У меня есть Packetbeat работает с помощью Logstash, и у меня есть проблема. Почти весь трафик - это трафик фактической коробки, отправляющей вещи в Logstash. Вот что я имею в виду:Как отфильтровать трафик 127.0.0.1 от Packetbeat и Logstash?
Как вы можете видеть, почти все мое движение бесполезно. Есть ли способ сделать фильтр для этого с помощью Grok или чего-то еще?
Вы не указали, что вы контролируете с помощью Packetbeat, но я предполагаю, что вы говорите о flow data, а не о каком-либо конкретном протоколе.
Существует несколько способов фильтрации данных Packetbeat. Вот несколько параметров, которые вы можете установить в своем файле конфигурации.
packetbeat.interfaces.device: eth0 - В Linux по умолчанию используется psuedo «любой» интерфейс. Если вы не хотите захватывать трафик localhost, вы можете изменить значение для прослушивания на определенном интерфейсе, таком как eth0.packetbeat.interfaces.bpf_filter: "net 192.168.0.0/16 not port 5044" - Вы можете использовать пользовательские BPF filter для выбора трафика вы заинтересованы в