畫面截圖
同一份資料在四種檢視下的呈現。
即時 GELF 網路流量視覺化:流量圖、2D 地圖、3D 地球、桑基圖 四種檢視。
即時流量在多種檢視間流動的真實畫面。
必要套件。
安裝程式會自己抓 git、python3 + pip、nodejs + npm,但沒辦法替自己裝 curl。極簡 Linux 沒預裝就先補上:
| Debian / Ubuntu | sudo apt install -y curl |
| RHEL / Fedora / Rocky / Alma | sudo dnf install -y curl |
| Arch / Manjaro | sudo pacman -S --noconfirm curl |
| openSUSE | sudo zypper install -y curl |
curl -fsSL https://raw.githubusercontent.com/jasoncheng7115/jt-gelflow/main/install.sh | sudo bashgit clone https://github.com/jasoncheng7115/jt-gelflow.git /opt/jt-gelflow
cd /opt/jt-gelflow
pip install -r requirements.txt
npm install && npm run build
python3 run.pyhttp://<伺服器-IP>:8099 (安裝完成會印出實際 URL)sudo jt-gelflow status / logs / update / uninstall
裝完接著到 Graylog 設輸出。
Graylog → System → Outputs → Add new output → 選 GELF Output;Transport 選 UDP、Destination host 填 JT-GELFLOW 主機 IP、port 12201;存檔後把這個 output 掛到要視覺化的 stream 上即可。
完整步驟(含 Logstash / Filebeat 路徑)→ README · 設定 Graylog 把訊息丟到 JT-GELFLOW
可用 1 2 3 4 快速鍵切換,同樣的資料、不同的視角。
2D 動態粒子流量圖。節點以力學模擬自動排版,內外部 IP 分區。粒子速度與密度反映實際流量。
麥卡托投影世界地圖,依 GeoIP 座標繪製流量弧線。可拖曳平移,滾輪縮放至 16 倍。
互動式立體地球儀。可自動旋轉、拖曳定位、滾輪縮放,並可選擇開啟星空背景。
由左至右呈現「外網 → 內網」的流量帶,粗細反映流量。欄位可開關(國別、PTR 反解、協定)。游標停在帶上會點亮整條鏈路。欄位顯示名稱整合於「欄位對應」設定。
把 Graylog 的 firehose 變成一眼看懂的畫面。
標準 GELF 接收器,UDP 12201 / TCP 12202,支援 chunked 與 gzip。
傳進來的訊息欄位會即時顯示在設定面板,並自動推論型別。
{a||b|default} 多重 fallback,節點與邊標籤皆適用。
以 CIDR 分 Internal / External / Inbound / Outbound,亦支援完全自訂區域。
每個檢視可獨立設定上限與 IP 白名單,繁忙網路也維持畫面清爽。
依 IP / port / protocol / 關鍵字過濾。多詞 AND,- 為排除。
緊湊推送迴圈、hash 比對去重、自動清理未回應的 client。
UI 與設定皆支援 English / 繁體中文。
已套用權限隔離的 service 檔,搭配 CLI 一行升級/解除安裝。
Pipeline 沒用標準 GELF 欄位名(Suricata、自家加工、廠商輸出)— 在五個設定區塊裡對應過去。改其中一個常常要連帶改另一個。
來源 / 目的 IP、協定、PTR、國碼。
IP:source_ip · src_ip · srcip · suricata_srcip …
協定:protocol_name · proto · ip_proto · l4_proto
每筆流量加總的數值欄位(位元組 / 計數)。沒長度欄位?填個訊息中不存在的名稱、預設值留 1,整個 dashboard 變成事件計數。
常見命名:network_bytes · bytes · length · datalen · octets — 看實際收到的訊息上是哪一個
節點與連線文字,用 {field} 引用。「欄位對應」改了,這裡 同時 要改成新的欄位名。
範例:{suricata_srcip_ptr||suricata_srcip}
2D 地圖 / 3D 地球的座標欄位(字串 "緯度,經度")。跟欄位對應獨立 — 改 src_field 不會自動改這裡。
預設:source_ip_geolocation · destination_ip_geolocation
常見其他命名:src_geolocation · srcip_geolocation · geoip_src_location
內外網 CIDR、Top-N 限制、各檢視套用範圍。
預設內網:192.168.0.0/16 · 10.0.0.0/8 · 172.16.0.0/12
完整 Suricata 範例與注意事項 → README · 欄位對應
整個介面都可以用鍵盤操作 — 不用再找選單。
同一份資料在四種檢視下的呈現。