为ModSecurity日志创建Kibana可视化仪表板

在本教程中,您将学习如何为ModSecurity日志创建Kibana可视化仪表板。本教程是我们先前教程的继续,该教程是关于如何在ELK Stack上处理和可视化ModSecurity Logs的,其中我们介绍了各种grok过滤器/正则表达式,用于从中提取各种字段。 ModSecurity 审核日志。因此,在继续之前,请确保已通过下面的链接检查了本教程。

在ELK堆栈上处理和可视化ModSecurity日志

为ModSecurity日志创建Kibana可视化仪表板

创建并验证ModSecurity logtash过滤器后,请继续根据过滤器提取的字段为ModSecurity日志创建可视化仪表板。

Kibana可视化基于Elasticsearch查询。通过使用一系列Elasticsearch 聚集体 要提取和处理数据,您可以创建图表以显示需要了解的趋势,峰值和跌落。

您可以使用最常用的各种Kibana可视化类型,包括;

  • 折线图,面积图和条形图 —比较X / Y图表中的不同系列。
  • 饼形图 —显示每个来源总计。
  • 数据表 —将聚合展平为表格格式。
  • 公制 —显示一个数字。
  • 目标和指标 —显示带有进度指示器的数字。
  • 标签云 —在云中显示单词,单词的大小与其重要性相对应。

您可以通过导航到Kibana创建可视化 可视化 菜单。

因此,请单击Kibana Web界面左上角的三个菜单行> 可视化 > 创建可视化

现在,您可以从此处选择要创建的可视化类型。

十大攻击

为了为ModSecurity Top 10攻击创建Kibana Visualization,我们将使用饼图。

因此点击 馅饼 在上面的可视化窗口中。

选择您的数据源索引。在这种情况下,我们使用 modsec- * Elasticsearch索引。

这将打开一个默认的饼图,其中包含一个切片,如下所示;

为ModSecurity日志创建Kibana可视化仪表板

接下来,您需要定义饼图指标和存储桶。

  • Buckets 用于根据某些条件对数据或文档集进行分组。 Bucket aggregation 用于指定要在饼图中显示的切片。 聚合 指从特定搜索查询或过滤器中获得的文档或一组文档的集合。
  • Metrics 另一方面,是指从要汇总的文档中提取的值。例子是 Numeric metrics aggregations 输出数值。

数据 标签;

  1. 选择 指标 聚合类型。我们在这里使用默认值, Count (返回所选索引模式中元素的原始计数)。
  2. 水桶,点击 > 分割片
  3. 选择存储桶聚合的类型。选择 条款 (使您可以指定要显示的给定字段的前或后n个元素,按计数或自定义指标排序)。
  4. 选择应从中提取数据的字段。在这种情况下,我们选择 攻击类型
  5. 订购依据 计数 指标。
  6. 降序 订购并将尺寸设置为 10

为ModSecurity日志创建Kibana可视化仪表板

在下面 选件 标签,是图表自定义选项。我们禁用了 甜甜圈 本节中图表的格式,并且已启用 显示标签

请点击 更新资料 右下角的按钮保存您的图表设置。

设置完图表后,点击 保存 左上角的按钮命名图表并保存。我们称图表 十大攻击

为ModSecurity日志创建Kibana可视化仪表板

十大用户代理

同样,我们使用与上面相同的方法为前10名用户代理创建新图表。

但是,在选择数据字段时,我们选择 user_agent.keyword 根据我们的Elasticsearch索引字段。

为ModSecurity日志创建Kibana可视化仪表板

十大攻击者IP

接下来,让我们为十大攻击者源IP及其计数创建一个可视化文件。

在此可视化中,我们将使用 数据表 聚合类型。

创建Kibana数据表

要创建Kibana数据表,请导航至Kibana 可视化 菜单> 创建可视化 > 数据表

选择Elasticsearch数据源索引。

这将打开一个仅包含 计数 启用了聚合指标。

为ModSecurity日志创建Kibana可视化仪表板

您可以基于现有的已保存搜索或新搜索来创建数据表。

数据 标签;

  1. 指标,选择一种聚合类型。同样,我们在这里使用默认值, Count
  2. 在下面 水桶,这是我们添加要在表格上显示的列的位置。因此,请点击 > 分割行
  3. 选择存储桶聚合类型。选择 条款 (使您可以指定要显示的给定字段的前或后n个元素,按计数或自定义指标排序)。
  4. 选择应从中提取数据的字段。在这种情况下,我们选择 src_ip.keyword 根据我们的ES索引字段。
  5. 订购依据 计数 指标。
  6. 降序 订购并将尺寸设置为10。

如果愿意,您可以在下面查看其他设置 选件 标签。

为ModSecurity日志创建Kibana可视化仪表板

点击 保存 左上角的按钮命名数据表并保存。

前10个请求URI

您还可以创建十大请求URI可视化。为此,我们使用 馅饼 图表,因此方法与上述相同。

对于数据字段,我们使用 request_uri.keyword 根据我们的ES索引字段。

保存并相应地命名您的图表。

为ModSecurity日志创建Kibana可视化仪表板

将可视化图表/表格添加到Kibana仪表板

创建可视化图表或表格后,现在可以创建自己的仪表板,在其中可以将所有可视化文件放在一起。

要将Kibana可视化添加到Kibana仪表板;

  1. 在Kibana菜单上,单击 仪表板 > 创建仪表板
  2. 添加现有的 我们已经在上面创建的可视化。

为ModSecurity日志创建Kibana可视化仪表板

选择可视化面板,通过单击将其添加到仪表板。

为ModSecurity日志创建Kibana可视化仪表板

请点击 保存 页面顶部的按钮保存仪表板。

然后你去。您可以根据需要添加更多可视化。

这标志着我们指南的结尾,该指南介绍如何为ModSecurity Logs创建创建Kibana可视化仪表板。

进一步阅读

Kibana可视化

其他教程

在Fedora 30 / Fedora 29 / CentOS 7上安装Elastic Stack 7

在Ubuntu 18.04 / Debian 9.8上安装和配置Filebeat 7

在Ubuntu 18.04 / Debian 9.8上安装Elastic Stack 7

如何调试Logstash Grok筛选器

Sidebar