0

因此,我正在对 netflow 流量进行数据可视化,并在“af 模式”下运行 packetbeat 以收集所有 netflow 数据。

问题是我连接到带有 packetbeat 的盒子的 IP 是我想忽略的。因为我知道它是什么,它只是在可视化中把事情弄得乱七八糟。

我想忽略所有具有此数据的流量:

<XYZ>的“dest.ip”和<运行packetbeat的服务器IP>的“source.ip”

我在我的 packetbeat.yml 文件中设置了“packetbeat.ignore_outgoing: true”。我在 CentOS 上运行它并将 packetbeat 数据直接输出到 Logstash。

有没有办法做到这一点?

4

1 回答 1

0

我最终做的是编写一个 Logstash 过滤器。

 filter {
  if[type] == "flow" and [dest][ip] == "192.168.X.Y" and [packet_source][ip] == "192.168.Z.D" {
        drop { }
  }
}
于 2017-02-16T16:57:20.557 回答