Вы не указали, что вы контролируете с помощью Packetbeat, но я предполагаю, что вы говорите о flow data, а не о каком-либо конкретном протоколе.
Существует несколько способов фильтрации данных Packetbeat. Вот несколько параметров, которые вы можете установить в своем файле конфигурации.
packetbeat.interfaces.device: eth0
- В Linux по умолчанию используется psuedo «любой» интерфейс. Если вы не хотите захватывать трафик localhost, вы можете изменить значение для прослушивания на определенном интерфейсе, таком как eth0
.
packetbeat.interfaces.bpf_filter: "net 192.168.0.0/16 not port 5044"
- Вы можете использовать пользовательские BPF filter для выбора трафика вы заинтересованы в
- Используйте drop_event процессор для выбора конкретных событий понижаться.. Более эффективно фильтровать трафик с использованием одного из других методов. Это снизит данные только после того, как оно будет обработано Packetbeat и превращено в событие.