在麋鹿堆栈中进行pcap分析的适当工具？

Question

我相信这是一个垒球，谁熟悉弹性堆栈，但我看过的医生没有留下非常清楚。

实际上，我试图通过ELK堆栈来使用Kibana来可视化数据包信息。

我并不是想实时监控这一情况，而是有以下行为：

1. 我把一个pcap放到一个目录中，然后有东西把它捡起来(FileBeat？PacketBeat -I？LogStash?)
2. 由于pcap并不是很有用，我可能需要通过t鲨来运行它来生成可读的json。
3. 我想要ElasticSearch中的这些信息
4. 使用Kibana制作漂亮的图形

从我所读到的情况来看，PacketBeat允许-I选项接受一个pcap作为输入，但它不是只提供了单个文件吗？当我放下pcaps时，我希望它能看到一个目录。我想让我感到困惑的是，大多数文档都在谈论如何配置接口设备，以便在packetbeat.yml中嗅探。

不管怎么说，我一直在想它看起来会像这样

-> logstash (过滤器)-> elasticsearch (索引)-> kibana (可视化)

是否有一种方法来配置packetbeat来监视pcaps的dir，而不是一个接口？

Answer 1

到2021年3月，你仍然不能用Packet节拍来做这件事。

但是，您可以轻松地将目录树的监视“外包”到另一个工具，并让它调用Packet节拍。守望者 (由Facebook发布)是一个不错的选择-它将跟踪已处理的文件。然后，您可以执行如下操作：( a)查看一个目录，然后在文件被更改/添加时采取行动：

watchman watch /path/to/pcaps
watchman -- trigger ~/path/to/pcaps pcaptrigger '*.pcap' -- 'packetbeat -I'