1. 背景
根据 网络安全系列-四十三:使用Suricata分析恶意流量pcap文件一文,你可以使用Suricata针对恶意流量pcap进行分析,产生eve.json的分析结果, 那如何针对这些分析结果进行可视化展示呢?
本文使用Filebeat的suricata 模块读取eve.json分析结果并写到elasticsearch,最后由kibana进行可视化展示
2. 相关软件介绍
2.1. filebeat介绍
Beats 在ELK框架中是一个轻量型数据采集器。
- 早期的 ELK 架构中使用 Logstash 收集、解析日志,但是 Logstash 对内存、cpu、io 等资源消耗比较高。相比 Logstash,Beats 所占系统的 CPU 和内存几乎可以忽略不计
- Beats 是一个免费且开放的平台,集合了多种单一用途数据采集器。它们从成百上千或成千上万台机器和系统向 Logstash 或 Elasticsearch 发送数据
- Filebeat: 用于采集日志和其他数据的轻量型采集器,使用参见filebeat文档
- Metricbeat: 轻量型指标数据采集器
- Packetbeat: 轻量型网络数据采集器
- Winlogbeat: 轻量型 Windows 事件日志采集器
- Auditbeat: 轻量型审计数据采集器