ host => "192.168.1.81" port => 5100

} }

#将结果输出到es集群

output {

elasticsearch { hosts => ["http://192.168.1.53:9200","http://192.168.1.54:9200","http://192.168.1.195:9200"] index => "ntop-%{+YYYY.MM.dd}" } }

3、启动logstash，进入bin目录下./logstash -f ../conf/logstash-sample.conf。指定配置文件路径并启动logstash

4、安装ntopng

（1）运行sudo apt update

sudo apt install ntopng

(2)安装完成以后编辑ntopng的配置文件 sudo vim /etc/ntopng.conf

添加如下配置

-F=logstash;192.168.1.81;tcp;5100

（3）启动ntopng ，systemctl start ntopng

（4）启动完成后，在浏览器输入localhost:3000查看是否启动成功。

5、随便在浏览器浏览网页，然后打开es集群看是否有流量数据发送到了es集群。

架构图示