ELK Stack – Kibana Filebeat Dashbords (Syslog)

Published by Lello on

Apriamo la dashboard Syslog per analizzare i log inviati da Filebeat dei sistemi su cui è stato installato e configurato.

Per fare ciò, apriamo il modulo dashboard e nel campo di ricerca inseriamo:

[Filebeat System] Syslog dashboard ECS

Kibana Dashboard

Nel risultato presentato, clicchiamo sulla voce [Filebeat System] Syslog dashboard ECS; otterremo una dashboard simile alla seguente:

Kibana Syslog

Possiamo notare come la dashboard sia in realtà composta da 4 sottosezioni:

  • Syslog
  • Sudo commands
  • SSH logins
  • New users and groups

Di default ci viene proposta la sottosezione Syslog; cliccando su SSH logins, potremo vedere la sottosezione relativa:

Kibana SSH

In questa sezione, vengono presentati graficamente i tentativi di accesso SSH (suddivisi tra Accepted e Failed, tra tentativi fatti con autenticazione tramite chiavi o tramite password); per gli accessi falliti, avremo a disposizione la lista degli utenti che hanno provato ad accedere ed una mappa georeferenziata che ci mostra i luoghi del mondo da cui tali tentativi hanno avuto origine. In fondo alla pagina è presente  il dettaglio degli eventi (time, event, method, username, source.ip e source.geo.country_iso_code).

Ma se volessimo vedere solo gli accessi SSH aventi come sorgenti l’indirizzo IP 192.168.xxx.xxx? È molto semplice: posizioniamoci nella barra di ricerca, ed inseriamo il seguente filtro:

source.ip: 192.168.xxx.xxx

Una volta premuto invio, ci verranno mostrati solo gli eventi filtrati (quindi, solo gli accessi SSH aventi come sorgente l’indirizzo IP 192.168.xxx.xxx)

Kibana SSH Filtered

Analogamente se volessimo scegliere un time-period diverso da quello presentato, clicchiamo in alto a destra sul periodo selezionato e potremo scegliere il periodo di nostro interesse.

 

← ELK Stack – Kibana Filebeat Dashboards

ELK Stack – Kibana Filebeat Dashboards (Apache) →