- Packetbeat 参考其他版本
- Packetbeat 概述
- 快速入门:安装和配置
- 设置和运行
- 升级 Packetbeat
- 配置
- 流量嗅探
- 网络流
- 协议
- 进程
- 常规设置
- 项目路径
- 输出
- Kerberos
- SSL
- 索引生命周期管理 (ILM)
- Elasticsearch 索引模板
- Kibana 端点
- Kibana 仪表板
- 处理器
- 定义处理器
- add_cloud_metadata
- add_cloudfoundry_metadata
- add_docker_metadata
- add_fields
- add_host_metadata
- add_id
- add_kubernetes_metadata
- add_labels
- add_locale
- add_network_direction
- add_nomad_metadata
- add_observer_metadata
- add_process_metadata
- add_tags
- append
- community_id
- convert
- copy_fields
- decode_base64_field
- decode_duration
- decode_json_fields
- decode_xml
- decode_xml_wineventlog
- decompress_gzip_field
- detect_mime_type
- dissect
- dns
- drop_event
- drop_fields
- extract_array
- fingerprint
- include_fields
- move_fields
- rate_limit
- registered_domain
- rename
- replace
- syslog
- translate_ldap_attribute
- translate_sid
- truncate_fields
- urldecode
- 内部队列
- 日志
- HTTP 端点
- 检测
- 功能标志
- packetbeat.reference.yml
- 操作指南
- 导出的字段
- 监视
- 安全
- 在 Kibana 中可视化 Packetbeat 数据
- 故障排除
- 获取帮助
- 调试
- 了解记录的指标
- 记录跟踪
- 常见问题
- Kibana 中的仪表板错误地分解了数据字段
- 使用镜像端口时,Packetbeat 看不到任何数据包
- Packetbeat 无法捕获 Windows 回环接口的流量
- Packetbeat 缺少长时间运行的事务
- Packetbeat 未捕获 MySQL 性能数据
- Packetbeat 使用了过多的带宽
- 加载配置文件时出错
- 找到意外或未知字符
- Logstash 连接不起作用
- 发布到 Logstash 失败并显示 “connection reset by peer” 消息
- Logstash 中缺少 @metadata
- 不确定是使用 Logstash 还是 Beats
- SSL 客户端无法连接到 Logstash
- 监控 UI 显示的 Beats 比预期的少
- 仪表板无法找到索引模式
- 由于 MADV 设置导致 RSS 内存使用率过高
- 字段在 Kibana 中显示为嵌套的 JSON
- 为 Beats 做贡献
APT 和 YUM 的存储库
编辑APT 和 YUM 的存储库
编辑我们为基于 APT 和 YUM 的发行版提供了存储库。请注意,我们提供二进制包,但不提供源代码包。
我们使用 PGP 密钥 D88E42B4,Elasticsearch 签名密钥,其指纹为
4609 5ACC 8548 582C 1A26 99A9 D27D 666C D88E 42B4
用于签署我们的所有软件包。它可以从 https://pgp.mit.edu 获取。
APT
编辑要为 APT 添加 Beats 存储库
-
下载并安装公共签名密钥
wget -qO - https://artifacts.elastic.co/GPG-KEY-elasticsearch | sudo apt-key add -
-
在继续操作之前,您可能需要在 Debian 上安装
apt-transport-https包sudo apt-get install apt-transport-https
-
将存储库定义保存到
/etc/apt/sources.list.d/elastic-8.x.listecho "deb https://artifacts.elastic.co/packages/8.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-8.x.list
该软件包可以根据 Elastic 许可证免费使用。另一种只包含在 Apache 2.0 许可证下可用的功能的软件包也可用。要安装它,请使用以下源列表
echo "deb https://artifacts.elastic.co/packages/oss-8.x/apt stable main" | sudo tee -a /etc/apt/sources.list.d/elastic-8.x.list
要添加 Elastic 存储库,请确保使用示例中显示的
echo方法。不要使用add-apt-repository,因为它会添加deb-src条目,但我们不提供源代码包。如果您错误地添加了
deb-src条目,您将看到如下错误Unable to find expected entry 'main/source/Sources' in Release file (Wrong sources.list entry or malformed file)
只需从
/etc/apt/sources.list文件中删除deb-src条目,安装应该可以按预期工作。 -
运行
apt-get update,存储库即可使用。例如,您可以通过运行以下命令来安装 Packetbeatsudo apt-get update && sudo apt-get install packetbeat
-
要配置 Packetbeat 在启动时自动启动,请运行
sudo systemctl enable packetbeat如果您的系统不使用
systemd,则运行sudo update-rc.d packetbeat defaults 95 10
YUM
编辑要为 YUM 添加 Beats 存储库
-
下载并安装公共签名密钥
sudo rpm --import https://artifacts.elastic.co/GPG-KEY-elasticsearch
-
在您的
/etc/yum.repos.d/目录中创建一个带有.repo扩展名的文件(例如,elastic.repo),并添加以下行[elastic-8.x] name=Elastic repository for 8.x packages baseurl=https://artifacts.elastic.co/packages/8.x/yum gpgcheck=1 gpgkey=https://artifacts.elastic.co/GPG-KEY-elasticsearch enabled=1 autorefresh=1 type=rpm-md
该软件包可以根据 Elastic 许可证免费使用。另一种只包含在 Apache 2.0 许可证下可用的功能的软件包也可用。要安装它,请在您的
.repo文件中使用以下baseurlbaseurl=https://artifacts.elastic.co/packages/oss-8.x/yum
您的存储库已准备好使用。例如,您可以通过运行以下命令来安装 Packetbeat
sudo yum install packetbeat -
要配置 Packetbeat 在启动时自动启动,请运行
sudo systemctl enable packetbeat如果您的系统不使用
systemd,则运行sudo chkconfig --add packetbeat