问题标签 [packetbeat]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ruby - 从 Packetbeat 解码 gzip 响应正文
我正在使用 Packetbeat 监控 Elasticsearch 客户端节点的请求/响应,使用端口 9200 上的 http 协议观察程序。我通过 Logstash 发送 Packetbeat 的输出,然后从那里发送到 Elasticsearch 的不同实例。我们在受监控的 Elasticsearch 中启用了压缩支持,因此我偶尔会看到带有“Accept-Encoding: gzip, deflate”标头的请求返回经过 gzip 压缩的响应。不幸的是,我无法使用我可以使用的任何工具(包括基于 Web 的转换器、gzip 命令行工具以及在 Logstash ruby 过滤器脚本中使用 Zlib::GzipReader)来解码任何这些 gzip 响应。他们都报告说它不是 gzip 格式。
有谁知道为什么我似乎无法解码 gzip 内容?
我提供了一个我在 Logstash 中使用的过滤器示例,以尝试在事件通过 Logstash 时即时执行此操作(并且它总是报告 http.response.body 不是 gzip 格式)。
我还在此处提供了记录事件的示例,其中包括 gzip 内容,以防您想尝试自己解压缩:
这是我在客户端成功解压缩后在客户端收到的该消息的响应:
docker - Packetbeat 无法连接到 elasticsearch docker
我正在尝试对我需要使用的所有弹性服务进行 dockerize。docker-compose 文件如下所示
现在一切运行良好,但问题是 packetbeat 仅在其自己的 docker 容器内捕获网络。在弹性文档参考 - https://www.elastic.co/guide/en/beats/packetbeat/master/running-on-docker.html
它说我需要启用“主机”网络才能捕获所有始发网络和到达物理主机的网络。但是,由于我已将网络配置为,因此-elastic无法将其他主机网络接口添加到 packetbeat。如果我删除-elastic网络并添加-host网络,我将无法连接到 elasticsearch,因为 DNS elasticsearch 不再存在于不同的网络中。我该如何克服这个问题?
elasticsearch - 动态场弹性搜索的问题
我在我的服务器上运行 Packet-beat。
我在索引映射中禁用了动态字段。这意味着如果有新数据到来。不要创建新字段。
在我的映射中没有额外的字段,但是当我从邮递员发送请求以获取显示记录时。我的结果中有一个新字段,但我确定它不在我的映射中。
怎么可能?
docker - 使用 docker 将数据包发送到弹性
我按照官方 packetbeat 安装页面上的建议尝试了这个 docker run 命令。
https://www.elastic.co/guide/en/beats/packetbeat/current/running-on-docker.html
我没有收到任何错误,但容器在加载索引后退出。它不会向云服务器发送任何数据包。
输出是这样的......
我想知道如何使用 docker 将数据包发送到弹性主机。
elasticsearch - 无法将节点添加到集群(elasticsearch)
我正在尝试使集群的健康状况变为绿色。根据以下弹性搜索文档:When you add more nodes to a cluster, it automatically allocates replica shards. When all primary and replica shards are active, the cluster state changes to green.
来源:https ://www.elastic.co/guide/en/elasticsearch/reference/current/add-elasticsearch-nodes.html
因此,我使用以下配置文件创建了 2 个 elasticsearch 实例:
通过运行以下 curl 命令:curl -GETX localhost:9200/_cluster/health?pretty=true我应该根据 elasticsearch 文档(见下面的链接)在我的集群上有 2 个节点。但是,我的节点数仍为 1。
来源:https ://www.elastic.co/guide/en/elasticsearch/guide/current/_add_failover.html
elasticsearch - Packetbeat 丢失了一些数据
使用 packetbeat 记录查询是否有 10 秒的限制?例如,以下示例中的第一个查询按预期正确记录。但是第二个查询没有出现在弹性中。
我猜它与默认设置为 10 秒的 refresh_topology_freq 参数有关。有什么办法可以改变这个吗?
我还需要记录上面的第二个查询。
elasticsearch - 使用 Elasticsearch 作为数据源的 JMeter
我正在使用Packetbeat捕获 http 流量。捕获的流量存储在Elasticsearch中,由 SOAP 请求(包括请求正文、标头等)组成。在任何给定时间,我在数据库中总共有大约 5 亿个请求。
我的目标是使用JMeter重播特定时间跨度的请求(约 3000 万个请求)。我想使用类似吞吐量整形计时器(https://jmeter-plugins.org/wiki/ThroughputShapingTimer/)的东西。到目前为止,我不知道如何将数据放入 JMeter 测试计划中。有什么建议么?
标准的 csv 方法似乎低于标准,因为:
1. 考虑到我已经在数据库中有请求,生成一个包含 3000 万个请求(包括请求正文)的 csv 文件似乎很糟糕
2. 我选择请求的时间跨度会不断变化。所以我必须生成很多 csv 文件
谢谢!
elasticsearch - Packetbeat 接口检测
我正在使用 packbeat 来监控网络流量,以使用 ELK 进行类似 SIEM 的设置。我想将它推送到大量机器上,但设置需要在 packetbeat.yml 中手动识别。
有没有人能够编写脚本来选择适当的接口来监控 packetbeat 的过程?
elasticsearch - 无法在弹性 7.5.1 中启动 Packetbeat
我正在使用安装了 x-pack 的 7.5.1 版弹性堆栈,当我尝试运行 packetbeat 时出现以下错误。
请帮我解决它。
elasticsearch - 从 packetbeat 安全地连接到 open 发行版弹性
我可以使用 curl 连接到弹性服务器,如下所示。
我得到了预期的响应,这意味着凭据是正确的。
但是相同的凭据在 packetbeat 中不起作用
根据日志,即使配置文件中提到了端口 80,它也会尝试连接端口 9200。
如何通过 packetbeat 使用开放发行版连接到 AWS 弹性?如果我使用 AWS 托管的弹性云,类似的配置可以正常工作。