Я настраиваю график для отображения данных Cisco Netflow 9 с использованием стека ELK 7.7.0. Данные с маршрутизаторов попадают в logstash, затем в ElasticSearch и, наконец, в Kibana.
В Kibana я использую Timelion для отображения входящих байтов на интерфейсе маршрутизатора. Для этого я создал индекс cisconetflow и выбрал поле «in_bytes» для построения графика. Выражение Timelion выглядит так:
.es(q='netflow.in_bytes',index=cisconetflow*)
Но как только я нажимаю кнопки «Обновить» и «Обновить», я не получаю ошибок, но ничего не происходит, данные не отображаются на графике:
Если я включу только индекс в выражение Timelion, он покажет несколько попаданий:
Одновременно запускаю отладку на logstash и вижу, что данные Netfrow присутствуют:
"host" => "172.16.8.57",
"@timestamp" => 2020-05-25T20:12:38.000Z,
"netflow" => {
"in_bytes" => 1638,
"flowset_id" => 256,
"input_snmp" => 1,
"protocol" => 17,
"l4_src_port" => 9131,
"ipv4_src_addr" => "192.168.1.70",
"version" => 9,
"src_tos" => 0,
"l4_dst_port" => 9131,
"ipv4_dst_addr" => "239.255.250.250",
"dst_as" => 0,
"flow_seq_num" => 23193,
"output_snmp" => 0,
"in_pkts" => 7,
"src_as" => 0
},
То же самое на панели управления Kibana: я вижу поступающие данные netflow, а поле netflowin_bytes отображается как доступное.
Итак, есть какая-нибудь подсказка о том, чего мне не хватает, чтобы получить данные на диаграмме?
Спасибо.
