我使用 Logstash 运行 Packetbeat,但遇到了问题。几乎所有的流量都是将东西发送到 Logstash 的实际盒子的流量。这就是我的意思:
如您所见,我几乎所有的流量都是无用的。有没有办法使用 Grok 或其他东西为此制作过滤器?
问问题
787 次
1 回答
0
您没有提到您使用 Packetbeat 监控的内容,但我假设您在谈论流数据而不是任何一种特定协议。
有多种过滤 Packetbeat 数据的方法。以下是您可以在配置文件中设置的一些选项。
packetbeat.interfaces.device: eth0- 在 Linux 上,默认使用伪“任何”接口。如果您不想捕获 localhost 流量,则可以更改该值以侦听特定接口,例如eth0.packetbeat.interfaces.bpf_filter: "net 192.168.0.0/16 not port 5044"- 您可以使用自定义BPF 过滤器来选择您感兴趣的流量。- 使用drop_event处理器选择要删除的特定事件。使用其他方法之一过滤流量会更有效。这只会在数据被 Packetbeat 处理并转换为事件后才删除数据。
于 2017-01-30T20:37:58.393 回答