In questo documento, sfrutteremo la visualizzazione dei dati raccolti dal nostro Elasticsearch, Per finire per vederli come no, a Grafana. Nei prossimi post faremo altri diversi tipi di visualizzazione che sono molto interessanti per capire cosa sta succedendo sulla nostra rete, oggi è il momento del formato Table.

L'idea è che in Elasticsearch stiamo memorizzando dati interessanti dalla nostra rete, Lo usiamo in particolare come collezionista di diversi tipi di dischi, Registri… di diverse tipologie, Essere dal firewall, di un Apache, di un IIS, di un suricato… Eventi di Windows…

Se vuoi avere qualche idea: In questo In questo documento, abbiamo visto come installare Meerkata, un IDS e IPS molto completo e open source; in Quest'altro In questo documento abbiamo già visto come installare Filebeat in Meerkat per reindirizzare & raccogliere i LOG nel nostro Elasticsearch, e, abbiamo anche visto un paio di visualizzazioni generiche con Grafana. In Quest'altro In questo documento, abbiamo visto come raccogliere le metriche di Windows e in Quest'altro raccogliamo gli eventi dal Visualizzatore eventi. Presto avremo altri documenti su come raccogliere i LOG di Fortigate, di una Active Directory, da MySQL, SQL…

Non male, E perché vogliamo un tavolo? Bene, per realizzare le nostre tabelle personalizzate con i campi che ci interessa vedere, lo stesso che possiamo visualizzare da Kibana quando scopriamo e usiamo query di tipo Lucene, beh, è lo stesso ma in Grafana, Semplificare alcuni dati di cui un collega ha bisogno, Possiamo dipingere i valori…

Una tabella che possiamo utilizzare per consultare (con dati storici o in tempo reale, quanto basta) Chi si connette con chi nella nostra rete, Per visualizzare le connessioni, Traffico di rete, Avvenimenti…

Il problema nasce perché in Grafana 7.x il pannello Tipo di tabella non offre l'opzione di “Trasformazione tabella” dove ci permette di scegliere i campi che vogliamo visualizzare, e questo in Grafana 5.x e 6.x ha funzionato altrettanto bene. Ora dobbiamo fare una ñapilla, creeremo una Dashboard in una Dashboard, e:

1. Seleziona dal display “Tavolo”,

2. Scegliamo DataSource (Elastic-Filebeat nel mio caso)

• Quesito: Abbiamo inserito la query che vogliamo visualizzare nel mio esempio, Tutti i log Apache del mio team GOD: “evento.modulo:apache E host.hostname: dio”
• Metrico: Selezionare “Documento non elaborato”

E applichiamo le modifiche con “Applicare”,

Seleziona il Pannello che abbiamo appena creato > “Ispezionare” > “Pannello JSON”. E lì:

• Trovare: “digitare”: “tavolo”,
• Lo sostituiamo con: “digitare”: “tavolo-vecchio”,

E applichiamo le modifiche da “Applicare”,

E avremo in “Opzioni” La parte di “Trasformazione tabella”, Selezionare “Dati JSON” e individualmente ogni campo che vogliamo visualizzare, oltre a “Stili di colonna” poter rinominare ogni colonna e la sua formattazione, così come i valori della pittura.

E poi anche le cose buone, è che possiamo filtrare in base ai dati che vediamo nella stessa tabella, Selezionando alcuni dati possiamo filtrarli, oppure in alto a sinistra abbiamo un campo dove possiamo fare filtri sui dati visualizzati se siamo interessati, In questo esempio ho messo “fonte.ip” e un IP che voglio sapere quanto e a cosa si connette, in questo caso quello che vediamo sono i LOG di un Apache.

E niente, Lì abbiamo la tabella con i campi e i filtri che ci interessano aggiornare automaticamente i dati.