所以我正在对netflow流量进行数据可视化,我正在" af模式"中运行packetbeat。收集所有的netflow数据。
问题是我连接到带有packetbeat的盒子的IP是我想要忽略的。因为我知道它是什么,它只是在可视化中混乱。
我想忽略拥有此数据的所有流量:
" dest.ip" of< XYZ> 和 " source.ip" of<运行packetbeat的服务器的IP>
我有" packetbeat.ignore_outgoing:true"在我的packetbeat.yml文件中设置。我在CentOS上运行它并将packetbeat数据直接输出到Logstash。
有没有办法做到这一点?
答案 0 :(得分:0)
我最终做的是写一个Logstash过滤器。
filter {
if[type] == "flow" and [dest][ip] == "192.168.X.Y" and [packet_source][ip] == "192.168.Z.D" {
drop { }
}
}