Explotant la visualització d'Elasticsearch a Grafana amb Sankey

Print Friendly, PDF i correu electrònic

En este post veremos un Panel muy interesante para Grafana, un panel de tipo Sankey, una manera de visualizar (con los ojos) dades que tengamos en text i al tener una relació entre ells, los explotaremos (registros en Elasticsearch).

L'exemple que haremos en aquest post, visualizarà dades que recopilamos en el nostre Elasticsearch, en aquest cas logs de un Apache, un IIS, un tallafoc… o en particular de mi IDS & IPS favorito, Suricata, donde veremos las connexions de la nostra red. Quién conecta con quién de manera visual (orígenes & destins), contra qué puerto, el top de conexiones… i així coneixerem de manera gràfica el comportament de la nostra red.

Bo, veréis que esto está chupado, primero instalaremos el maravilloso Panel de tipo Sankey en Grafana:

cd /var/lib/grafana/plugins/
git clone https://github.com/kumaravel29/sankey-panel.git

Editamos este fichero de Grafana '/usr/share/grafana/public/views/index.html’ y en la línea 18 o por ahí ahí en un huequito, hi afegim:

<script type="text/javascript" src="https://www.gstatic.com/charts/loader.js"></script>

Y reiniciamos Grafana:

systemctl restart grafana-server

Y ya podremos añadir un Panel de tipo Shankey, tendremos en compte que al menos agruparemos al menos 2 dos Términos, en este ejemplo de análisis de LOG de red usaremos: Direcciones IP Origen (source.ip) e IPs Destino (destination.ip). Como vemos tendremos 1 Métrica que puede ser “Count” (en el cas que queramos ver número de conexiones) o podem poner otra, per exemple “Sum” i elegir un camp amb bytes com pot ser 'destination.bytes’ i així vemos el sumatori del consum y no connexions. Al gusto del consumidor, si volem veure dades o connexions (entre d' altres).

O el que s'ha dit, podremos agrupar por más Términos, i si agregamos com en l'exemple anterior los Puertos de Destino (destination.port) podremos veure no sólo qué direcció IP connecta amb quién, si no més contra qué puerto.

Y luego ya cuando lo tengamos, podremos explotar aquestes dades com més ens gusten, visualizar las últimas 24 hores, o semana, conocer cómo se comporta la nostra red… o visualitzar directament l'últim minut i que la visualització s'auto-refresque cada X segons, així en temps real també podem veure què passa.

Com sempre, esperant que els parezca interessant i podríem aplicar-lo en vuestros entorns per conèixer millor, ¡abrazos a tod@s!

Posts recomanats

Desplegant Prometheus & Grafana
Llegir
Mètriques de Windows amb Prometheus i Grafana
Llegir
Mètriques de Ping amb Prometheus i Grafana
Llegir
Mètriques de FortiGate amb Prometheus i Grafana
Llegir

Autor

by Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, no dubtis a contactar amb mi, us intentareu ajudar sempre que pugui, compartir és viure ;) . Gaudir dels documents!!!

Explotant la visualització d'Elasticsearch a Grafana amb Worldmap

28 d'April de 2021

Explotant la visualització d'Elasticsearch a Grafana amb Taula

6 de May de 2021