Bruker veiledning for Kibana

Mustafa Ocak (USIT, University of Oslo)
E-post: muo@usit.uio.no

Dato: 2017-11-14

Introduksjon

Alle logger som sendes til ELK tagges med "logowner" for å merke data med primært eierskap. Vi oppretter en Kibana instans for hver "logowner". Kibana instansen har kun tilgang til loggdata som eies av "logowner". I tillegg finnes det felles logger som alle USIT-driftere skal få tilgang til. Felles logger er tilgjengelig på https://usit-drift.logs.uio.no. Drift-kontoer skal brukes for innlogging på Kibana instansene.

Indekser

Elasticsearch indeks navn består av "logowner", "application" og "YYYY-UKENR" som for eks.:

usit-gsd-windows-iis-2016.22
usit-gid-apache-access-2016.21
usit-gsd-windows-evt-2016.21

Felles logger

Felles logger består av følgende indeksprefikser pr. idag:

zabbix-alarms
rsyslog
usit-gsd-windows-evt-* (Hendelselogger fra alle Windows servere i UIO og UHAD)

Kibana grensesnitt

Innstillinger

Standard konfigurasjon av en Kibana instans har ikke noen indeks pattern definert. For å få tilgang til loggdata i Elasticsearch, må man definere indeks pattern først på "Settings" fanen. Pattern navnet må minst inneholde både "logowner" og "application" som for eks. "usit-gsd-windows-evt-*" når man definerer indeks pattern.

For å få oversikt over hvilke felter en indeks inneholder, om data på disse feltene er analysert eller ikke, kan man velge "Settings->Indices" som vist under.

img/kibana_index_pattern.png

Det er viktig å ikke bruke et felt som er analysert når man skal opprette visualisering objekter.

Søk i Kibana

Man kan bruke felt navnene som er sett under "Settings-Indices" for å bygge avanserte søk. Søk i Kibana er "case-sensitive" og felt navnene i søket bør stemme overens med de i Elasticsearch indeksene. Hvis det er flere indeks pattern definert i Kibana instansen, bør man sørge for å velge viktig indeks pattern som vist nedenfor.

img/kibana_sook_index_pattern.png

Eksempler på avanserte søk på en indeks med Windows hendelselogger:

EventID: 4625 AND LogonType: 10 AND (NOT Hostname: *cx*) for å finne feilende rdp pålogging forsøk hvor Hostname ikke inneholder "cx"
EventID: 4740  AND Hostname: *dc01  for å finne låste hvilke brukerkontoer er låst hvor logonserver navn inneholder "dc01".

Søket til slutt kan lagres for senere bruk i dashboard eller for å opprette visualisering objekter.

Visualisering

Det finnes åtte forskjellige visualisering objekter. Her skal vi bruke kakediagram for å finne ut hvilke topp fem ip adresser feilende rdp pålogging forsøk kommer fra.

img/kibana_visualize.png

Dashboard

Man kan bruke visualisering objekter og søk som er lagret frafør for å opprette en dashboard eller importere dashboard som er opprettet av andre.

img/kibana_dashboards.png

Import/Eksport

Det er lett å utveksle dashboard, søk og visualisering objekter med andre. De kan eksporteres i json format. Søk, visualisering og dashboard må importeres henholdsvis og det er nødvendig å endre indeks pattern navn i json filer før importering.

img/kibana_import.png

Vi i GID allerede har laget dashboard for apache, Windows hendelse og IIS logger. Json filene kan hentes fra git repoen, https://bitbucket.usit.uio.no/projects/ELK/repos/elk-config/browse/kibana.

Publisert 22. mars 2018 11:58 - Sist endret 22. mars 2019 12:47
Del på e-post