Как заблокировать конкретный IP в Packetbeat

Question

Как заблокировать конкретный IP в Packetbeat

Поэтому я выполняю визуализацию данных трафика сетевого потока и запускаю пакетный ритм в "режиме af", чтобы собрать все данные сетевого потока.

Проблема в том, что IP-адрес, который я подключаю к ящику с пакетным битом, это то, что я хочу игнорировать. Так как я знаю, что это такое, это просто загромождает вещи в визуализации.

Я хочу игнорировать весь трафик, который имеет эти данные:

"dest.ip" из и "source.ip" из

У меня есть "packetbeat.ignore_outgoing: true", настроенный в моем файле packetbeat.yml. Я запускаю это на CentOS и выводю данные пакетов битов прямо в Logstash.

Есть какой-либо способ сделать это?

0

elasticsearch filter logstash grok packetbeat

Источник

user4168176 14 фев '17 в 19:32

1 ответ

Другие вопросы по тегам elasticsearch filter logstash grok packetbeat

user4168176 16 фев '17 в 16:57 2017-02-16 16:57 · Answer 1 · 2017-02-16 16:57

В итоге я написал фильтр Logstash.

 filter {
  if[type] == "flow" and [dest][ip] == "192.168.X.Y" and [packet_source][ip] == "192.168.Z.D" {
        drop { }
  }
}

0

Источник

user4168176 16 фев '17 в 16:57