如何使用tsharkVM分析tshark的输出
输出 使用 如何 分析
2023-06-13 09:15:04 时间
关于tsharkVM
tsharkVM这个项目旨在构建一台虚拟机,以帮助广大研究人员分析tshark的输出结果。虚拟设备是使用vagrant构建的,它可以使用预安装和预配置的ELK堆栈构建Debian 10。
虚拟机启动之后,整个执行流程相对比较简单
解码pcap文件(tshark -T ek output / ndjson),该文件会通过“TCP/17570”发送至虚拟机; 虚拟机中的ELK堆栈将会处理并索引数据; Kibana会在虚拟机中运行,可以通过“http://127.0.0.1:15601/app/kibana#/dashboards”访问;
工具安装-如何在Ubuntu桌面系统上构建虚拟机
首先,我们需要使用下列命令将该项目源码克隆至本地:
git clone https://github.com/H21lab/tsharkVM.git
(向右滑动,查看更多)
接下来,使用下列命令构建tsharkVM:
sudo apt update
sudo apt install tshark virtualbox vagrant
vagrant plugin install vagrant-disksize
vagrant plugin install vagrant-scp
bash ./build.sh
然后,下列命令可以将pcap文件上传至虚拟机:
# 复制pcap文件至./Trace
# 上传pcap文件(含文件名)
bash upload_pcaps_with_filenames.sh
# 或者使用“vagrant scp”将ndjson文件拷贝至/home/vagrant/inpu
# 或者直接上传pcap文件(无文件名)
bash upload_pcaps.sh
# 或者直接使用tshark转发至127.0.0.1 17570/tcp
tshark -r trace.pcapng -x -T ek > /dev/tcp/localhost/17570
(向右滑动,查看更多)
使用浏览器打开Kibana:
firefox http://127.0.0.1:15601/app/kibana#/dashboards
(向右滑动,查看更多)
打开程序主仪表盘后,就可以查看到这些pcap文件了。
工具使用
SSH连接到虚拟机
cd ./VM
vagrant ssh
删除虚拟机
cd ./VM
vagrant destroy default
开启虚拟机
cd ./VM
vagrant up
挂起虚拟机
cd ./VM
vagrant halt
SSH连接至虚拟机并检测ELK是否正常运行
cd ./VM
vagrant ssh
sudo systemctl status kibana.service
sudo systemctl status elasticsearch.service
sudo systemctl status logstash.service
(向右滑动,查看更多)
Elasticsearch映射模板
这个项目还给大家提供了简单的Elasticsearch映射模板,主要针对的是frame、eth、ip、udp、tcp、dhcp协议。如需处理其他额外的协议,我们可以根据自己的需要并以下列方式映射模板:
# 1. 创建自定义映射,选择所需的协议
tshark -G elastic-mapping --elastic-mapping-filter frame,eth,ip,udp,tcp,dns > ./Kibana/custom_tshark_mapping.json
# 2. 消除重复数据并对映射进行后期处理,以适应当前Elasticsearch版本
ruby ./Public/process_tshark_mapping_json.rb
# 3. 上传文件至虚拟机
cd VM
vagrant upload ../Kibana/custom_tshark_mapping_deduplicated.json /home/vagrant/tsharkVM/Kibana/custom_tshark_mapping_deduplicated.json
cd ..
# 4. 连接虚拟机并上传模板
cd VM
vagrant ssh
cd tsharkVM/Kibana
curl -X PUT "localhost:9200/_index_template/packets_template" -H 'Content-Type: application/json' -d@custom_tshark_mapping_deduplicated.json
(向右滑动,查看更多)
或者我们也可以使用动态映射的方式,具体可以查看
“./Kibana/template_tshark_mapping_dynamic.json”。
(向右滑动,查看更多)
许可证协议
本项目的开发与发布遵循Apache License v2.0开源许可证协议。
项目地址
tsharkVM:https://github.com/H21lab/tsharkVM
相关文章
- 结构建模设计——Solidworks软件之绘制一个手机支架模型,使用3D打印技术输出实物的全流程实战
- 2022-09-09:给定一个正整数 n,返回 连续正整数满足所有数字之和为 n 的组数 。 示例 1:输入: n = 5输出:
- 2022-09-18:以下go语言代码输出什么?A:1;B:15;C:panic index out of range;D:do
- print和println和printf的区别_print输出格式
- 2022-12-09:上升的温度。以下的数据输出2和4,2015-01-02 的温度比前一天高(10 -> 25),2015-01-04 的温度比前一天高(20
- 关于unsigned char、unsigned short使用printf(“%d”)进行输出的结果详解编程语言
- 使用Linux控制台实现输出功能(linux控制台输出)
- 使用>>符号在Linux中输出信息(linux中的符号)
- Linux操作系统:将屏幕输出保存到文件中(linux屏幕输出到文件)
- MySQL中如何使用echo输出内容(mysql中echo)
- 使用Redis记录输出日志文件(redis 输出日志文件)
- Redis指定Log输出路径的实现方式(redis设置log路径)
- 新基建的背后是什么?智慧城市!听听6位大佬的最强输出|CCF-GAIR 2020
- 使用XSL将XML文档中的CDATA注释输出为HTML文本
- php中ob(OutputBuffer输出缓冲)函数使用方法
- PHP输出缓存详解
- 按上下级层次关系输出内容的PHP代码
- phpprintf输出格式使用说明
- perl的格式化(Format)报表输出实现代码
- C++如何用cout输出hex,oct,dec的解决方法
- jquery等宽输出文字插件使用介绍
- C++输出斐波那契数列的两种实现方法
- 教你如何使用PHP输出中文JSON字符串
- ContentType控制输出的类型是否区分大小写
- PHP使用range协议实现输出文件断点续传代码实例