Мы занимаемся xранением и архивацией данных уже много лет. Совместимость данных — это проблема номер один!.. Номер два — это юридический аспект, кому принадлежат права.
Да, первая фильтрация происходит на уровне libpcap. Выбираются пакеты, которые как порт отравителя или порт получателя имеют указанный в конфигурационном файле порт. Следующий уровень фильтрации происходит на уровне протокола — обрабатываются пакеты соответствующие спецификации протокола. В ES отправляются только json-варианты пакетов, Но агрегация, типа сума переданных байтов, происходит на стороне ES.
Решение правильное, а вывод — нет. Правильно настроить кеш не тривиальная задача и во многих случаях правильнее отдать память операционной системе — пусть она управляет кеш-ом.
packetbeat съедает порядка 10% CPU. Какое количество пакетов остаётся пропущенными, сказать пока не могу. Но так-как в основе лежит libpcap, то потери будут одинаковые с аналогичными инструментами, как tcpdump или wireshark. В отличии от wireshark, не создаётся временный файл и, соответственно, packetbeat не зависит от свободного места на диске. Мы смотрим NFS-трафик всего лишь неделю. Проблем пока не замечено, но всё возможно ещё впереди.
rfc5661#13.5 конечно говорит о «Data-server-level multipathing is used for bandwidth scaling via trunking and for higher availability», однако у клиента нет никакой информации о том разные ли это интерфейсы и о их качественных характеристиках (скорость, задержки). Это всего лишь лист IP адресов по которым можно достучатся до сервера
И функционально, и никаких непонятных команд, типа 'ls -1'.
Магическое число семь плюс-минус два
The Magical Number Seven, Plus or Minus Two
+1
Можно поставить бинарник и дешборд из Packetbeat 5.0.0-alpha5.
Самое страшное это проекты где есть и табы, и пробелы!