Nutzung der Elasticsearch-Visualisierung in Grafana mit Sankey

In diesem Beitrag sehen wir ein sehr interessantes Panel für Grafana, ein Sankey-Typ-Panel, eine Möglichkeit zu visualisieren (mit den Augen) Daten, die wir im Text haben und eine Beziehung zwischen ihnen haben, wir werden sie ausnutzen (meldet sich in Elasticsearch an).

Das Beispiel, das wir in diesem Beitrag machen werden, visualisiert Daten, die wir in unserer Elasticsearch sammeln, in diesem Fall Protokolle eines Apachen, ein US, un Firewall… oder insbesondere meine IDS & Lieblings-IPS, Suricata, wo wir die Verbindungen unseres Netzwerks sehen werden. Wer verbindet sich visuell mit wem? (Herkunft & Ziele), gegen welchen Hafen, die Oberseite der Verbindungen… und so werden wir das Verhalten unseres Netzwerks grafisch kennen.

gut, Sie werden sehen, dass dies gesaugt wird, Zuerst werden wir das wundervolle Sankey Type Panel in Grafana installieren:

cd / var / lib / grafana / plugins /
Git-Klon https://github.com/kumaravel29/sankey-panel.git

 

Editamos est fichero de Grafana '/usr/share/grafana/public/views/index.html’ und auf der Linie 18 oder da draußen in einem kleinen Loch, wir hinzufügen:

<Skripttyp ="Text / Javascript" src ="https://www.gstatic.com/charts/loader.js"></Skript>

 

Und wir starten Grafana neu:

systemctl grafana-server neu starten

 

Und wir können jetzt ein Shankey-Panel hinzufügen, wir werden berücksichtigen, dass wir zumindest mindestens gruppieren werden 2 zwei Begriffe, In diesem Beispiel für eine Netzwerk-LOG-Analyse werden wir verwenden: Quell-IP-Adressen (Quell-IP) und IPs Schicksal (Ziel-IP). Wie wir sehen, werden wir haben 1 Metrik, die sein kann “Anzahl” (für den Fall, dass wir die Anzahl der Verbindungen sehen wollen) oder wir können einen anderen setzen, zum Beispiel “Summe” und wählen Sie ein Feld mit Bytes wie "destination.bytes"’ und so sehen wir die Summe des Verbrauchs und nicht der Verbindungen. Nach dem Geschmack des Verbrauchers, wenn wir Daten oder Verbindungen sehen wollen (unter anderem).

 

oder sagte, Wir können nach weiteren Begriffen gruppieren, und wenn wir die Zielports wie im vorherigen Beispiel hinzufügen (Zielhafen) Wir werden nicht nur sehen können, welche IP-Adresse mit wem verbunden ist, wenn nicht auch gegen welchen port.

 

Und dann, wenn wir es haben, Wir können diese Daten so nutzen, wie es uns am besten gefällt, Sehen Sie sich die neuesten an 24 Stunden, die Woche, wissen, wie sich unser Netzwerk verhält… oder direkt die letzte Minute anzeigen und dass die Anzeige alle X Sekunden automatisch aktualisiert wird, So können wir in Echtzeit auch sehen, was passiert.

wie immer, Ich hoffe, Sie finden es interessant und können es in Ihrer Umgebung anwenden, um sie besser kennenzulernen, Umarmt alle!