あなたはPacketbeatで監視していることは言及していませんでしたが、具体的なプロトコルではなくflow dataについて話していると仮定しています。
Packetbeatデータをフィルタリングする方法は複数あります。設定ファイルで設定できるいくつかのオプションがあります。
packetbeat.interfaces.device: eth0
- Linuxでは、psuedo "any"インターフェイスがデフォルトで使用されます。 localhostトラフィックをキャプチャしたくない場合は、eth0
のような特定のインターフェイスでリスンする値を変更できます。
packetbeat.interfaces.bpf_filter: "net 192.168.0.0/16 not port 5044"
- あなたは、あなたが興味を持っているトラフィックを選択するためのカスタムBPF filterを使用することができます
- ドロップする特定のイベントを選択するために、drop_eventプロセッサを使用してください。他の方法の1つを使用してトラフィックをフィルタリングする方が効率的です。これは、Packetbeatによって処理されてイベントに変換された後にのみデータを破棄します。