In diesem Dokument werden wir die Visualisierung der Daten nutzen, die unsere Elasticsearch sammelt, Um sie am Ende als Nein zu sehen, in Grafana. In zukünftigen Beiträgen werden wir andere verschiedene Arten von Visualisierungen machen, die sehr cool sind, um zu verstehen, was in unserem Netzwerk passiert, heute ist es Zeit für das Tabellenformat.

Die Idee ist, dass wir in Elasticsearch interessante Daten aus unserem Netzwerk speichern, Wir nutzen es insbesondere als Sammler verschiedener Arten von Schallplatten, Baumstämme… verschiedener Typen, Von der Firewall sein, eines Apachen, eines IIS, eines Erdmännchens… Windows-Ereignisse…

Wenn Sie ein paar Ideen bekommen wollen: In das In diesem Dokument haben wir gesehen, wie man Meerkata installiert, ein sehr vollständiges und quelloffenes IDS und IPS; in Dieser andere In diesem Dokument haben wir bereits gesehen, wie man Filebeat in Meerkat installiert, um umzuleiten & Sammeln Sie die LOGs in unserer Elasticsearch, und, Wir haben auch ein paar generische Visualisierungen mit Grafana gesehen. In Dieser andere In diesem Dokument haben wir gesehen, wie Sie Windows-Metriken erfassen und in Dieser andere Wir erfassen die Ereignisse aus der Ereignisanzeige. Wir werden bald weitere Dokumente zum Sammeln von Fortigate LOGs haben, eines Active Directory, von MySQL, SQL…

Nicht schlecht, Und warum wollen wir einen Tisch? Nun, um unsere personalisierten Tabellen mit den Feldern zu erstellen, die uns interessieren, dasselbe, was wir uns von Kibana aus vorstellen können, wenn wir Lucene-artige Abfragen entdecken und verwenden, naja, das ist dasselbe, aber in Grafana, Vereinfachung bestimmter Daten, die ein Kollege benötigt, Wir können die Werte malen…

Eine Tabelle, die wir konsultieren können (mit historischen oder Echtzeit-, al gusto) Wer verbindet sich mit wem in unserem Netzwerk?, So zeigen Sie Verbindungen an, Netzwerkverkehr, Ereignisse…

Das Problem tritt auf, weil in Grafana 7.x das Bedienfeld "Tabellentyp" nicht die Option "Folgendes" bietet: “Tabellen-Transformation” wo wir die Felder auswählen können, die wir anzeigen möchten, und das hat in Grafana 5.x und 6.x genauso gut funktioniert. Jetzt müssen wir eine ñapilla machen, Wir erstellen ein Dashboard in einem Dashboard, und:

1. Aus Anzeige auswählen “Tisch”,

2. Wir entscheiden uns für DataSource (Elastic-Filebeat in meinem Fall)

• Frage: Wir haben die Abfrage, die wir anzeigen möchten, in mein Beispiel eingefügt, Alle Apache-Protokolle von meinem Team GOD: “event.module:apache UND host.hostname: Gott”
• Metrik: Auswählen “Rohdokument”

Und wir wenden die Änderungen mit “Anwenden”,

Wählen Sie das Panel aus, das wir gerade erstellt haben > “Inspizieren” > “Panel-JSON”. Und da:

• Finden: “Art”: “Tisch”,
• Wir ersetzen es durch: “Art”: “Tisch-alt”,

Und wir wenden die Änderungen von “Anwenden”,

Und wir werden in “Optionen” Der Teil von “Transformation von Tabellen”, Auswählen “JSON-Daten” und jedes Feld individuell visualisieren wollen, Zusätzlich zu “Spalten-Stile” In der Lage sein, jede Spalte und ihre Formatierung umzubenennen, sowie Malwerte.

Und dann auch noch die guten Sachen, ist, dass wir nach den Daten filtern können, die wir in derselben Tabelle sehen, Durch Auswahl einiger Daten können wir sie filtern, Oder auf der oberen linken Seite haben wir ein Feld, in dem wir Filter für die visualisierten Daten erstellen können, wenn wir interessiert sind, In diesem Beispiel habe ich “source.ip” und eine IP, von der ich wissen möchte, wie viel und womit sie verbunden ist, in diesem Fall sehen wir die LOGs eines Apache.

Und nichts, Dort haben wir die Tabelle mit den Feldern und Filtern, für die wir die Daten automatisch aktualisieren möchten.