解码pcap文件(tshark -T ek output / ndjson),该文件会通过“TCP/17570”发送至虚拟机; 虚拟机中的ELK堆栈将会处理并索引数据; Kibana会在虚拟机中运行,可以通过“http://127.0.0.1:15601/app/kibana#/dashboards”访问;
git clone https://github.com/H21lab/tsharkVM.git
sudo apt update
sudo apt install tshark virtualbox vagrant
vagrant plugin install vagrant-disksize
vagrant plugin install vagrant-scp
bash ./build.sh
# 复制pcap文件至./Trace
# 上传pcap文件(含文件名)
bash upload_pcaps_with_filenames.sh
# 或者使用“vagrant scp”将ndjson文件拷贝至/home/vagrant/inpu
# 或者直接上传pcap文件(无文件名)
bash upload_pcaps.sh
# 或者直接使用tshark转发至127.0.0.1 17570/tcp
tshark -r trace.pcapng -x -T ek > /dev/tcp/localhost/17570
firefox http://127.0.0.1:15601/app/kibana#/dashboards
cd ./VM
vagrant ssh
cd ./VM
vagrant destroy default
cd ./VM
vagrant up
cd ./VM
vagrant halt
cd ./VM
vagrant ssh
sudo systemctl status kibana.service
sudo systemctl status elasticsearch.service
sudo systemctl status logstash.service
# 1. 创建自定义映射,选择所需的协议
tshark -G elastic-mapping --elastic-mapping-filter frame,eth,ip,udp,tcp,dns > ./Kibana/custom_tshark_mapping.json
# 2. 消除重复数据并对映射进行后期处理,以适应当前Elasticsearch版本
ruby ./Public/process_tshark_mapping_json.rb
# 3. 上传文件至虚拟机
cd VM
vagrant upload ../Kibana/custom_tshark_mapping_deduplicated.json /home/vagrant/tsharkVM/Kibana/custom_tshark_mapping_deduplicated.json
cd ..
# 4. 连接虚拟机并上传模板
cd VM
vagrant ssh
cd tsharkVM/Kibana
curl -X PUT "localhost:9200/_index_template/packets_template" -H 'Content-Type: application/json' [email protected]_tshark_mapping_deduplicated.json
(向右滑动,查看更多)
“./Kibana/template_tshark_mapping_dynamic.json”。
tsharkVM:https://github.com/H21lab/tsharkVM
精彩推荐