IPtables 监控
免费使用此InfluxDB集成IPtables是一种工具,允许用户配置Linux内核防火墙的IP数据包过滤规则,作为不同的Netfilter模块实现。过滤规则组织在不同的表中,这些表包含处理网络流量数据包的规则链。
为什么使用IPtables Telegraf插件?
Linux内核自带一个名为Netfilter的包过滤框架,允许您允许、拒绝和修改进入和离开系统的流量。如果您使用iptables工具增强它,您可以控制进出您系统的流量。IPtables Telegraf插件允许您通过收集通过规则的数据包数量和数据量来监控带宽。iptables的灵活性和强大功能允许进行更复杂的监控场景。您可以通过创建规则不仅跟踪不同的子网,还可以跟踪特定的端口和协议,这使您可以跟踪每个客户的流量是Web、电子邮件、文件共享等。
如何使用Telegraf插件监控IPtables
IPtables Telegraf插件从Linux的iptables防火墙收集一系列表和链中的规则的数据包和字节计数器。
规则通过关联的注释进行识别。没有注释的规则将被忽略。实际上,我们需要一个唯一的规则ID,而规则号不是常数:在启动时或由自动工具(交互式防火墙、fail2ban等)插入/删除规则时,它可能会变化。此外,当规则集变得很大(数百行)时,大多数人只对监控规则集的一小部分感兴趣。
在使用此插件之前,您必须确保要监控的规则使用唯一的注释命名。注释可以使用-m comment --comment "my comment" iptables选项添加。
iptables命令需要CAP_NET_ADMIN和CAP_NET_RAW能力。您有几种方法可以授权telegraf运行iptables
- 以root身份运行telegraf。这强烈不推荐。
- 配置systemd以使用
CAP_NET_ADMIN和CAP_NET_RAW运行telegraf。这是最简单且推荐的方法。 - 配置sudo以授予telegraf运行iptables的权限。这是最限制性的选项,但需要sudo设置。
用于监控的关键IPtables指标
您应该积极通过表、链或ruleid监控的一些重要的IPtables指标包括
pkts(整数,计数)bytes(整数,字节)
有关更多信息,请参阅文档。
