[英]proper tools for pcap file analysis in ELK stack?
我敢肯定,對於熟悉 Elastic Stack 的人來說,這是一個壘球,但我讀過的文檔並沒有讓它變得非常清晰。
我基本上是在嘗試通過 ELK 堆棧推送 pcap 文件以使用 Kibana 可視化數據包信息。
我不希望實時監控,而是有以下行為:
從我讀到的 PacketBeat 允許 -I 選項將 pcap 文件作為輸入,但這不是只發送單個文件嗎? 我希望它在我放下 pcaps 時觀察一個目錄。 我想讓我感到困惑的是大多數文檔都在談論配置接口設備以在 packetbeat.yml 中嗅探
無論如何,理想情況下,我認為它看起來像這樣
packetbeat(監視 pcaps,吐出 json)-> logstash(過濾器)-> elasticsearch(索引)-> kibana(可視化)
有沒有辦法配置 packetbeat 來觀察 pcaps 的目錄而不是接口?
截至 2021 年 3 月,您仍然無法使用 Packetbeat 在本機上執行此操作。
但是您可以輕松地將目錄樹的監視“外包”給另一個工具,並讓它調用 Packetbeat。 Watchman (由 Facebook 發布)是一個不錯的選擇 - 它將跟蹤已處理的文件。 然后,您可以執行以下操作來 a) 監視目錄,然后 b) 在更改/添加文件時采取措施:
watchman watch /path/to/pcaps
watchman -- trigger ~/path/to/pcaps pcaptrigger '*.pcap' -- 'packetbeat -I'
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.