ELK Packetbeat 协议和进程配置项(16th)

ELK Packetbeat 协议和进程配置项(16th)

Packetbeat 协议部分包含支持每个协议的配置项，如ports, send_request, send_response 和 特定的协议选项。

目前Packetbeat支持以下协议：

配置如下：

通用协议选项

下面的选项可用于所有协议：

portsPacketbeat以该端口捕获具体协议流量。 Packetbeat 基于这个端口安装一个BPF过滤器。如果数据包不匹配该过滤器直接丢弃。Packetbeat还使用该端口以确定每个数据包使用哪个分析器解析。

HTTP 配置选项

配置实例如下：用的最多是这个，注意看

hide_keywords

查询参数列表，Packetbeat将自动审查已存的事务。与这些参数相关的值将被替代成 'xxxxx'。默认情况下，是不会更改HTTP信息的。

Packetbeat 有这个选项，是因为不同于 SQL 流量只含有密码的hash值，HTTP 流量可能包含敏感的数据。为了降低安全风险，可配置此选项避免HTTP POST发送特定的参数。

redact_authorization当启用该选项， Packetbeat 隐藏  Authorization值和 Proxy-Authorization HTTP头部,并检查响应的字符串。如果使用Basic Authentication验证，应该启用该选，因为可能包含base64未加密的用户名和密码。

如：

split_cookie

如果Cookie 或者 Set-Cookie 头部被发送, 该选项控制是否把它们分割成独自值。默认false。例如，设置了该选项， HTTP 响应将成下面的json格式结果：

real_ip_header

提取真实IP地址。该信息用于 real_ip 和 client_location 索引字段。

Memcache 配置选项

实例如下：

parseunknown

当启用该选项，迫使memcache文本协议分析器接受未知的命令。

maxvalues信息(multi-get)存储值的最大数量。所有值base64编码。可能值如下：maxvalue: -1, 存储所有值 (基于文本协议 multi-get)maxvalue: 0, 不存储值 (默认)maxvalue: N, 最多可存 N 值