关于tsharkVM 

解码pcap文件（tshark -T ek output / ndjson），该文件会通过“TCP/17570”发送至虚拟机；

虚拟机中的ELK堆栈将会处理并索引数据；

Kibana会在虚拟机中运行，可以通过“http://127.0.0.1:15601/app/kibana#/dashboards”访问；

 工具安装-如何在Ubuntu桌面系统上构建虚拟机 

git clone https://github.com/H21lab/tsharkVM.git

sudo apt update
sudo apt install tshark virtualbox vagrant
vagrant plugin install vagrant-disksize
vagrant plugin install vagrant-scp
bash ./build.sh

# 复制pcap文件至./Trace# 上传pcap文件（含文件名）bash upload_pcaps_with_filenames.sh# 或者使用“vagrant scp”将ndjson文件拷贝至/home/vagrant/inpu# 或者直接上传pcap文件（无文件名）bash upload_pcaps.sh # 或者直接使用tshark转发至127.0.0.1 17570/tcptshark -r trace.pcapng -x -T ek > /dev/tcp/localhost/17570

firefox http://127.0.0.1:15601/app/kibana#/dashboards

 工具使用 

SSH连接到虚拟机

cd ./VMvagrant ssh

删除虚拟机

cd ./VMvagrant destroy default

开启虚拟机

cd ./VMvagrant up

挂起虚拟机

cd ./VMvagrant halt

SSH连接至虚拟机并检测ELK是否正常运行

cd ./VM
vagrant ssh
sudo systemctl status kibana.service
sudo systemctl status elasticsearch.service
sudo systemctl status logstash.service

（向右滑动，查看更多）

 Elasticsearch映射模板 

# 1. 创建自定义映射，选择所需的协议tshark -G elastic-mapping --elastic-mapping-filter frame,eth,ip,udp,tcp,dns > ./Kibana/custom_tshark_mapping.json# 2. 消除重复数据并对映射进行后期处理，以适应当前Elasticsearch版本ruby ./Public/process_tshark_mapping_json.rb# 3. 上传文件至虚拟机cd VMvagrant upload ../Kibana/custom_tshark_mapping_deduplicated.json /home/vagrant/tsharkVM/Kibana/custom_tshark_mapping_deduplicated.jsoncd ..# 4. 连接虚拟机并上传模板cd VMvagrant sshcd tsharkVM/Kibanacurl -X PUT "localhost:9200/_index_template/packets_template" -H 'Content-Type: application/json' [email protected]_tshark_mapping_deduplicated.json
（向右滑动，查看更多）

“./Kibana/template_tshark_mapping_dynamic.json”。

 许可证协议 

 项目地址 

tsharkVM：https://github.com/H21lab/tsharkVM