今年2月15日,TShark增加了对Elasticsearch生成映射文件的支持,选项为-G elastic-mapping。问题是我已经尝试过了,但是当您尝试PUT生成的映射时,Elasticsearch会抱怨。有什么想法吗?(我使用的是 Elasticsearch 7.4 版(。
使用-G elastic-mapping选项生成的映射文件仅与 5.X 之前的 Elasticsearch 版本兼容。 在这里(https://www.wireshark.org/news/20190215.html(,您可以看到他们添加了此支持来生成映射,但是当时它已经用于旧版本。
请记住,由于映射文件可能很大,因此可以使用选项--elastic-mapping-filter来选择协议。例如:
tshark -G elastic-mapping --elastic-mapping-filter ip,udp,dns
生成映射后,应针对较新版本对其进行修改。例如,JSON的结构已经改变,Elasticsearch会抱怨它。只需删除pcap_file属性作为第一件事。
然后,您还需要更改自版本 5.0 以来删除的string类型。将它们更改为keyword类型。
可能还有其他事情需要改变,但这些是主要的。之后,只需PUT模板,您就可以开始从 TShark 摄取数据。