2019년 4월 7일 일요일

Packetbeat 활용 - 3rd

Packetbeat로 pcap 파일을 연동하면 연동 시점의 시간대를 갖는다. 실제 패킷 발생 시간대가 아닌, 연동 시간대를 갖는 인덱스에 저장된다는 얘기. 마음에 안 듬

게다가 패킷 딜레이 시간까지 반영돼서 속도마저 느림. 이때 t 옵션을 주면 딜레이 시간을 무시할 수 있다. 훠얼씬 빠른 연동 가능.


특징이 하나 더 있는데, 실제 패킷 발생 시간대의 인덱스를 만들 수 있다. 다음은 연동 결과. 실제 패킷 발생 시간대인 2010년 데이터를 확인할 수 있다.


2010년을 보자. transaction 데이터가 확인된다.


2019년은 flow와 transaction 중 하나인 tls 데이터.


transaction은 원본 패킷 발생 시간대, flow는 연동 시간대에 기록됐다. 발생 추이를 실제 상황 비슷하게 보려면 transaction을 봐야 한다는 얘기. 근데 tls는 왜 flow랑 같이 있지? -_-

Packetbeat VS 원본

Wireshark의 'File > Export Packet Dissections > As CSV' 기능을 이용해서 CSV로 추출한 원본 pcap을 엘라스틱에 저장.


로그양 차이가 어마어마하다.


IP 발생 추이를 비교해보자. 먼저 출발지IP. 역시 원본과 차이가 너무 난다.


그런데 '목적지포트 = 80' 조건을 주니 거의 비슷. Packetbeat가 http 트랜잭션을 꽤 정확하게 수집했다는 얘기.


이번엔 목적지IP. 포트 조건을 주지 않아도 발생 추이가 비슷하다. Packetbeat가 수집한 트랜잭션 대부분이 http라 그런 듯.


포트 조건까지 주면 거의 일치.


다 좋은데 나머지 애플리케이션은 언제 지원할래?


관련 글

댓글 없음:

댓글 쓰기

크리에이티브 커먼즈 라이선스