1. 背景

根据 网络安全系列-四十三:使用Suricata分析恶意流量pcap文件一文，你可以使用Suricata针对恶意流量pcap进行分析，产生eve.json的分析结果， 那如何针对这些分析结果进行可视化展示呢?

本文使用Filebeat的suricata 模块读取eve.json分析结果并写到elasticsearch，最后由kibana进行可视化展示

2. 相关软件介绍

2.1. filebeat介绍

Beats 在ELK框架中是一个轻量型数据采集器。

• 早期的 ELK 架构中使用 Logstash 收集、解析日志，但是 Logstash 对内存、cpu、io 等资源消耗比较高。相比 Logstash，Beats 所占系统的 CPU 和内存几乎可以忽略不计
• Beats 是一个免费且开放的平台，集合了多种单一用途数据采集器。它们从成百上千或成千上万台机器和系统向 Logstash 或 Elasticsearch 发送数据
  • Filebeat: 用于采集日志和其他数据的轻量型采集器，使用参见filebeat文档
  • Metricbeat: 轻量型指标数据采集器
  • Packetbeat: 轻量型网络数据采集器
  • Winlogbeat: 轻量型 Windows 事件日志采集器
  • Auditbeat: 轻量型审计数据采集器
  • Heartbeat: 用于运行状态监测的轻量型采集