Nutzung der Elasticsearch-Visualisierung in Grafana mit Sankey
In diesem Beitrag werden wir ein sehr interessantes Panel für Grafana sehen, ein Sankey-artiges Panel, Eine Möglichkeit zur Visualisierung (mit den Augen) Daten, die wir in Textform haben und indem wir eine Beziehung zwischen ihnen haben, Wir werden sie ausnutzen (Elasticsearch-Protokolle).
Das Beispiel, das wir in diesem Beitrag machen werden, wird darin bestehen, Daten zu visualisieren, die wir in unserer Elasticsearch sammeln, in diesem Fall Protokolle eines Apache, ein IIS, Eine Firewall… oder insbesondere mein IDS & Bevorzugtes IPS, Erdmännchen, wo wir unsere Netzwerkverbindungen sehen werden. Wer verbindet sich mit wem auf visuelle Weise? (Ursprünge & Flugziele), Gegen welchen Port, Die Top-Anschlüsse… Und so werden wir auf grafische Weise das Verhalten unseres Netzwerks kennen.
Brunnen, Du wirst sehen, dass das ist, Zuerst werden wir das wunderbare Sankey Panel in Grafana installieren:
cd /var/lib/grafana/plugins/ git clone https://github.com/kumaravel29/sankey-panel.git
Wir bearbeiten diese Grafana-Datei '/usr/share/grafana/public/views/index.html’ und auf der Linie 18 Oder da draußen in einem kleinen Loch, Hinzufügen:
<Skript-Typ="Text/JavaScript" src="https://www.gstatic.com/charts/loader.js"></Skript>
Und wir starten Grafana neu:
systemctl restart grafana-server
Und wir können ein Shankey-Panel hinzufügen, Wir werden berücksichtigen, dass wir zumindest 2 Zwei Amtszeiten, In diesem Beispiel für die Analyse von Netzwerkprotokollen verwenden wir: Quell-IP-Adressen (source.ip) und Ziel-IPs (destination.ip). Wie wir sehen können, werden wir 1 Metrik, die “Zählen” (Falls wir die Anzahl der Verbindungen sehen möchten) oder wir können einen anderen setzen, Zum Beispiel “Summe” und wählen Sie ein Feld mit Bytes aus, z. B. 'destination.bytes’ Und so sehen wir die Summe des Konsums und nicht die Zusammenhänge. Ganz nach dem Geschmack des Verbrauchers, Wenn wir Daten oder Verbindungen sehen möchten (unter anderem).
Oder wie ich schon sagte, Wir können nach mehreren Bedingungen gruppieren, und wenn wir wie im vorherigen Beispiel die Zielports (ziel.port) Wir werden nicht nur sehen können, mit welcher IP-Adresse es sich mit wem verbindet, wenn nicht auch gegen welchen Port.
Und dann, wenn wir es haben, Wir können diese Daten nach Belieben verwerten, Sehen Sie sich das Neueste an 24 Stunden, oder Woche, Wissen, wie sich unser Netzwerk verhält… oder visualisieren Sie direkt die letzte Minute und lassen Sie die Visualisierung alle X Sekunden selbst aktualisieren, So können wir auch in Echtzeit sehen, was passiert.
Wie gewöhnlich, In der Hoffnung, dass Sie es interessant finden und es in Ihren Umgebungen anwenden können, um sie besser kennenzulernen, Umarmungen an tod@s!