Linux의 Packetbeat의 경우 packetbeat.interfaces.device: any구성은 Packetbeat가 설치된 서버에서 보내거나 받는 모든 메시지를 캡처합니다.
eth0인터페이스를 통해 교환되는 메시지와 를 통해 교환되는 메시지 등 교환하는 인터페이스에서 캡처한 메시지를 구별하고 싶습니다 wlan0. 로그에서 이 정보가 포함된 필드를 찾을 수 없습니다.
일부 구성을 사용하여 Packetbeat 로그에 인터페이스 장치 이름을 포함하는 방법이 있습니까? 그렇지 않은 경우 Packetbeat 로그를 사용하여 동일한 콘텐츠를 캡처할 수 있는 다른 방법이 있습니까?
답변1
Packetbeat는 기존 네트워크 분석기보다 애플리케이션이나 트랜잭션에 더 초점을 맞춘 것으로 보입니다. 본질적으로 이는 애플리케이션 개발자를 위한 네트워크 분석기이며 레이어 3 이상에 중점을 둡니다.
IP 주소가 인터페이스를 지정하기에 충분하지 않은 경우 브리징 또는 일부 고급 계층 2 작업을 수행하고 있는 것입니다. 레이어 2 정보(= 물리적 인터페이스, MAC 주소, 이더넷 프레임 헤더)가 필요한 경우 Packetbeat는 그러한 낮은 수준의 세부 정보를 위한 잘못된 도구인 것 같습니다. 네트워크 엔지니어를 위해 설계된 네트워크 분석기가 필요합니다.
특정 트래픽이 어디서 오는지 파악해야 한다는 것은 가능한 네트워크 설계 문제를 나타낼 eth0수 있다고 말할 수 wlan0있습니다. IP 주소가 트래픽을 성공적으로 식별할 수 없다면 두 네트워크 세그먼트를 서로 다른 보안 상태로 연결하는 것일 수 있습니다(나쁜 생각입니다! ) 또는 호스트 및/또는 라우터의 용량이 충분하지 않습니다.역방향 경로 필터링(그러므로 먼저 수정해야 할 것입니다).