Explorando a visualização do Elasticsearch no Grafana com tabela

Impressão amigável, PDF & Email

Neste documento, vamos explorar a visualização dos dados que nosso Elasticsearch coleta, Acabar vendo-os como não, em Grafana. Em posts futuros faremos outros tipos diferentes de visualização que são muito legais para entender o que está acontecendo em nossa rede, hoje é hora do formato de tabela.

A ideia é que no Elasticsearch estejamos armazenando dados interessantes de nossa rede, nós o usamos particularmente como um colecionador de diferentes tipos de registros, Logs… de diferentes tipos, Seja do firewall, de um Apache, de um IIS, de um suricata… Eventos do Windows…

Se você quiser ter algumas ideias: Em este Neste documento, vimos como instalar o Meerkata, um IDS e IPS muito completo e de código aberto; em Este outro Neste documento já vimos como instalar o Filebeat no Meerkat para redirecionar & coletar os LOGs em nosso Elasticsearch, e, também vimos algumas visualizações genéricas com o Grafana. Em Este outro Neste documento, vimos como coletar métricas do Windows e em Este outro coletamos os eventos do Visualizador de Eventos. Em breve teremos mais documentos sobre como coletar LOGs do Fortigate, de um Active Directory, do MySQL, SQL…

Nada mau, E por que queremos uma mesa? Bem, para fazer nossas tabelas personalizadas com os campos que estamos interessados em ver, o mesmo que podemos visualizar no Kibana quando descobrimos e usamos consultas do tipo Lucene, bem, é o mesmo, mas no Grafana, simplificando certos dados que um colega precisa, Podemos pintar os valores…

Uma tabela que podemos usar para consultar (com histórico ou em tempo real, a gosto) Quem se conecta com quem em nossa rede, Para visualizar conexões, Tráfego de rede, Eventos…

O problema surge porque no Grafana 7.x o painel do tipo Tabela não traz a opção de “Transformação de tabela” onde nos permite escolher os campos que queremos visualizar, e isso no Grafana 5.x e 6.x funcionou tão bem. Agora temos que fazer uma ñapilla, vamos criar um Dashboard em um Dashboard, e:

1. Selecionar a partir do visor “Mesa”,

2. Escolhemos DataSource (Elastic-Filebeat no meu caso)

  • Consulta: Colocamos a consulta que queremos exibir no meu exemplo, Todos os logs do Apache da minha equipe GOD: “evento.módulo:apache E host.hostname: deus”
  • Métrica: Selecionar “Documento bruto”

E aplicamos as alterações com “Aplicar”,

Selecione o painel que acabamos de criar > “Inspecionar” > “Painel JSON”. E lá:

  • Encontrar: “tipo”: “mesa”,
  • Nós o substituímos por: “tipo”: “tabela velha”,

E aplicamos as mudanças de “Aplicar”,

E teremos em “Opções” A parte de “Transformação de tabela”, Selecionar “Dados JSON” e individualmente cada campo que queremos visualizar, além de “Estilos de coluna” podendo renomear cada coluna e sua formatação, bem como valores de pintura.

E então as coisas boas também, é que podemos filtrar pelos dados que vemos na mesma tabela, Ao selecionar alguns dados, podemos filtrá-los, ou no canto superior esquerdo temos um campo onde podemos fazer filtros nos dados visualizados se estivermos interessados, Neste exemplo, coloquei “fonte.ip” e um IP que eu quero saber quanto e a que ele se conecta, neste caso, o que vemos são LOGs de um Apache.

E nada, Lá temos a tabela com os campos e filtros que estamos interessados em atualizar automaticamente os dados.

Postagens recomendadas

Métricas de ping com Prometheus e Grafana
Ler
Métricas FortiGate com Prometheus e Grafana
Ler
Regras e alertas com ElastAlert 2
Ler
Métricas do Windows com Prometheus e Grafana
Ler

Autor

por Héctor Herrero 
nheobug@bujarra.com
Autor del blog Bujarra.com Cualquier necesidad que tengas, Não hesite em contactar-me, Vou tentar ajudá-lo sempre que puder, Compartilhar é viver ;) . Desfrute de documentos!!!

Explorando a visualização do Elasticsearch no Grafana com Sankey

4 de Maio de 2021

Um podcast para TI - PowerShell para administradores de TI

10 de Maio de 2021