我有一个web服务器,我需要分析流量,并在其中发现潜在的异常。我的第一个想法是使用filebeat获取access日志并将其传递给ELK堆栈。nginx网络访问日志的形式如下:
42.236.10.125 - - [19/Dec/2020:15:23:11 +0100] "GET /templates/jp_hotel/css/template.css HTTP/1.1" 200 10004 "http://www.almhuette-raith.at/" "Mozilla/5.0 (Linux; U; Android 8.1.0; zh-CN; EML-AL00 Build/HUAWEIEML-AL00) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.108 baidu.sogo.uc.UCBrowser/11.9.4.974 UWS/2.13.1.48 Mobile Safari/537.36 AliApp(DingTalk/4.5.11) com.alibaba.android.rimet/10487439 Channel/227200 language/zh-CN" "-"
42.236.10.117 - - [19/Dec/2020:15:23:11 +0100] "GET /templates/jp_hotel/css/layout.css HTTP/1.1" 200 1801 "http://www.almhuette-raith.at/" "Mozilla/5.0 (Linux; U; Android 8.1.0; zh-CN; EML-AL00 Build/HUAWEIEML-AL00) AppleWebKit/537.36 (KHTML, like Gecko) Version/4.0 Chrome/57.0.2987.108 baidu.sogo.uc.UCBrowser/11.9.4.974 UWS/2.13.1.48 Mobile Safari/537.36 AliApp(DingTalk/4.5.11) com.alibaba.android.rimet/10487439 Channel/227200 language/zh-CN" "-"然而,我注意到packetbeat也存在,但根据我的研究,我发现它提供了类似的输出:

所以,我的问题是,两者之间有什么区别,我应该两者都使用吗?packetbeat有什么特性吗?它可能对我的情况有用吗?
发布于 2022-05-18 12:59:06
如果您严格检查网络流量而不是日志,我将使用packet节拍。如果您正在分析日志,请使用File节拍。你可以使用这两种工具,但要确保你明白你想要的是什么。
https://stackoverflow.com/questions/72196834
复制相似问题