Kibana

控制台模板下载

我们提供了一套配置好的控制台模板，可直接导入

• Visualizations.json
• Searches.json
• Dashboard.json

  导入报警日志

默认情况下，OpenRASP 会输出报警信息到日志中，具体请参考 日志说明

日志可以通过标准的ELK方式导入，并在 Kibana 中展现，这里不再赘述。

导入仪表盘配置

要完成仪表盘的导入，需要先对其子元素进行导入

导入图表组件

在 Kibana 首页，点击 Settings -> Objects，进入 Edit Saved Objects 页面

点击 Import 按钮，选中刚才下载的 Visualizations.json 文件

我们成功的导入了6个可视化图表，在每个可视化图表的右侧，点击预览按钮可以查看它的详情

导入搜索表格组件

用同样的方式再导入 Searches.json

导入仪表盘

最后导入仪表盘 Dashboard.json

使用仪表盘

全部文件导入完成后，在 Kibana 首页，点击 Dashboard -> Load Saved Dashboard

找到我们的仪表盘，aka rasp，点击加载

FAQ

1. ElasticSearch FORBIDDEN/12/index read-only / allow delete (api) 错误

当磁盘空间不足，ElasticSearch 可能会提示这个错误。常见解决方法是执行如下命令（请修正ES服务器地址）

curl -XPUT -H "Content-Type: application/json" http://localhost:9200/_all/_settings -d '{"index.blocks.read_only_allow_delete": null}'

更多信息请参考 FORBIDDEN/12/index read-only / allow delete (api)

2. Kibana 6.X 报表显示不正常

在 Elasticsearch 5.4.X 之后版本中，仅类型为 keyword 的字段可被聚合检索，这会导致我们的面板展示不正常。你可以通过动态模板的方式，自动匹配名为 rasp-XXXX 的索引，并将所有的字段类型，都设置为 keyword。

对于 Linux 系统，可以使用命令来设置 dynamic mapping（请修正ES服务器地址）

curl -XPUT http://127.0.0.1:9200/_template/rasp -H 'Content-Type: application/json' --data '{
  "index_patterns": ["rasp-*"],
  "mappings": {
    "_default_": {
      "dynamic_templates": [{
        "string_fields": {
          "match": "*",
          "match_mapping_type": "string",
          "mapping": {
            "type": "keyword"
          }
        }
      }]
    }
  }
}'

更多细节请查看 Mutate filter plugin: convert to keyword and text 这个页面。

原文: https://rasp.baidu.com/doc/install/siem/kibana.html