packetbeat

下载并安装实现libpcap接口的数据sniffing库，例如Npcap。

如果使用Npcap，请确保以WinPcap API兼容模式安装它。 如果您打算从loopback设备捕获流量（127.0.0.1流量），则还选择支持loopback流量的选项。

从下载页面下载Packetbeat Windows zip文件
将zip文件的内容提取到C:\Program Files
将packetbeat- <版本> -windows目录重命名为Packetbeat
以管理员身份打开PowerShell提示符（右键单击PowerShell图标，然后选择“以管理员身份运行”）。
在PowerShell提示符下，运行以下命令以将Packetbeat安装为Windows服务：

PS > cd ‘C:\Program Files\Packetbeat‘
PS C:\Program Files\Packetbeat> .\install-service-packetbeat.ps1
 请注意：如果在系统上禁用了脚本执行，则需要为当前会话设置执行策略以允许脚本运行。 例如：

PowerShell.exe -ExecutionPolicy UnRestricted -File .\install-service-packetbeat.ps1
在使用Packetbeat之前，我们必须配置Packetbeat才可以使它正常工作。在Packetbeat的安装目录下，有一个叫做packetbeat.yml的配置文件（针对Linux的情况，它位于/etc/packetbeat/目录下）。在最简单的情况下，我们必须修改：

.\packetbeat.exe devices   查看网卡信息写入yml

packetbeat.interfaces.device: 3

output.elasticsearch:
hosts: ["myEShost:9200"]
username: "filebeat_internal"
password: "YOUR_PASSWORD"
setup.kibana:
host: "mykibanahost:5601"
username: "my_kibana_user"
password: "YOUR_PASSWORD"
我们需要把Elasticsearch及Kibana的地址填入到上面的位置。这样我们我们就可以把数据传入到Elasticsearch中，并在Kibana中的Dashboard中进行展示。更多的配置请参阅Elastic的官方文档“Configure Packetbeat”。
.\packetbeat.exe setup --dashboards