用於 ELK 堆棧中 pcap 文件分析的正確工具?
[英]proper tools for pcap file analysis in ELK stack?
問題描述
我敢肯定,對於熟悉 Elastic Stack 的人來說,這是一個壘球,但我讀過的文檔並沒有讓它變得非常清晰。
我基本上是在嘗試通過 ELK 堆棧推送 pcap 文件以使用 Kibana 可視化數據包信息。
我不希望實時監控,而是有以下行為:
- 我將一個 pcap 放入一個目錄中,然后一些東西將其取出(FileBeat?PacketBeat -I?LogStash?)
- 由於 pcap 文件不是很有用,我可能需要通過 tshark 運行它以生成可讀的 json
- 我想要 ElasticSearch 中的這些信息
- 使用 Kibana 制作漂亮的圖表
從我讀到的 PacketBeat 允許 -I 選項將 pcap 文件作為輸入,但這不是只發送單個文件嗎? 我希望它在我放下 pcaps 時觀察一個目錄。 我想讓我感到困惑的是大多數文檔都在談論配置接口設備以在 packetbeat.yml 中嗅探
無論如何,理想情況下,我認為它看起來像這樣
packetbeat(監視 pcaps,吐出 json)-> logstash(過濾器)-> elasticsearch(索引)-> kibana(可視化)
有沒有辦法配置 packetbeat 來觀察 pcaps 的目錄而不是接口?
1 個解決方案
解決方案1
0 2021-03-15 01:27:02
截至 2021 年 3 月,您仍然無法使用 Packetbeat 在本機上執行此操作。
但是您可以輕松地將目錄樹的監視“外包”給另一個工具,並讓它調用 Packetbeat。 Watchman (由 Facebook 發布)是一個不錯的選擇 - 它將跟蹤已處理的文件。 然后,您可以執行以下操作來 a) 監視目錄,然后 b) 在更改/添加文件時采取措施:
watchman watch /path/to/pcaps
watchman -- trigger ~/path/to/pcaps pcaptrigger '*.pcap' -- 'packetbeat -I'
File Beat無法與另一個實例(ELK堆棧)的logstash連接
[英]File Beat not able to connect with logstash from another instance (ELK stack)
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.