我正在设置一个图表以使用 ELK 堆栈 7.7.0 显示 Cisco Netflow 9 数据。来自路由器的数据到达 logstash,然后到达 ElasticSearch,最后到达 Kibana。
在 Kibana 中,我使用 Timelion 在路由器接口上绘制传入字节图形。为此,我创建了索引 cisconetflow 并选择了“in_bytes”字段进行绘图。Timelion 表达式如下所示:
.es(q='netflow.in_bytes',index=cisconetflow*)
但是,一旦我按下更新和刷新按钮,我没有收到任何错误,但没有任何反应,图表中不会显示任何数据:
如果我只在 Timelion 表达式中包含索引,它会显示一些命中:
同时,我在 logstash 上运行调试,我看到 Netfrow 数据存在:
"host" => "172.16.8.57",
"@timestamp" => 2020-05-25T20:12:38.000Z,
"netflow" => {
"in_bytes" => 1638,
"flowset_id" => 256,
"input_snmp" => 1,
"protocol" => 17,
"l4_src_port" => 9131,
"ipv4_src_addr" => "192.168.1.70",
"version" => 9,
"src_tos" => 0,
"l4_dst_port" => 9131,
"ipv4_dst_addr" => "239.255.250.250",
"dst_as" => 0,
"flow_seq_num" => 23193,
"output_snmp" => 0,
"in_pkts" => 7,
"src_as" => 0
},
在 Kibana 发现仪表板上也是如此,我看到 netflow 数据进入并且 netflowin_bytes 字段显示为可用。
那么,关于我在图表中获取数据所缺少的任何线索?
谢谢。