Poço, e desta vez vamos explorar os endereços IP que armazenamos nos índices do Elasticsearch, vamos visualizá-los em um Mapa Mundial e, assim, vamos entender de onde nossos dados estão indo ou para onde estão indo.

Será muy común que en Elasticsearch estemos almacenando LOGs de distintos sistemas, sea un firewall de Fortigate, un servidor de Apache, un IIS, un IDS o IPS como es Suricata que analiza las conexiones de nuestra red… Poço, si tenemos direcciones IP públicas, podremos geolocalizarlas en un mapa del mundo precioso.

Nos servirá para por ejemplo ver en tiempo real desde dónde acceden a nuestra organización, o hacía donde accedemos, podemos además no sólo ver las conexiones entrantes/salientes, si no que también los datos transferidos y en base a eso que el circulillo sea más o menos grande o de otro color.

Poço, la instalación es muy sencilla, desde la shell de Grafana lo instalamos & reiniciamos los servicios de Grafana:

grafana-cli plugins install grafana-worldmap-panel
service grafana-server restart

E no Grafana, ya podremos crear un Panel de tipo Worldmap, donde conectando a nuestro origen de datos de Elasticsearch podamos visualizar los datos que nos interesen. Podéis ver en la imagen los datos de configuración.

Y por ejemplo, si tenemos un Firewall, con las consultas Lucene podremos hacer los mapas que nos interese, de tráfico de salida, de entrada, aceptado, denegado… por usuario si lo tenemos integrado en el Directorio Activo… por regla del FW…

E o que eu disse, si le ponemos auto refresh pues puede quedar chulo en una pantalla, donde veamos los clientes que acceden a nuestro sitio web, o lo que queramos visualizar que almacenemos en logs.