packetbeat

下载并安装实现libpcap接口的数据sniffing库,例如Npcap。

如果使用Npcap,请确保以WinPcap API兼容模式安装它。 如果您打算从loopback设备捕获流量(127.0.0.1流量),则还选择支持loopback流量的选项。

从下载页面下载Packetbeat Windows zip文件
将zip文件的内容提取到C:\Program Files
将packetbeat- <版本> -windows目录重命名为Packetbeat
以管理员身份打开PowerShell提示符(右键单击PowerShell图标,然后选择“以管理员身份运行”)。
在PowerShell提示符下,运行以下命令以将Packetbeat安装为Windows服务:

PS > cd 'C:\Program Files\Packetbeat'
PS C:\Program Files\Packetbeat> .\install-service-packetbeat.ps1
 请注意:如果在系统上禁用了脚本执行,则需要为当前会话设置执行策略以允许脚本运行。 例如:

PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-packetbeat.ps1
在使用Packetbeat之前,我们必须配置Packetbeat才可以使它正常工作。在Packetbeat的安装目录下,有一个叫做packetbeat.yml的配置文件(针对Linux的情况,它位于/etc/packetbeat/目录下)。在最简单的情况下,我们必须修改:

.\packetbeat.exe devices   查看网卡信息写入yml

packetbeat.interfaces.device: 3

output.elasticsearch:
hosts: ["myEShost:9200"]
username: "filebeat_internal"
password: "YOUR_PASSWORD"
setup.kibana:
host: "mykibanahost:5601"
username: "my_kibana_user"
password: "YOUR_PASSWORD"
我们需要把Elasticsearch及Kibana的地址填入到上面的位置。这样我们我们就可以把数据传入到Elasticsearch中,并在Kibana中的Dashboard中进行展示。更多的配置请参阅Elastic的官方文档“Configure Packetbeat”。
.\packetbeat.exe setup --dashboards

 

1) 安装packetbeat
[root@web01 ~]# rpm -ivh packetbeat-7.4.0-x86_64.rpm

2) 配置packetbeat
[root@web01 ~]# cat /etc/packetbeat/packetbeat.yml
#监控所有的网卡流量
packetbeat.interfaces.device: eth0

packetbeat.flows:
timeout: 30s
period: 10s


packetbeat.protocols:
- type: icmp
enabled: true

- type: dns
ports: [53]

- type: http
ports: [80, 8080, 8000, 5000, 8002]

- type: mysql
ports: [3306,3307]

- type: redis
ports: [6379]

- type: nfs
ports: [2049]

- type: tls
ports:
- 443 # HTTPS
- 993 # IMAPS
- 995 # POP3S
- 5223 # XMPP over SSL
- 8443
- 8883 # Secure MQTT
- 9243 # Elasticsearch

setup.kibana:
host: "10.0.0.161:5601"

output.elasticsearch:
hosts: ["10.0.0.161:9200","10.0.0.162:9200","10.0.0.163:9200"]


3) 重启packetbeat
[root@web01 ~]# systemctl restart packetbeat

4) 初始化环境
[root@web01 ~]# packetbeat -e setup

posted @ 2020-06-11 19:11  才华配得上梦想  阅读(749)  评论(0编辑  收藏  举报