对于那些熟悉Elastic Stack的人来说,我确信这是一个垒球,但我读过的文档并没有让它变得非常清晰。
我本质上是在尝试通过ELK堆栈推送pcap文件,以使用Kibana可视化数据包信息。
我不打算监控这个实时,而是有以下行为:
从我读到的内容看,PacketBeat允许-I选项将pcap文件作为输入,但是并不只发送该单个文件?我希望它在我丢弃pcaps时观看目录。我想让我困惑的是大多数文档都谈到配置接口设备以在packetbeat.yml中嗅探
无论如何,理想情况下我认为它看起来像这样
packetbeat(看着pcaps,吐出json) - > logstash(过滤器) - > elasticsearch(索引) - > kibana(可视化)
有没有办法配置packetbeat来监视pcaps而不是接口的目录?
答案 0 :(得分:0)
截至 2021 年 3 月,您仍然无法使用 Packetbeat 在本机上执行此操作。
但是您可以轻松地将目录树的监视“外包”给另一个工具,并让它调用 Packetbeat。 Watchman(由 Facebook 发布)是一个不错的选择 - 它将跟踪已处理的文件。然后,您可以执行以下操作来 a) 监视目录,然后 b) 在更改/添加文件时采取措施:
watchman watch /path/to/pcaps
watchman -- trigger ~/path/to/pcaps pcaptrigger '*.pcap' -- 'packetbeat -I'