Dans ce document, nous allons exploiter la visualisation des données que notre Elasticsearch collecte, Pour finir par les voir comme non, à Grafana. Dans les prochains articles, nous ferons d’autres types de visualisation qui sont très cool pour comprendre ce qui se passe sur notre réseau, aujourd’hui, c’est l’heure du format Tableau.

L’idée est que dans Elasticsearch, nous stockons des données intéressantes de notre réseau, Nous l’utilisons particulièrement comme collectionneur de différents types de disques, Journaux… de différents types, Être du pare-feu, d’un Apache, d’un IIS, d’un suricate… Événements Windows…

Si vous voulez avoir des idées: Dans ceci Dans ce document, nous avons vu comment installer Meerkata, un IDS et IPS très complet et open source; dans Cet autre Dans ce document, nous avons déjà vu comment installer Filebeat dans Meerkat pour rediriger & collecter les LOG dans notre Elasticsearch, et, nous avons également vu quelques visualisations génériques avec Grafana. Dans Cet autre Dans ce document, nous avons vu comment collecter des métriques Windows et dans Cet autre nous collectons les événements à partir de l’Observateur d’événements. Nous aurons bientôt plus de documents sur la façon de collecter les LOG Fortigate, d’un Active Directory, à partir de MySQL, SQL…

Pas mal, Et pourquoi voulons-nous une table? Eh bien, pour faire nos tableaux personnalisés avec les champs qui nous intéressent, la même que celle que nous pouvons visualiser à partir de Kibana lorsque nous découvrons et utilisons des requêtes de type Lucene, bon, c’est la même chose mais à Grafana, Simplifier certaines données dont un collègue a besoin, Nous pouvons peindre les valeurs…

Un tableau que nous pouvons consulter (avec des données historiques ou en temps réel, Au goût) Qui se connecte avec qui dans notre réseau, Pour afficher les connexions, Trafic réseau, Épreuves…

Le problème vient du fait que dans Grafana 7.x, le panneau de type Table n’apporte pas l’option de “Transformation de table” où il nous permet de choisir les champs que nous voulons afficher, et cela dans Grafana 5.x et 6.x a tout aussi bien fonctionné. Maintenant, nous devons faire une ñapilla, nous allons créer un tableau de bord dans un tableau de bord, et:

1. Sélectionner à partir de l’écran “Table”,

2. Nous choisissons DataSource (Elastic-Filebeat dans mon cas)

• Requête: Nous mettons la requête que nous voulons afficher dans mon exemple, Tous les logs Apache de mon équipe GOD: “événement.module:apache ET host.hostname: Dieu”
• Métrique: Choisir “Document brut”

Et nous appliquons les modifications avec “Appliquer”,

Sélectionnez le panneau que nous venons de créer > “Inspecter” > “Panneau JSON”. Et là:

• Trouver: “type”: “table”,
• Nous le remplaçons par: “type”: “table-vieille”,

Et nous appliquons les modifications de “Appliquer”,

Et nous aurons dans “Options” La part de “Table Transformation”, Choisir “Données JSON” et individuellement chaque champ que nous voulons visualiser, en plus de “Styles de colonnes” Pouvoir renommer chaque colonne et sa mise en forme, ainsi que les valeurs de peinture.

Et puis les bonnes choses aussi, est que nous pouvons filtrer par les données que nous voyons dans le même tableau, En sélectionnant certaines données, nous pouvons les filtrer, Ou en haut à gauche, nous avons un champ où nous pouvons faire des filtres sur les données visualisées si nous sommes intéressés, Dans cet exemple, j’ai mis “source.ip” et une adresse IP dont je veux savoir à combien et à quoi elle se connecte, dans ce cas, ce que nous voyons sont les LOG d’un Apache.

Et rien, Là, nous avons la table avec les champs et les filtres qui nous intéressent pour actualiser automatiquement les données.