对于 Linux 上的 Packetbeat,packetbeat.interfaces.device: any配置会捕获安装 Packetbeat 的服务器发送或接收的所有消息。
我想区分交换消息的接口捕获的消息,例如哪些消息是通过接口交换的,eth0哪些消息是通过 交换的wlan0。从日志中,我找不到包含此信息的字段。
有没有办法使用某些配置将接口设备名称包含在 Packetbeat 日志中?如果没有,是否有其他方法可以使用 Packetbeat 日志捕获相同的内容?
答案1
Packetbeat 似乎比经典网络分析器更关注应用程序或事务:本质上,它是面向应用程序开发人员的网络分析器,并且专注于第 3 层及以上。
如果 IP 地址不足以指定接口,那么您正在执行桥接或一些更高级的第 2 层操作。如果您需要第 2 层信息(= 物理接口、MAC 地址、以太网帧头),那么 Packetbeat 似乎是错误的工具;对于此类低级细节,您需要为网络工程师设计的网络分析仪。
有人可能会说,需要弄清楚特定流量来自哪里eth0或wlan0可能表明可能存在网络设计问题:如果 IP 地址无法成功识别它们,那么你可能正在将两个具有不同安全态势的网络段桥接在一起(坏主意!)或者你的主机和/或路由器没有足够的反向路径过滤(所以你也许应该先解决这个问题)。