Я уверен, что это софтбол для тех, кто знаком с Elastic Stack, но документы, которые я прочитал, не оставили его очень ясным.
Я, по сути, пытаюсь протолкнуть файлы pcap черезСтек ELK для визуализации информации о пакете с использованием Kibana.
Я не собираюсь отслеживать это в режиме реального времени, а имею следующее поведение:
- Я помещаю pcap в каталог, и что-то его забирает (FileBeat? PacketBeat -I? LogStash?)
- Поскольку файл pcap не очень полезен, мне может понадобиться запустить его через tshark для создания читабельного json
- Я хочу эту информацию в ElasticSearch
- Используйте Kibana для создания симпатичных графиков
Из того, что я прочитал, PacketBeat позволяет опции -I принимать файл pcap в качестве входных данных, но разве это не доставляет только этот единственный файл?Я хочу, чтобы он смотрел каталог, когда я сбрасываю pcaps.Полагаю, что меня смутило то, что в большинстве документов говорилось о настройке интерфейсного устройства для прослушивания в packagebeat.yml
В любом случае, в идеале я думал, что это будет выглядеть примерно так:
packetbeat (наблюдение заpcaps, выплевывает json) -> logstash (фильтры) - >asticsearch (индексы) -> kibana (визуализирует)
Есть ли способ настроить пакетный бит для просмотра каталога для pcaps, а не для интерфейса?