Kibana で WOWHoneypot のログを可視化

wowhoneypot のログを Kibana で可視化するための手順。

Index Pattern 設定

はじめに Index Pattern を設定し、ログを検索できるようにする。

Management → Index Patterns → Create Index を選択。

ElasticSearch には logstash-2018.08.30、logstash-2018.08.31 といった形でログが保存されている。

それぞれの Step で以下を選択をする。

  • Step 1 of 2: Define index pattern : logstash-*
  • Step 2 of 2: Configure settings : @timestamp

ログの field は自動で抽出され、各 field 名をキーとして検索できる(status:200など)。

Discover

ログを検索し、詳細を見ることができる機能。

上部の Search 欄に「status:200」と適当に打ち込んでも何もログが表示されなくてオロオロしてても焦らず、右上の検索期間(Time Range)を変更すること。

今回は access_log の可視化を行いたいため、Search 文を作成し保存する。

  1. Search 欄で 「_type:access_log」 を実行
  2. 右上の Time Range を 「Today」 に
  3. 上部の Save をクリックし「daily access_log」と名付けて保存

この作成した Search 文は上部の Open から選択することができ、いつでも見ることが可能。

Visualize

検索結果をグラフ化・可視化する機能。

例えば、レコード数をカウントした棒グラフを時系列で作成したい場合は、以下を選択するだけで描画できる。

  • Y-Axis : Count
  • X-Axis :
    Aggregation : Date Histogram
    Field : @timestamp

このグラフも Save で保存しておく。

Dashboard

Discover, Visualize で作成した検索結果・グラフを並べて、ダッシュボードを作成する機能。

  1. Create New Dashboard
  2. 上部の Add
  3. 先程保存した Search 結果とグラフを選択

し、並べることができる。

WOWHoneypot の可視化

KibanaにWOWHoneypot用ダッシュボード作成 で作られていたダッシュボードを参考にする。

大変ありがたいことにインポートファイルを公開していただいている。

なので、これを読み解いているところ。

参考

Kibanaの使い方

KibanaにWOWHoneypot用ダッシュボード作成

コメント

タイトルとURLをコピーしました