Kibana

控制台模板下载

我们提供了一套配置好的控制台模板,可直接导入

默认情况下,OpenRASP 会输出报警信息到日志中,具体请参考 日志说明

日志可以通过标准的ELK方式导入,并在 Kibana 中展现,这里不再赘述。

导入仪表盘配置

要完成仪表盘的导入,需要先对其子元素进行导入

导入图表组件

在 Kibana 首页,点击 Settings -> Objects,进入 Edit Saved Objects 页面

settings-objects

点击 Import 按钮,选中刚才下载的 Visualizations.json 文件

settings-objects-visualization

我们成功的导入了6个可视化图表,在每个可视化图表的右侧,点击预览按钮可以查看它的详情

导入搜索表格组件

用同样的方式再导入 Searches.json

导入仪表盘

最后导入仪表盘 Dashboard.json

使用仪表盘

全部文件导入完成后,在 Kibana 首页,点击 Dashboard -> Load Saved Dashboard

dashboard-load

找到我们的仪表盘,aka rasp,点击加载

dashboard

FAQ

1. ElasticSearch FORBIDDEN/12/index read-only / allow delete (api) 错误

当磁盘空间不足,ElasticSearch 可能会提示这个错误。常见解决方法是执行如下命令(请修正ES服务器地址

  1. curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'

更多信息请参考 FORBIDDEN/12/index read-only / allow delete (api)

2. Kibana 6.X 报表显示不正常

Elasticsearch 5.4.X 之后版本中,仅类型为 keyword 的字段可被聚合检索,这会导致我们的面板展示不正常。你可以通过动态模板的方式,自动匹配名为 rasp-XXXX 的索引,并将所有的字段类型,都设置为 keyword

对于 Linux 系统,可以使用命令来设置 dynamic mapping(请修正ES服务器地址

  1. curl -XPUT http://127.0.0.1:9200/_template/rasp -H 'Content-Type: application/json' --data '{
  2. "index_patterns": ["rasp-*"],
  3. "mappings": {
  4. "_default_": {
  5. "dynamic_templates": [{
  6. "string_fields": {
  7. "match": "*",
  8. "match_mapping_type": "string",
  9. "mapping": {
  10. "type": "keyword"
  11. }
  12. }
  13. }]
  14. }
  15. }
  16. }'

更多细节请查看 Mutate filter plugin: convert to keyword and text 这个页面。

原文: https://rasp.baidu.com/doc/install/siem/kibana.html