如何阻止Packetbeat

时间:2017-02-14 19:32:56

标签: logstash packetbeat

所以我正在对netflow流量进行数据可视化,我正在" af模式"中运行packetbeat。收集所有的netflow数据。

问题是我连接到带有packetbeat的盒子的IP是我想要忽略的。因为我知道它是什么,它只是在可视化中混乱。

我想忽略拥有此数据的所有流量:

" dest.ip" of< XYZ> 和 " source.ip" of<运行packetbeat的服务器的IP>

我有" packetbeat.ignore_outgoing:true"在我的packetbeat.yml文件中设置。我在CentOS上运行它并将packetbeat数据直接输出到Logstash。

有没有办法做到这一点?

1 个答案:

答案 0 :(得分:0)

我最终做的是写一个Logstash过滤器。

 filter {
  if[type] == "flow" and [dest][ip] == "192.168.X.Y" and [packet_source][ip] == "192.168.Z.D" {
        drop { }
  }
}