Как отфильтровать трафик 127.0.0.1 из Packetbeat и Logstash?

Question

Как отфильтровать трафик 127.0.0.1 из Packetbeat и Logstash?

У меня запущен Packetbeat с использованием Logstash, и у меня есть проблема. Почти весь трафик - это трафик реальной коробки, отправляющей вещи в Logstash. Вот что я имею в виду:

Как видите, почти весь мой трафик бесполезен. Есть ли способ сделать фильтр для этого с помощью Grok или что-то?

0

elasticsearch centos logstash kibana packetbeat

Источник

user4168176 30 янв '17 в 19:59

1 ответ

Другие вопросы по тегам elasticsearch centos logstash kibana packetbeat

user503798 30 янв '17 в 20:37 2017-01-30 20:37 · Answer 1 · 2017-01-30 20:37

Вы не упомянули, что вы отслеживаете с помощью Packetbeat, но я предполагаю, что вы говорите о данных потока, а не о каком-то конкретном протоколе.

Существует несколько способов фильтрации данных Packetbeat. Вот несколько опций, которые вы можете установить в своем конфигурационном файле.

packetbeat.interfaces.device: eth0 - В Linux psuedo "любой" интерфейс используется по умолчанию. Если вы не хотите перехватывать трафик localhost, вы можете изменить значение для прослушивания на определенном интерфейсе, например eth0,
packetbeat.interfaces.bpf_filter: "net 192.168.0.0/16 not port 5044" - Вы можете использовать пользовательский фильтр BPF, чтобы выбрать интересующий вас трафик.
Используйте процессор drop_event, чтобы выбрать конкретные события для удаления. Более эффективно фильтровать трафик, используя один из других методов. Это приведет к удалению данных только после того, как они будут обработаны Packetbeat и превращены в событие.