我想创建一个网络分析仪,其中Suricata捕获网络流量并在ElasticLogstashKibana中可视化。日志文件在filebeat中转换。
我把所有的东西都弄成这样:
http://robwillis.info/2017/04/elk-5-on-ubuntu-pt-2-installing-and-configuring-elasticsearch-logstash-kibana-nginx/。
从以下位置捕获日志:
/var/log/suricata/eve.json
/var/log/suricata/fast.log
/var/log/auth.log
/var/log/syslog
我可以看到一些日志,但并不重要。
题:
1.为什么我在左横梁上没有其他选择? (看截图)
有_id,_score,_type,但是为什么没有pid或user-agent?
2.如何添加更多可视化选项?这个配置在哪里?
感谢您的帮助。
屏幕:https://iv.pl/images/15551808537987341318.jpg
