Створення index pattern audit* у Kibana

1. Загальний опис

Index pattern у Kibana є ключовим компонентом для роботи з даними в Elasticsearch. Index patterns слугують шаблонами, що вказують Kibana, які індекси в Elasticsearch слід використовувати для відображення та аналізу даних. Це особливо корисно, коли дані зберігаються в кількох індексах, але ви хочете працювати з ними як з єдиним набором. У контексті audit*, index pattern дозволяє агрегувати та аналізувати всі події аудиту, збережені в індексах, імена яких починаються з audit.

Використання index pattern audit* надає можливість з легкістю відстежувати безпекові події, конфігурації системи або будь-які інші події аудиту, що зберігаються в індексах Elasticsearch. Це може бути корисно для аналізу трендів безпеки, виявлення аномалій або підтримки вимог регулювання.

2. Налаштування

Створення index patterns ґрунтується на однаковому підході для всіх індексів.

Ознайомтеся з детальною інструкцією по роботі із журналами подій у Kibana на прикладі створення index pattern app-*: Робота із журналами подій в інтерфейсі застосунку Kibana.

Розгляньмо створення index pattern audit* у Kibana:

  1. Підготовка до створення Index pattern.

    1. Переконайтеся, що у вас є дані аудиту, збережені в Elasticsearch, та що індекси цих даних відповідають шаблону audit*.

    2. Відкрийте Kibana й авторизуйтеся, якщо потрібно.

  2. Перехід до управління index patterns:

    1. В інтерфейсі Kibana знайдіть і виберіть Management.

    2. Під Kibana, виберіть Index Patterns (Шаблони індексу).

  3. Створення нового index pattern:

    1. Натисніть на кнопку Create index pattern (Створити шаблон індексу).

    2. У полі Index pattern (Назва шаблону індексу) введіть audit*. Це вказує Kibana аналізувати всі індекси, що починаються на "audit".

    3. Натисніть Next step (Наступний крок).

    kibana audit 01

  4. Вибір часового поля.

    Виберіть Time Filter field name (Назва поля часового фільтра). Для подій аудиту зазвичай використовується поле @timestamp, що дозволяє фільтрувати дані за часом.

  5. Завершення процесу створення.

    Перевірте введені дані та натисніть Create index pattern (Створити шаблон індексу), щоб завершити створення.

    kibana audit 02

  6. Використання створеного index pattern:

    Ви побачите сторінку, яка перелічує кожне поле в індексі audit* та асоційований з ним основний тип, як зареєстровано в Elasticsearch. Щоб змінити тип поля, використовуйте Elasticsearch Mapping API.

    kibana audit 03

  7. Після створення, ви зможете переглядати та аналізувати дані, використовуючи створений index pattern.

  8. Відкрийте розділ Discover. Kibana відобразить список полів у ваших індексах, дозволяючи легко створювати візуалізації та дашборди. Ви зможете переглядати:

    • кількість журналів, що були створені за обраний період;

    • список журналів.

    kibana audit 04

Створення index pattern audit* є фундаментальним кроком для роботи з даними аудиту в Kibana, оскільки це дозволяє ефективно керувати, аналізувати та візуалізувати великі обсяги інформації для підтримки безпеки та відповідності.