Bo, i en aquesta ocasió vam explotar les adreces IP que tenim emmagatzemades en els índexs d'Elasticsearch, les visualitzarem en un Mapamundi i així comprenem d'on o feia on van les nostres dades.

Serà molt comú que a Elasticsearch estem emmagatzemant LOGs de diferents sistemes, sigui un firewall de Fortigate, un servidor d'Apache, un IIS, un IDS o IPS com és Suricata que analitza les connexions de la nostra xarxa… bo, si tenim adreces IP públiques, podrem geolocalitzar-les en un mapa del món preciós.

Ens servirà per exemple veure en temps real des d'on accedeixen a la nostra organització, o feia on accedeixen, podem a més no només veure les connexions entrants/sortints, si no que també les dades transferides i en base a això que el circulet sigui més o menys gran o d'un altre color.

Bo, la instal·lació és molt senzilla, des de la shell de Grafana l'instal·lem & reiniciem els serveis de Grafana:

grafana-cli plugins install grafana-worldmap-panel service grafana-server restart

I a Grafana, ja podrem crear un Panell de tipus Worldmap, on connectant al nostre origen de dades d'Elasticsearch puguem visualitzar les dades que ens interessin. Podeu veure a la imatge les dades de configuració.

I per exemple, si tenim un Firewall, amb les consultes Lucene podrem fer els mapes que ens interessi, de trànsit de sortida, d' entrada, acceptat, denegat… per usuari si el tenim integrat en el Directori Actiu… per regla del FW…

I el dit, si li posem auto refresh doncs pot quedar xulo en una pantalla, on vegem els clients que accedeixen al nostre lloc web, o el que vulguem visualitzar que emmagatzemem en logs.