Packetbeat on Mac

表題の通り。

■ 環境

  • Mac OSX (10.10.5)
  • PacketBeat 1.0.1
  • Elasticsearch 2.1.1
  • Kibana 4.3.1
  • Docker 1.9.1
  • Docker Compose 1.5.2

■ Elasticsearch + Kibana

これは先日の下記エントリで作成した`docker-compose.yml`を使用して、Dockerに起動する。

Elasticserch + Kibana on Docker Compose

$ docker-compose up -d
Creating elasticsearch
Creating kibana
$
$ docker ps -a
CONTAINER ID        IMAGE               COMMAND                  CREATED             STATUS              PORTS                              NAMES
79bc76f8e520        kibana              "/docker-entrypoint.s"   10 seconds ago      Up 10 seconds       0.0.0.0:5601->5601/tcp             kibana
55c45961eed4        elasticsearch       "/docker-entrypoint.s"   10 seconds ago      Up 10 seconds       9300/tcp, 0.0.0.0:9200->9200/tcp   elasticsearch
$

■ Packetbeat

公式ページの”Getting Started“を参考にする。

Getting Started
https://www.elastic.co/guide/en/beats/packetbeat/current/packetbeat-getting-started.html

Macへのインストールは下記。

$ curl -L -O https://download.elastic.co/beats/packetbeat/packetbeat-1.0.1-darwin.tgz
$ tar zxf packetbeat-1.0.1-darwin.tgz
$ cd packetbeat-1.0.1-darwin

設定は特に変更せずデフォルトままにする。Elasticsearchを起動しているのはDockerなので、DockerホストのIPに設定変更をしたのみである。

156     hosts: ["192.168.99.100:9200"]

テンプレートを投入。

$ curl -XPUT 'http://192.168.99.100:9200/_template/packetbeat' -d@packetbeat.template.json
{"acknowledged":true}

Packeteatを起動する。

$ sudo ./packetbeat -e -c packetbeat.yml -d "publish"

■ Kibana

Kibanaから確認。Dashboardは”Topbeat“の時と同様である。

$ cd beats-dashboard-1.0.0
$ ./load.sh http://192.168.99.100:9200/

とここまでやって、どうやらデータが投入できていないようである。

packetbeat-001

いまいちわからないので調査しよう。

以上。

■ 関連