Explotando la visualización de Elasticsearch en Grafana con Worldmap

Bueno, y en esta ocasión vamos a explotar las direcciones IP que tenemos almacenadas en los índices de Elasticsearch, las visualizaremos en un Mapamundi y así comprenderemos de donde o hacía donde van nuestros datos.

 

Será muy común que en Elasticsearch estemos almacenando LOGs de distintos sistemas, sea un firewall de Fortigate, un servidor de Apache, un IIS, un IDS o IPS como es Suricata que analiza las conexiones de nuestra red… bueno, si tenemos direcciones IP públicas, podremos geolocalizarlas en un mapa del mundo precioso.

Nos servirá para por ejemplo ver en tiempo real desde dónde acceden a nuestra organización, o hacía donde accedemos, podemos además no sólo ver las conexiones entrantes/salientes, si no que también los datos transferidos y en base a eso que el circulillo sea más o menos grande o de otro color.

Bueno, la instalación es muy sencilla, desde la shell de Grafana lo instalamos & reiniciamos los servicios de Grafana:

grafana-cli plugins install grafana-worldmap-panel
service grafana-server restart

 

Y en Grafana, ya podremos crear un Panel de tipo Worldmap, donde conectando a nuestro origen de datos de Elasticsearch podamos visualizar los datos que nos interesen. Podéis ver en la imagen los datos de configuración.

 

Y por ejemplo, si tenemos un Firewall, con las consultas Lucene podremos hacer los mapas que nos interese, de tráfico de salida, de entrada, aceptado, denegado… por usuario si lo tenemos integrado en el Directorio Activo… por regla del FW…

 

Y lo dicho, si le ponemos auto refresh pues puede quedar chulo en una pantalla, donde veamos los clientes que acceden a nuestro sitio web, o lo que queramos visualizar que almacenemos en logs.