ELK スタック 7.7.0 を使用して、Cisco Netflow 9 データを表示するグラフを設定しています。ルーターからのデータは、logstash に到達し、次に ElasticSearch に到達し、最後に Kibana に到達します。
Kibana では、Timelion を使用して、ルーター インターフェイスで着信バイトをグラフ化しています。そのために、インデックス cisconetflow を作成し、グラフ用に「in_bytes」フィールドを選択しました。Timelion 式は次のようになります。
.es(q='netflow.in_bytes',index=cisconetflow*)
しかし、更新ボタンと更新ボタンを押すと、エラーは発生しませんが、何も起こらず、グラフにデータが表示されません。
Timelion 式にインデックスのみを含めると、いくつかのヒットが表示されます。
同時に、logstash でデバッグを実行していると、Netfrow データが存在することがわかります。
"host" => "172.16.8.57",
"@timestamp" => 2020-05-25T20:12:38.000Z,
"netflow" => {
"in_bytes" => 1638,
"flowset_id" => 256,
"input_snmp" => 1,
"protocol" => 17,
"l4_src_port" => 9131,
"ipv4_src_addr" => "192.168.1.70",
"version" => 9,
"src_tos" => 0,
"l4_dst_port" => 9131,
"ipv4_dst_addr" => "239.255.250.250",
"dst_as" => 0,
"flow_seq_num" => 23193,
"output_snmp" => 0,
"in_pkts" => 7,
"src_as" => 0
},
Kibana ディスカバー ダッシュボードと同じように、netflow データが入ってきて、netflowin_bytes フィールドが使用可能として表示されます。
それで、チャートのデータを取得するために何が欠けているかについての手がかりはありますか?
ありがとう。