elasticsearch TShark的Elasticsearch映射,elasticsearch,mapping,wireshark,packet,tshark,elasticsearch,Mapping,Wireshark,Packet,Tshark" /> elasticsearch TShark的Elasticsearch映射,elasticsearch,mapping,wireshark,packet,tshark,elasticsearch,Mapping,Wireshark,Packet,Tshark" />
Fatal编程技术网

elasticsearch TShark的Elasticsearch映射

mapping

elasticsearch TShark的Elasticsearch映射,elasticsearch,mapping,wireshark,packet,tshark,elasticsearch,Mapping,Wireshark,Packet,Tshark,今年2月15日,TShark增加了支持,通过选项-G elastic mapping为Elasticsearch生成映射文件。问题是我已经尝试过了,但是当您尝试放置生成的映射时,Elasticsearch会抱怨。有什么想法吗?(我使用的是Elasticsearch版本7.4)。使用-G elastic mapping选项生成的映射文件仅与5.X之前的Elasticsearch版本兼容。 在这里(),您可以看到,他们添加了此支持以生成映射,但当时它已用于旧版本。 请记住,由于映射文件可能很大,因此

今年2月15日,TShark增加了支持,通过选项
-G elastic mapping
为Elasticsearch生成映射文件。问题是我已经尝试过了,但是当您尝试
放置生成的映射时,Elasticsearch会抱怨。有什么想法吗?(我使用的是Elasticsearch版本7.4)。
使用
-G elastic mapping
选项生成的映射文件仅与5.X之前的Elasticsearch版本兼容。
在这里(),您可以看到,他们添加了此支持以生成映射,但当时它已用于旧版本。

请记住,由于映射文件可能很大,因此可以使用选项
--elastic mapping filter
选择协议。例如:


tshark -G elastic-mapping --elastic-mapping-filter ip,udp,dns


生成映射后,应针对较新版本对其进行修改。例如,JSON的结构已经改变,Elasticsearch会对此抱怨。首先删除
pcap\u文件
属性。

然后,您还需要按原样更改
字符串
类型。将它们更改为
关键字
类型

可能还有其他事情需要改变,但这些是主要的。之后,只需
放入
模板,就可以开始从TShark接收数据