En el presente post se describe un ejemplo de la creación de un Dashboard en Kibina con sus correspondientes visualizaciones, para mostrar gráficamente los datos capturados por los agente de Wazuh.
Verificación de datos capturados
En el panel de Discover de Kibina se puede verificar los monitores
Ilustración 1. Visualizacion de eventos
Ilustración 2. Selección de monitores
Cada monitor desplegará distinta información que se puede filtrar
Ilustración 3. Visualización de atributos de eventos
Como se puede ver cada evento almacenado dispone de distintos atributos como ser plataforma (os.plataform) o IP (registrer IP), esto puede variar en función al monitor que se escoja. Debemos prestar especial atención a los atributos y los valores que deseamos monitorear.
Creación de Visualizaciones
Las visualizaciones son paneles que posteriormente se podrán agregar a un Dashboard, estos se pueden crear desde su panel de administración.
Ilustración 4. Creación de visualizaciones
Luego de hacer click en el botón para crear una nueva visualización se debe especificar el tipo de gráfico que se necesita, existen distintos tipos, todo depende de cómo se desee visualizar la información. En este ejemplo nos centramos en el gráfico "Pie".
Ilustración 5. Selección de tipo de gráfica.
Luego se debe escoger el monitor desde donde se extraerá la información.
Ilustración 6. Selección de tipo de evento
Se debe seleccionar alguno. En este ejemplo se mostrará como determinar el sistema operativo del equipo donde se encuentra el agente. Por lo que escogerá wazuh-monitoring-3.x-*.
Se añadirá un bucket.
Ilustración 7. Agregar bucket
En este se especificará que se va a recolectar la información en un solo gráfico.
Ilustración 8. Modo de visualización
Posteriormente indicaremos que se agregará un filtro.
Ilustración 9. Selección de tipo de filtro
A este filtro indicaremos con sintaxis KQL (Kibana Query Language) el atributo que deseamos extraer, en este caso es os.plataform. Se puede filtrar, por ejemplo, alguna plataforma Windows.
Ilustración 10. Filtro de Atributos.
Cabe aclarar que esta información se obtiene de los agentes, esta información como se mencionó anteriormente, se peude ver en el panel Discover de Kibina .
Ilustración 11. Verificación de vallores de atributos
Es necesario colocar el valor del atributo que estamos buscando, en este caso Windows.
Luego seleccionamos el botón Add filter y añadimos debian, al final ejecutamos la operación desde la fecha que se puede ver en la esquina superior derecha del panel.
Ilustración 12. Agregado de filtros.
Una vez hecho esto se podrán apreciar los resultados.
Ilustración 13. Resultado de visualización
Para finalizar se debe guardar la visualización desde el panel superior izquierdo.
Ilustración 14. Guardar visualización
Nos solicitará un título y una descripción.
Ilustración 15. Ventana de guardado de visuaalización
Otra forma de lograr esto, pero en este caso se verán todos los valores de un atributo, es seleccionando Terms como Aggregation y os.platform.keyword como Field. Al ejecutarlo obtenemos este resultado.
Ilustración 16. Visualización por terms.
Como se puede ver existen distntias formas de lograr los mismo resultados. Cabe aclarar que utilizando filtros se puede tener mayor granularidad (ya que se puede administrar o no determinada información), en la última alternativa muestra todos lso valores.
Creación de dashboard
Desde el menú de Wazuh hay que dirigirse a los Dashboards y crear uno nuevo
Ilustración 17. Crear un Dashboard
Hacmos click en Add
Ilustración 18. Agregar un panel
En la nueva ventana que aparece se busca la Visualización que creamos y se debe seleccionar.
Ilustración 19. Buscar Visualización
Tan solo hay que hacer click y la visualización aparecerá en el dashboard, luego si ya no se desea agregar otra simplemente hay que cerrar la ventana.
De esta manera se pueden ir agregando más visualizaciones en el dashboard.
Ilustración 20. Vista de Dashboard y Visualizaciones en paneles.
Al finalizar seleccionamos guardar
Ilustración 21. Guardar Dashboard
Donde nos solicitará un nombre
Ilustración 22. Ventana de guardado de Dashboard.
Con esto se pueden seguir creando Dashboards o agregar nuevas visualizaciones con diferentes tipos de gráficos según se quiera representar determinada información.
Notas finales
Para finalizar, se puede decir que si bien existe la psobilidad de agregar dashboards desde Kibina , para monitorear los agentes de Wazuh suele bastar con el panel proporcionado por el mismo, ya que desde allí se tienen paneles generales de todos los agentes y por otro lado los específicos. En el caso de que se desee monitorear específicamente determinados eventos, se requiere realizar las operaciones mostradas en este documento.
Ilustración 1. Visualizacion de eventos
Ilustración 2. Selección de monitores
Cada monitor desplegará distinta información que se puede filtrar
Ilustración 3. Visualización de atributos de eventos
Como se puede ver cada evento almacenado dispone de distintos atributos como ser plataforma (os.plataform) o IP (registrer IP), esto puede variar en función al monitor que se escoja. Debemos prestar especial atención a los atributos y los valores que deseamos monitorear.
Ilustración 4. Creación de visualizaciones
Luego de hacer click en el botón para crear una nueva visualización se debe especificar el tipo de gráfico que se necesita, existen distintos tipos, todo depende de cómo se desee visualizar la información. En este ejemplo nos centramos en el gráfico "Pie".
Ilustración 5. Selección de tipo de gráfica.
Luego se debe escoger el monitor desde donde se extraerá la información.
Ilustración 6. Selección de tipo de evento
Se debe seleccionar alguno. En este ejemplo se mostrará como determinar el sistema operativo del equipo donde se encuentra el agente. Por lo que escogerá wazuh-monitoring-3.x-*.
Se añadirá un bucket.
Ilustración 7. Agregar bucket
En este se especificará que se va a recolectar la información en un solo gráfico.
Ilustración 8. Modo de visualización
Posteriormente indicaremos que se agregará un filtro.
Ilustración 9. Selección de tipo de filtro
A este filtro indicaremos con sintaxis KQL (Kibana Query Language) el atributo que deseamos extraer, en este caso es os.plataform. Se puede filtrar, por ejemplo, alguna plataforma Windows.
Ilustración 10. Filtro de Atributos.
Cabe aclarar que esta información se obtiene de los agentes, esta información como se mencionó anteriormente, se peude ver en el panel Discover de Kibina .
Ilustración 11. Verificación de vallores de atributos
Es necesario colocar el valor del atributo que estamos buscando, en este caso Windows.
Luego seleccionamos el botón Add filter y añadimos debian, al final ejecutamos la operación desde la fecha que se puede ver en la esquina superior derecha del panel.
Ilustración 12. Agregado de filtros.
Una vez hecho esto se podrán apreciar los resultados.
Ilustración 13. Resultado de visualización
Para finalizar se debe guardar la visualización desde el panel superior izquierdo.
Ilustración 14. Guardar visualización
Nos solicitará un título y una descripción.
Ilustración 15. Ventana de guardado de visuaalización
Otra forma de lograr esto, pero en este caso se verán todos los valores de un atributo, es seleccionando Terms como Aggregation y os.platform.keyword como Field. Al ejecutarlo obtenemos este resultado.
Ilustración 16. Visualización por terms.
Como se puede ver existen distntias formas de lograr los mismo resultados. Cabe aclarar que utilizando filtros se puede tener mayor granularidad (ya que se puede administrar o no determinada información), en la última alternativa muestra todos lso valores.
Ilustración 17. Crear un Dashboard
Hacmos click en Add
Ilustración 18. Agregar un panel
En la nueva ventana que aparece se busca la Visualización que creamos y se debe seleccionar.
Ilustración 19. Buscar Visualización
Tan solo hay que hacer click y la visualización aparecerá en el dashboard, luego si ya no se desea agregar otra simplemente hay que cerrar la ventana.
De esta manera se pueden ir agregando más visualizaciones en el dashboard.
Ilustración 20. Vista de Dashboard y Visualizaciones en paneles.
Al finalizar seleccionamos guardar
Ilustración 21. Guardar Dashboard
Donde nos solicitará un nombre
Ilustración 22. Ventana de guardado de Dashboard.
Con esto se pueden seguir creando Dashboards o agregar nuevas visualizaciones con diferentes tipos de gráficos según se quiera representar determinada información.