想找一个能够在线解析TCP包的方案,看了一下ELK的插件,估计以下插件可以作为备选方案,先记录意一下 ,
https://github.com/purbon/logstash-input-pcap
https://www.elastic.co/guide/en/logstash/current/plugins-inputs-tcp.html
https://www.elastic.co/guide/en/logstash/current/plugins-inputs-udp.html
后面需要自己再写一个可以对TCP包中私有协议进行解析和跨包关键字匹配的工具。