ELK Stack – Kibana Filebeat Dashbords (Syslog)

Apriamo la dashboard Syslog per analizzare i log inviati da Filebeat dei sistemi su cui è stato installato e configurato.

Per fare ciò, apriamo il modulo dashboard e nel campo di ricerca inseriamo:

[Filebeat System] Syslog dashboard ECS

Nel risultato presentato, clicchiamo sulla voce [Filebeat System] Syslog dashboard ECS; otterremo una dashboard simile alla seguente:

Possiamo notare come la dashboard sia in realtà composta da 4 sottosezioni:

• Syslog
• Sudo commands
• SSH logins
• New users and groups

Di default ci viene proposta la sottosezione Syslog; cliccando su SSH logins, potremo vedere la sottosezione relativa:

In questa sezione, vengono presentati graficamente i tentativi di accesso SSH (suddivisi tra Accepted e Failed, tra tentativi fatti con autenticazione tramite chiavi o tramite password); per gli accessi falliti, avremo a disposizione la lista degli utenti che hanno provato ad accedere ed una mappa georeferenziata che ci mostra i luoghi del mondo da cui tali tentativi hanno avuto origine. In fondo alla pagina è presente  il dettaglio degli eventi (time, event, method, username, source.ip e source.geo.country_iso_code).

Ma se volessimo vedere solo gli accessi SSH aventi come sorgenti l’indirizzo IP 192.168.xxx.xxx? È molto semplice: posizioniamoci nella barra di ricerca, ed inseriamo il seguente filtro:

source.ip: 192.168.xxx.xxx

Una volta premuto invio, ci verranno mostrati solo gli eventi filtrati (quindi, solo gli accessi SSH aventi come sorgente l’indirizzo IP 192.168.xxx.xxx)

Analogamente se volessimo scegliere un time-period diverso da quello presentato, clicchiamo in alto a destra sul periodo selezionato e potremo scegliere il periodo di nostro interesse.

← ELK Stack – Kibana Filebeat Dashboards

ELK Stack – Kibana Filebeat Dashboards (Apache) →