Packetbeat 命令参考
编辑Packetbeat 命令参考编辑
Packetbeat 提供了一个命令行界面,用于启动 Packetbeat 并执行常见任务,例如测试配置文件和加载仪表板。
命令行还支持 全局标志 用于控制全局行为。
如果要运行以下命令,请使用 sudo
- 配置文件归
root所有,或者 - Packetbeat 配置为捕获需要
root访问权限的数据
此处描述的某些功能需要 Elastic 许可证。有关更多信息,请参见 https://elastic.ac.cn/subscriptions 和 许可证管理。
| 命令 | |
|---|---|
将配置、索引模板、ILM 策略或仪表板导出到标准输出。 |
|
显示任何命令的帮助信息。 |
|
管理 密钥库。 |
|
运行 Packetbeat。如果您在不指定命令的情况下启动 Packetbeat,则默认情况下将使用此命令。 |
|
设置初始环境,包括索引模板、ILM 策略和写入别名以及 Kibana 仪表板(如果可用)。 |
|
测试配置。 |
|
显示有关当前版本的详细信息。 |
另请参见 全局标志。
export 命令编辑
将配置、索引模板、ILM 策略或仪表板导出到标准输出。您可以使用此命令快速查看您的配置,查看索引模板和 ILM 策略的内容,或从 Kibana 导出仪表板。
概要
packetbeat export SUBCOMMAND [FLAGS]
子命令
-
配置 - 将当前配置导出到标准输出。如果您使用
-c标志,则此命令将导出指定文件中定义的配置。 -
dashboard -
导出仪表板。您可以使用此选项将仪表板存储在模块中的磁盘上并自动加载它。例如,要将仪表板导出到 JSON 文件,请运行
packetbeat export dashboard --id="DASHBOARD_ID" > dashboard.json
要查找
DASHBOARD_ID,请查看 Kibana 中仪表板的 URL。默认情况下,export dashboard会将仪表板写入标准输出。该示例显示了如何将仪表板写入 JSON 文件,以便您以后导入它。JSON 文件将包含具有所有可视化和搜索的仪表板。您必须单独加载 Packetbeat 的索引模式。要加载仪表板,请将生成的
dashboard.json文件复制到 Packetbeat 的kibana/6/dashboard目录中,然后运行packetbeat setup --dashboards导入仪表板。如果 Kibana 未在
localhost:5061上运行,则您还必须调整setup.kibana下的 Packetbeat 配置。 -
template - 将索引模板导出到标准输出。您可以指定
--es.version标志来进一步定义要导出的内容。此外,您可以通过--dir定义目录将模板导出到文件,而不是stdout。
标志
-
--es.version 版本 - 与
template一起使用时,将导出与指定版本兼容的索引模板。与ilm-policy一起使用时,如果指定的 ES 版本启用了 ILM,则将导出 ILM 策略。 -
-h, --help - 显示
export命令的帮助信息。 -
--dir 目录名 - 定义一个目录,将模板、管道和 ILM 策略作为文件导出到该目录,而不是将它们打印到
stdout。 -
--id 仪表板_ID - 与
dashboard一起使用时,指定仪表板 ID。
另请参见 全局标志。
示例
packetbeat export config packetbeat export template --es.version 8.14.3 packetbeat export dashboard --id="a7b35890-8baa-11e8-9676-ef67484126fb" > dashboard.json
help 命令编辑
显示任何命令的帮助信息。如果未指定命令,则显示 run 命令的帮助信息。
概要
packetbeat help COMMAND_NAME [FLAGS]
-
命令名 - 指定要显示其帮助信息的命令的名称。
标志
-
-h, --help - 显示
help命令的帮助信息。
另请参见 全局标志。
示例
packetbeat help export
keystore 命令编辑
管理 密钥库。
概要
packetbeat keystore SUBCOMMAND [FLAGS]
子命令
-
添加 密钥 - 将指定的密钥添加到密钥库。使用
--force标志覆盖现有密钥。使用--stdin标志通过stdin传递值。 -
创建 - 创建一个密钥库来保存机密。使用
--force标志覆盖现有的密钥库。 -
列表 - 列出密钥库中的密钥。
-
删除 密钥 - 从密钥库中删除指定的密钥。
标志
-
--force - 与
add和create子命令一起使用有效。与add一起使用时,覆盖指定的密钥。与create一起使用时,覆盖密钥库。 -
--stdin - 与
add一起使用时,使用 stdin 作为密钥值的来源。 -
-h, --help - 显示
keystore命令的帮助信息。
另请参见 全局标志。
示例
packetbeat keystore create packetbeat keystore add ES_PWD packetbeat keystore remove ES_PWD packetbeat keystore list
有关更多示例,请参见 密钥库。
run 命令编辑
运行 Packetbeat。如果您在不指定命令的情况下启动 Packetbeat,则默认情况下将使用此命令。
概要
packetbeat run [FLAGS]
或者
packetbeat [FLAGS]
标志
-
-I, --I 文件 -
从指定文件读取数据包,而不是从网络读取数据包。此选项仅在测试 Packetbeat 时有用。
packetbeat run -I ~/pcaps/network_traffic.pcap
-
-N, --N - 禁用发布以进行测试。此选项将禁用所有输出,除了 文件输出。
-
-O, --O - 通过在每次读取后按Enter键,逐个读取数据包。此选项仅在测试 Packetbeat 时有用。
-
--cpuprofile 文件 - 将 CPU 分析数据写入指定文件。此选项在排查 Packetbeat 问题时有用。
-
-设备 - 打印可用于嗅探的设备列表,然后退出。
-
-转储 文件 - 将所有捕获的数据包写入指定文件。此选项在排查 Packetbeat 问题时有用。
-
-h, --help - 显示
run命令的帮助信息。 -
--httpprof [主机]:端口 - 启动用于分析的 http 服务器。此选项在排查和分析 Packetbeat 问题时有用。
-
-l N - 读取 pcap 文件
N次。默认值为 1。将此选项与-I选项结合使用。对于无限循环,请使用0。-l选项仅在测试 Packetbeat 时有用。 -
--memprofile 文件 - 将内存分析数据写入指定输出文件。此选项在排查 Packetbeat 问题时有用。
-
--system.hostfs 挂载点 - 指定主机文件系统的挂载点,用于监控主机。此标志已弃用,应通过
hostfs模块配置值指定替代主机文件系统。 -
-t - 尽可能快地从 pcap 文件读取数据包,而无需休眠。将此选项与
-I选项结合使用。-t选项仅在测试 Packetbeat 时有用。
另请参见 全局标志。
示例
packetbeat run -e
或者
packetbeat -e
setup 命令编辑
设置初始环境,包括索引模板、ILM 策略和写入别名以及 Kibana 仪表板(如果可用)。
- 索引模板确保字段在 Elasticsearch 中正确映射。如果启用了索引生命周期管理,它还确保定义的 ILM 策略和写入别名连接到与索引模板匹配的索引。ILM 策略负责索引的生命周期,何时执行滚动、何时将索引从活动阶段移动到下一阶段等。
- Kibana 仪表板使您能够更轻松地在 Kibana 中可视化 Packetbeat 数据。
此命令在不实际运行 Packetbeat 和摄取数据的情况下设置环境。指定可选标志以设置一部分资产。
概要
packetbeat setup [FLAGS]
标志
-
--仪表板 - 设置 Kibana 仪表板(如果可用)。此选项从 Packetbeat 包中加载仪表板。有关更多选项(例如加载自定义仪表板),请参见Beats 开发人员指南中的 导入现有 Beat 仪表板。
-
-h, --help - 显示
setup命令的帮助信息。 -
--index-management - 设置与 Elasticsearch 索引管理相关的组件,包括模板、ILM 策略和写入别名(如果支持并配置)。
另请参见 全局标志。
示例
packetbeat setup --dashboards packetbeat setup --index-management
test 命令编辑
测试配置。
概要
packetbeat test SUBCOMMAND [FLAGS]
子命令
-
配置 - 测试配置设置。
-
输出 - 通过使用当前设置测试 Packetbeat 是否可以连接到输出。
标志
-
-h, --help - 显示
test命令的帮助信息。
另请参见 全局标志。
示例
packetbeat test config
version 命令编辑
显示有关当前版本的详细信息。
概要
packetbeat version [FLAGS]
标志
-
-h, --help - 显示
version命令的帮助信息。
另请参见 全局标志。
示例
packetbeat version
全局标志编辑
这些全局标志在您运行 Packetbeat 时始终可用。
-
-E, --E "设置名=值" -
覆盖特定配置设置。您可以指定多个覆盖。例如
packetbeat -E "name=mybeat" -E "output.elasticsearch.hosts=['http://myhost:9200']"
此设置将应用于当前正在运行的 Packetbeat 进程。Packetbeat 配置文件不会更改。
-
-c, --c 文件 - 指定用于 Packetbeat 的配置文件。您在此处指定的文件相对于
path.config。如果未指定-c标志,则使用默认配置文件packetbeat.yml。 -
-d, --d 选择器 - 为指定的选择器启用调试。对于选择器,您可以指定组件的逗号分隔列表,或者可以使用
-d "*"为所有组件启用调试。例如,-d "publisher"将显示所有与发布者相关的消息。 -
-e, --e - 记录到标准错误并禁用 syslog/文件输出。
-
-环境 - 出于记录目的,指定 Packetbeat 正在运行的环境。此设置用于在未配置日志输出时选择默认日志输出。支持的值为:
systemd、container、macos_service和windows_service。如果指定了systemd或container,Packetbeat 默认情况下会记录到标准输出和标准错误。 -
--path.config - 设置配置文件的路径。有关详细信息,请参阅目录布局部分。
-
--path.data - 设置数据文件的路径。有关详细信息,请参阅目录布局部分。
-
--path.home - 设置杂项文件的路径。有关详细信息,请参阅目录布局部分。
-
--path.logs - 设置日志文件的路径。有关详细信息,请参阅目录布局部分。
-
--strict.perms - 对配置文件设置严格的权限检查。默认值为
-strict.perms=true。有关更多信息,请参阅配置文件所有权和权限。 -
-v, --v - 记录 INFO 级别的消息。