问题标签 [packetbeat]

我们正在使用 packetbeat，这是一种用于捕获 http 请求和 http 响应的网络数据包分析器工具。Packebeat 以 json 格式保存此数据包事件。当服务器支持 gzip 压缩时，问题就出现了，packetbeat 无法解压缩内容并将其直接保存为 gzip 内容为 json 属性。如您所见（注意：json已被简化）；

我们正在考虑预处理数据包 json 文件以解压缩内容。有人可以告诉我我需要什么来使用 java 解压缩压缩的“body”json 属性吗？

我正在使用云弹性服务，并且我有观察者条目，它会每小时提醒我有关 packetbeat 计数的计数。代码可以在这里看到...

https://ghostbin.com/paste/m5jqr

这按预期工作。但附件只是文件的数量，而不是实际的文件。我尝试按照此处的说明发送可视化或报告...

https://www.elastic.co/guide/en/x-pack/current/actions-email.html

但我不断收到一条错误消息，提示找不到报告。如何将文档附加到电子邮件警报？

我正在尝试自动化 Paketbeat 安装，但在 Windows 上需要做的事情之一是您需要找到活动网络适配器的设备 ID。可以使用 查询设备列表.\packetbeat devices。

一个示例输出是：

在上述用例中，我需要检索4. 或者

在上述用例中，我需要检索3. 我很想根据设备 ID 找到带有 PowerShell 的 ID，该设备 ID 的 IP 配置以12.45.

我正在使用 packetbeat 监控 3306 上的 mysql 端口，它运行良好。我可以轻松地在发现选项卡上搜索任何单词。例如

这按预期工作。但是，如果我将其更改为

那么它不会返回查询字段中带有“SET”一词的文档。查询字段的索引是否不同？如何使“查询”字段可搜索？

更新：

这是因为用于所有字符串字段的参数“ignore_above”吗？我使用此 API 检查了映射...

如何删除此限制并使所有未来节拍索引查询字段？

更新 2：

如果我在基于“查询”字段的搜索中提到整个字符串，它会按预期工作......

这将返回过去 15 分钟内的所有 688 条记录。当我搜索以下内容时，我希望得到更多...

但我没有得到一条记录。我想这是因为文档的索引方式。我宁愿取回相当于 SQL 的查询：'%SELECT%' 之类的查询

我正在尝试安装 packetbeat 仪表板，并且此命令按预期工作。我已经安装了匹配的 Kibana 版本。

当我尝试安装最新版本的 packetbeat 时，出现此错误：

我检查了 packetbeat 和 kibana 使用的是相同的 6.1.3 版本

1) 为什么第 13 行在版本 6.1.3 而不是 5.5.0 的情况下失败？

2）有没有其他方法可以使用docker安装packetbeat？

更新：

换句话说，这适用于 elastic 和 packetbeat 都使用相同版本 5.6.7 的情况：

但这不适用于弹性版本 6 或 kibana API：

我使用过 packetbeat，发现它非常有用。

但该文档不包含从服务器收到的响应。例如，在 mysql 的情况下，我有一个字段 num_rows 但没有返回的实际数据。

https://www.elastic.co/guide/en/beats/packetbeat/current/exported-fields-mysql.html

我检查了上面的页面，如果可以捕获mysql.query ，则无法启用从端口 3306 接收的数据包，为什么不能mysql.query_response？

beats系列中是否有其他实用程序可以提供帮助？

Packetbeat 的文档非常简单明了，并且说得很清楚，如下所述

在 Linux 上，您可以为设备指定 any，Packetbeat 会捕获安装 Packetbeat 的服务器发送或接收的所有消息。

对于配置

packetbeat.interfaces.device: any

但是对于如何在 Windows 上做同样的事情完全没有。

知道怎么做吗？

美好的一天，我亲爱的互联网伙伴

在这一天，我想知道如何指定 Elasticsearch 映射，或者创建一个。我的目标是知道创建 Elasticsearh 映射的确切方法，因为我见过这样的代码：

但我只是不明白我必须在哪里插入这样的命令，我想知道我应该输入终端还是文件。如果有帮助，我使用的是 Ubuntu 16 x64，并且我已经可以使用 Packetbeat、Metricbeat 和 Filebeat。我的目标是使用 Wireshark、packetbeat 和 Elasticsearch 分析网络数据包，如下所述：https ://www.elastic.co/blog/analyzing-network-packets-with-wireshark-elasticsearch-and-kibana

我向你致以最诚挚的问候。

我敢肯定，对于那些熟悉 Elastic Stack 的人来说，这是一个垒球，但我读过的文档并没有把它说得很清楚。

我实际上是在尝试通过 ELK 堆栈推送 pcap 文件，以使用 Kibana 可视化数据包信息。

我不希望实时监控，而是有以下行为：

1. 我把一个 pcap 放到一个目录中，然后有东西把它捡起来（FileBeat？PacketBeat -I？LogStash？）
2. 由于 pcap 文件并不是很有用，我可能需要通过 tshark 运行它以生成可读的 json
3. 我想要 ElasticSearch 中的这些信息
4. 使用 Kibana 制作漂亮的图表

从我读到的 PacketBeat 允许 -I 选项将 pcap 文件作为输入，但这不是只发送单个文件吗？我希望它在我删除 pcaps 时监视一个目录。我想让我感到困惑的是大多数文档都在谈论配置接口设备以嗅探 packetbeat.yml

无论如何，理想情况下我认为它看起来像这样

packetbeat（观察 pcaps，吐出 json）-> logstash（过滤器）-> elasticsearch（索引）-> kibana（可视化）

有没有办法配置 packetbeat 来观察 pcaps 的目录而不是接口？

Packetbeat 抛出以下错误

批量插入失败

当将以下处理器添加到 packetbeat.yml

错误日志

环境：elasticsearch 版本 - 6.2.4 packetbeat 版本 - 6.2.4