Explotando la visualización de Elasticsearch en Grafana con Sankey

Inprimatzeko Lagunkoa, PDF eta Email

En este post veremos un Panel muy interesante para Grafana, un panel de tipo Sankey, una manera de visualizar (con los ojos) datos que tengamos en texto y al tener una relación entre ellos, los explotaremos (registros en Elasticsearch).

El ejemplo que haremos en este post, será visualizar datos que recopilamos en nuestro Elasticsearch, en este caso logs de un Apache, un IIS, un firewall… o en particular de mi IDS & IPS favorito, Suricata, donde veremos las conexiones de nuestra red. Quién conecta con quién de manera visual (orígenes & destinos), contra qué puerto, el top de conexiones… y así conoceremos de una manera gráfica el comportamiento de nuestra red.

Onena, veréis que esto está chupado, primero instalaremos el maravilloso Panel de tipo Sankey en Grafana:

cd /var/lib/grafana/plugins/
git clone https://github.com/kumaravel29/sankey-panel.git

Editamos este fichero de Grafana '/usr/share/grafana/public/views/index.html’ y en la línea 18 o por ahí ahí en un huequito, añadimos:

<script type="text/javascript" src="https://www.gstatic.com/charts/loader.js"></script>

Y reiniciamos Grafana:

systemctl restart grafana-server

Y ya podremos añadir un Panel de tipo Shankey, tendremos en cuenta que al menos agruparemos al menos 2 dos Términos, en este ejemplo de análisis de LOG de red usaremos: Direcciones IP Origen (source.ip) e IPs Destino (destination.ip). Como vemos tendremos 1 Métrica que puede ser “Count” (en el caso que queramos ver número de conexiones) o podemos poner otra, adibidez “Sum” eta 'destination.bytes' bezalako bytes-eko eremua aukeratuz’ eta beraz kontsumoaren batuketa ikusten dugu eta ez konekzioak. Kontsumitzailearen gustuaren arabera, datuak edo konekzioak ikusi nahi baditugu (beste batzuk artean).

edo afo esan da, termino gehiagoz taldekatzen ahal izango dugu, eta aurreko adibidean bezala Helbide Portuak gehitzen baditugu (destination.port) ez dugu ikusi nola IP helbidea norrekin konektatzen den bakarrik, baizik eta zein porturekin ere.

Eta gero, duenez, datuok nola nahi dugun esplota ditzakegu, justu azkenak ikusi 24 ordutegiak, edo astea, nola portaera duen gure sareak ezagutzen… edo zuzenean azken minutua ikusi eta ikuskizuna automatikoki freskatu dezan X segundotan, horrela denbora errealean zer gertatzen den ikusi dezakegu.

Betiko moduan, interesgarria iruditzen zaizuela espero dut eta zuen inguruneetan ezagutzeko aplikatu ahal izatea, besarkada guztiak!

Izenburuko mezuak

Windows-eko metrikak Prometheus eta Grafana-rekin
Irakurri
FortiGate-eko metrikak Prometheus eta Grafana-rekin
Irakurri
Ping-eko metrikak Prometheus eta Grafana-rekin
Irakurri
Prometheus despliega & Grafana
Irakurri

Egilea

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, ez zalantzarik izan nirekin harremanetan jartzeko, ahal duzun guztietan laguntzen saiatuko naiz, partekatu ahal dudan guztietan ;) . Dokumentuez gozatu!!!

Elasticsearch-en irudikapena Grafanarekin Worldmap-en azpiegituraz

28 apiriletik 2021

Elasticsearch-en irudikapena Grafanarekin Taula

6 de May de 2021