2.2 Création d'un tableau de bord (dashboard)
Avec les tableaux de bord, nous pouvons transformer les
données d'un ou plusieurs modèles d'index en un ensemble de
panneaux qui clarifient nos données. On peut comparer les panneaux
côte à côte pour identifier les modèles et les
connexions dans nos données.
Dans cette partie on va créer un dashboard contenant la
visualisation créée précédemment et certaines
visualisations en plus.
Pour créer un dashboard on se rend dans
"Analytics/Dashboard" puis "Create dashboard".
Figure 48 : Onglet de création d'une
nouvelle visualisation Kibana
Et comme on a déjà créé une
visualisation on fait "Add from library" pour ajouter cette visualisation en
d'autre cas on peut directement créer une visualisation dans cet
onglet.
Une visualisation peut être ajouter à
côté de celui ajouté pour avoir un dashboard plus parlant.
Nous allons ajouter la visualisation des top alertes de Suricata, du nombre
d'évènement produit par Suricata, des types de protocole
utilisé et du top des protocoles de transport utilisé.
Figure 49 : Première Dashboard
crée sur Kibana
55
Chapitre III : Tests et évaluations
2.3 Exploration des tableaux de bord Kibana fournit par
Filebeat
Filebeat est livré avec des exemples de Dashboard
Kibana, pour visualiser les données Filebeat dans Kibana. Avant de
pouvoir utiliser les tableaux de bord de Filebeat, nous devons avoir un index
filebeat-*, et charger les tableaux de bord dans Kibana avec la commande
filebeat setup -e, ce qu'on a déjà fait quand on a
installé Filebeat.
Une recherche du mot "filebeat" dans l'onglet
"Analytics/Dashboard" nous permet d'afficher la liste de tous les dashboards de
Filebeat.
Figure 50 : Liste des dashboards Filebeat
Nous allons explorer plus précisément le
Dashboard prévu pour visualiser les alertes de Suricata nommé
"[Filebeat Suricata] Alert Overview".
La première partie de ce Dashboard comporte un
graphique de comparaison des logs produit par machine et une liste des alertes
Suricata.
56
57
| 
