ELK Stack – Kibana Filebeat Dashbords

Published by Lello on

Kibana è una collezione di visualizzazioni, ricerche e mappe (in real-time); la fonte da cui Kibana preleva i dati è il motore Elasticsearch; i data-injector sono i Beats (tra cui Filebeat).

Con Kibana è possibile:

  • aggiungere visualizzazioni, ricerche salvate e mappe per analisi side-by-side;
  • disporre gli elementi della dashboard per creare visualizzazioni personalizzate;
  • customizzare i range degli intervalli di tempo da visualizzare;
  • ispezionare e modificare gli elementi del dashboard per scoprire esattamente quale tipo di dati viene visualizzato

Analizzeremo di seguito una serie di dashboard built-in. Quando viene installato Filebeat, viene creato sia un index-pattern (filebeat-*) su dati raccolti e conservati in Elasticsearch, sia delle dashboards per la visualizzazione dei dati basati su tale indice. Vi rimandiamo al post relativo per vedere come creare index-pattern e dashboards.

Ricordiamo che i moduli indicati nei post successivi sono compatibili con lo schema ECS di Elastic, uno schema open source sviluppato con il supporto della community degli utenti Elastic. ECS definisce un insieme comune di campi da utilizzare durante la memorizzazione dei dati degli eventi in Elasticsearch, come registri e metriche.

Per accedere alla dashboard di Kibana, apriamo un browser e puntiamo all’indirizzo:

http://192.168.xxx.xxx:5601

Dopo esserci autenticati tramite username e password, navighiamo nella sezione Discover (nella sezione di sinistra vedremo tutte le sezioni presenti tra cui la Discover), e verifichiamo che l’indice selezionato sia filebeat-* per poter analizzare i dati inviati da Filebeat.

Altre informazioni presenti nella pagina principale di Kibana sono:

  • nella sezione di sinistra l’indice su cui stiamo lavorando e i campi disponibili per effettuare le query:
  • in alto il campo in cui inserire la query per effettuare le ricerche utilizzando il linguaggio KQL (Kibana Query Language) e il filtro per scegliere/applicare l’intervallo temporale alla nostra ricerca;
  • nella sezione di destra un grafico che indica l’andamento dei dati ricevuti e i dettagli dei ultimi record ricevuti nell’intervallo temporale selezionato.

Kibana Discover

 

Nella sezione Dashboard, possiamo aprire le dashboard built-in o crearne di nuove.

Nei post successivi analizzaremo le seguenti dashboard built-in:

  • [Filebeat System] Syslog dashboard ECS
  • [Filebeat Apache] Access and error logs ECS
  • [Filebeat Netflow]

 

← ELK Stack – Filebeat Moduli

ELK Stack – Kibana Filebeat Dashbords (Syslog) →

Categories: LinuxSecurityTechnology
Tags:

1 Comment

OpenSearch e OpenSearch Dashboard – Anthesia.NET · 15/04/2021 at 10:51

[…] ELK Stack – Kibana Filebeat Dashbords […]

Comments are closed.

Related Posts

RedHat - AlmaLinux - Rocky
Cultura

RedHat blocca l’accesso ai sorgenti di RHEL

Con un comunicato del 21 Giugno a firma del suo vicepresidente Mike McGrath, RedHat blocca l’accesso ai sorgenti di RHEL a terzi. Il codice sorgente verrà reso disponibile, tramite il RedHat Customer Portal, solo per Read more…

information security
Cultura

… e 100.000 !!!

Sono passati circa 2 anni da quando ho iniziato a comunicare quasi per gioco ad AbuseIPDB gli indirizzi IP che cercano di effettuare tentativi fraudolenti verso alcuni server (circa una ventina, non critici) che gestisco Read more…

Apache Guacamole
Linux

Apache Guacamole – Database

Espandiamo le capacità di Apache Guacamole utilizzando come back-end di autenticazione un Database Server. In questo post utilizziamo come back-end MySQL/MariaDB. Apache Guacamole supporta diversi database: MySQL, MariaDB, PostgreSQL, MS SQL Server o altri tramite Read more…