如何阻止Packetbeat中的特定IP

因此，我正在做一個網絡流量的數據可視化，並且我在「af模式」下運行packetbeat以收集所有netflow數據。如何阻止Packetbeat中的特定IP

問題是我連接到帶有packetbeat的盒子上的IP是我想忽略的。因爲我知道它是什麼，它只是在可視化中混淆視聽。

我想忽略所有具有此數據流量的：< XYZ服務器的IP <的> 和「source.ip」運行packetbeat的

「dest.ip」>

我在我的packetbeat.yml文件中設置了「packetbeat.ignore_outgoing：true」。我在CentOS上運行這個程序，並將包信號數據直接輸出到Logstash。

有沒有辦法做到這一點？

你只是將數據發送到logstash或者你是否預先處理filebeat？ – Fairy

是的，我最終編寫了一個Logstash過濾器。我只是想知道在filebeat中是否有某種配置選項，以便在它發送到Logstash之前將其刪除。 – BenjaFriend

我最終做的是寫一個Logstash過濾器。

filter { 
    if[type] == "flow" and [dest][ip] == "192.168.X.Y" and [packet_source][ip] == "192.168.Z.D" { 
     drop { } 
    } 
}

2017-02-16 16:57:20 BenjaFriend

回答