Nutzung der Elasticsearch-Visualisierung in Grafana mit Table

In diesem Dokument werden wir die Visualisierung der von unserer Elasticsearch gesammelten Daten nutzen, um sie am Ende als nicht zu sehen, en Grafana. Wir werden in zukünftigen Beiträgen andere verschiedene Arten von sehr cooler Visualisierung durchführen, um zu verstehen, was in unserem Netzwerk passiert, Heute ist es das Tabellenformat.

Die Idee ist, dass wir in Elasticsearch interessante Daten aus unserem Netzwerk speichern, Wir verwenden es insbesondere als Sammler für verschiedene Arten von Datensätzen, logs… von verschiedenen Arten, Sean de Firewall, eines Apachen, eines IIS, eines Erdmännchens… die Ereignisse eines Windows…

Wenn Sie sich ein Bild machen wollen: in es ist Dokument Wir haben bereits gesehen, wie Suricata installiert wird, ein sehr vollständiges und Open Source IDS und IPS; in diese andere Dokument Wir haben bereits gesehen, wie Filebeat in Suricata installiert wird, um umzuleiten & Sammle die LOGs in unserer Elasticsearch, und, Wir haben auch einige generische Visualisierungen mit Grafana gesehen. in diese andere Dokument haben wir gesehen, wie man Metriken von Windows und in sammelt diese andere Wir sammeln Ereignisse in der Ereignisanzeige. In Kürze werden wir weitere Dokumente zum Sammeln von Fortigate-LOGs haben., eines Active Directory, de MySQL, SQL…

gut, Und warum wollen wir einen Tisch?? Um unsere benutzerdefinierten Tabellen mit den Feldern zu erstellen, die uns interessieren, siehe, Das gleiche, das wir von Kibana aus visualisieren können, wenn wir Abfragen vom Typ Lucene entdecken und verwenden, gut das gleiche aber in Grafana, Vereinfachung bestimmter Daten, die ein Kollege benötigt, wir können die Werte malen…

Eine Tabelle, die wir zum Abfragen verwenden können (mit historischer oder Echtzeit, schmecken) Wer verbindet sich mit wem in unserem Netzwerk?, Verbindungen anzeigen, Netzwerkverkehr, Geschehen…

Das Problem tritt auf, da in Grafana 7.x das Bedienfeld "Tabellentyp" die Option nicht bietet “Tabellentransformation” Hier können wir die Felder auswählen, die wir visualisieren möchten, und das in Grafana 5.x und 6.x hat so gut funktioniert. Jetzt müssen wir eine Napilla machen, Wir werden ein Panel in einem Dashboard erstellen, und:

1. Wir wählen Anzeige “Tabelle”,

2. Wir wählen die DataSource (Elastic-Filebeat in meinem Fall)

  • Abfrage: Wir haben die Abfrage, die wir visualisieren möchten, in mein Beispiel eingefügt, Alle Apache-Protokolle von meinem GOTT-Computer: “event.module:apache AND host.hostname: Gott”
  • Metrisch: wählen “Rohdokument”

Und wir wenden die Änderungen mit an “Sich bewerben”,

Wir wählen das Panel aus, das wir gerade erstellt haben > “Prüfen” > “Panel JSON”. Und da:

  • Wir werden suchen: “Art”: “Tabelle”,
  • Wir ersetzen es durch: “Art”: “Tisch alt”,

Und wir übernehmen die Änderungen von “Sich bewerben”,

Und wir werden in haben “Optionen” der Teil von “Tabellentransformation”, wählen “JSON-Daten” und individuell jedes Feld, das wir visualisieren möchten, außerdem in “Spaltenstile” Sie können jede Spalte und ihr Format umbenennen, sowie Malwerte.

Und dann auch das Gute, ist, dass wir nach den Daten filtern können, die wir in derselben Tabelle visualisieren, Wenn wir einige Daten auswählen, können wir sie filtern, oder im oberen linken Teil haben wir ein Feld, in dem wir bei Interesse Filter für die angezeigten Daten erstellen können, In diesem Beispiel habe ich gesetzt “Quell-IP” und eine IP, mit der ich wissen möchte, wie viel und womit sie verbunden ist, In diesem Fall sehen wir LOGs eines Apachen.

und nichts, Dort haben wir die Tabelle mit den Feldern und Filtern, die uns interessieren, und aktualisieren die Daten selbst.