Dans cet article, nous allons voir un panel très intéressant pour Grafana, un panneau de type Sankey, Une façon de visualiser (avec les yeux) données que nous avons dans le texte et en ayant une relation entre eux, Nous les exploiterons (Journaux Elasticsearch).

L’exemple que nous allons faire dans cet article, sera de visualiser les données que nous collectons dans notre Elasticsearch, dans ce cas, les logs d’un Apache, un IIS, Un pare-feu… ou notamment mon IDS & IPS préféré, Suricate, où nous verrons nos connexions réseau. Qui se connecte avec qui de manière visuelle (Origines & Destinations), Contre quel port, Les meilleures connexions… et ainsi nous connaîtrons de manière graphique le comportement de notre réseau.

Puits, Vous verrez que c’est nul, tout d’abord, nous installerons le magnifique panneau Sankey à Grafana:

cd /var/lib/grafana/plugins/ git clone https://github.com/kumaravel29/sankey-panel.git

Nous éditons ce fichier Grafana '/usr/share/grafana/public/views/index.html’ et sur la ligne 18 Ou là-bas dans un petit trou, Ajouter:

<type de script="texte/javascript" src="https://www.gstatic.com/charts/loader.js"></script>

Et nous redémarrons Grafana:

systemctl restart grafana-server

Et nous pouvons ajouter un panneau Shankey, nous prendrons en compte qu’au moins nous regrouperons au moins 2 Deux termes, Dans cet exemple d’analyse des journaux réseau, nous utiliserons: Adresses IP sources (source.ip) et adresses IP de destination (destination.ip). Comme nous pouvons le voir, nous aurons 1 Mesure qui peut être “Compter” (au cas où nous voudrions voir le nombre de connexions) ou on peut en mettre un autre, Par exemple “Somme” et choisissez un champ avec des octets tels que 'destination.bytes’ et ainsi nous voyons la somme de la consommation et non des connexions. Au goût du consommateur, si nous voulons voir les données ou les connexions (entre autres).

Ou comme je l’ai dit, Nous pouvons regrouper par plus de Conditions, et si nous ajoutons comme dans l’exemple précédent les ports de destination (destination.port) nous pourrons voir non seulement à quelle adresse IP il se connecte à qui, si ce n’est pas le cas, également contre quel port.

Et puis quand nous l’avons, Nous pouvons exploiter ces données à notre guise, Voir les dernières nouveautés 24 Heures, ou semaine, Savoir comment se comporte notre réseau… ou visualisez directement la dernière minute et faites en sorte que la visualisation s’actualise automatiquement toutes les X secondes, Ainsi, en temps réel, nous pouvons également voir ce qui se passe.

Comme d'habitude, en espérant que vous le trouvez intéressant et que vous puissiez l’appliquer dans vos environnements pour mieux les connaître, Câlins à tod@s!