2

我敢肯定,对于那些熟悉 Elastic Stack 的人来说,这是一个垒球,但我读过的文档并没有把它说得很清楚。

我实际上是在尝试通过 ELK 堆栈推送 pcap 文件,以使用 Kibana 可视化数据包信息。

我不希望实时监控,而是有以下行为:

  1. 我把一个 pcap 放到一个目录中,然后有东西把它捡起来(FileBeat?PacketBeat -I?LogStash?)
  2. 由于 pcap 文件并不是很有用,我可能需要通过 tshark 运行它以生成可读的 json
  3. 我想要 ElasticSearch 中的这些信息
  4. 使用 Kibana 制作漂亮的图表

从我读到的 PacketBeat 允许 -I 选项将 pcap 文件作为输入,但这不是只发送单个文件吗?我希望它在我删除 pcaps 时监视一个目录。我想让我感到困惑的是大多数文档都在谈论配置接口设备以嗅探 packetbeat.yml

无论如何,理想情况下我认为它看起来像这样

packetbeat(观察 pcaps,吐出 json)-> logstash(过滤器)-> elasticsearch(索引)-> kibana(可视化)

有没有办法配置 packetbeat 来观察 pcaps 的目录而不是接口?

4

1 回答 1

0

截至 2021 年 3 月,您仍然无法在本地使用 Packetbeat 执行此操作。

但是您可以轻松地将目录树的监视“外包”给另一个工具,并让它调用 Packetbeat。Watchman(由 Facebook 发布)是一个不错的选择——它将跟踪已处理的文件。然后您可以执行以下操作来 a) 监视目录,然后 b) 在更改/添加文件时采取措施:

watchman watch /path/to/pcaps
watchman -- trigger ~/path/to/pcaps pcaptrigger '*.pcap' -- 'packetbeat -I'
于 2021-03-15T01:27:02.917 回答