Коллеги, добрый день!
Загорелся Netflow экспортировать в Elasticsearch, для последующего анализа. Уж больно всё красиво на скриншотах, да и эластик это удобно, действительно. Только вот на практике столкнулся с одной неприятнейшей штукой...
В качестве коллектора, я запустил Filebeat. Или я гуглить не умею, или альтернатива где-то прячется.
И вот настраивая визуализацию, запускаю iperf, чтобы посмотреть адекватность графика и вижу совсем не то, чего ожидал. Полистав Discover в кибане понимаю, что в эластике записи не о пакетах а аккумулированные данные о сессиях. Таким образом получается, что существует большая вероятность того, что информация о трафике будет отображаться неправильно. Например если я выберу диапазон времени с 0 часов до 23:59, а кто-то начал качать большой файл в 18 и закончил только на следующие сутки, забив при этом канал, я не увижу этого в отчёте.
Так вот попрос. Возможно ли filebeat заставить отправлять в elastic каждый пакет как отдельный док и если нет, то какие альтернативы?
Средний
