Kibana 插件简介

在 Kibana 插件中，我们提供了6个图表，以及一个表格，

• TOP 攻击 IP 来源
• TOP 攻击目标（域名）
• TOP 被攻击URL
• TOP 攻击类型分布
• TOP 服务器类型分布
• TOP User-Agent 分布
• 最近的20个攻击事件（表格）
  最终效果如下

切换时间范围

可以配时间范围来检索特定时间范围内的索引数据。当设置了时间范围后，它将显示在菜单栏中时间过滤器位置。设置时间范围的步骤：

• 单击菜单栏右上角的时间过滤器;
• 在展开的时间选择页面选择需要的时间范围，目前支持三种方式：Quick（内置常见时间范围）、Relative（自定义相对时间）和Absolute（自定义绝对时间）。选取合适的方式设置时间范围，即可。

  自动刷新

可以通过配置刷新间隔，以使用最新索引数据自动刷新页面，这会定期重新提交搜索查询。当设置刷新间隔时，它将显示在菜单栏中时间过滤器的左侧。设置刷新时间间隔的步骤：

• 单击菜单栏右上角的时间过滤器;
• 点击Auto-refresh选项卡，会弹出时间间隔列表，如下图。在给出的时间间隔列表中选择合适的间隔；
• 启用自动刷新后，Kibana的顶部栏将显示暂停按钮和自动刷新间隔，如下图。点击暂停按钮暂停自动刷新。

  过滤器Filter

Kibana支持过滤搜索结果，仅显示在某字段中包含了特定值的文档；也可以创建反向过滤器，排除掉包含特定字段值的文档。添加好一个过滤器后，它会显示在搜索请求下方的过滤栏里，如下图：鼠标在上面停留时，会显示如下图标：依次为：过滤器开关、过滤器图钉、过滤器反转、过滤器移除和过滤器自定义。其功能如下：

• 过滤器开关:可以在不移除过滤器的情况下关闭过滤条件。再次点击则重新打开。被禁用的过滤器是条纹状的灰色，要求包含的过滤条件显示为绿色，要求排除的过滤条件显示为红色。
• 过滤器图钉:被钉住的过滤器，可以横贯Kibana各个标签生效。
• 过滤器反转:默认情况下，过滤器都是包含型，显示为绿色，只有匹配过滤条件的结果才会显示。反转成排除型过滤器后，显示的是不匹配过滤器的检索项，显示为红色。
• 过滤器移除:删除过滤器。
• 过滤器自定义:打开一个文本编辑框。编辑框内可以修改 JSON 形式的过滤器内容，并起一个 alias 别名： JSON 中可以灵活应用 bool query 组合各种 should、must、must_not 条件。

  数据详情与导出

要查看可视化后面的原始数据，可以单击容器底部的上箭头，即可看到关于原始数据的详细信息的选项卡，如下图所示：

• Table:底层数据的表示，呈现为分页网格数据，可以通过单击每列顶部的表标题对表中的项进行排序。底部的Raw和Formatted按钮分别用于导出原始数据与格式化后的数据。
• Request：用于查询的原始请求，以JSON格式呈现。
• Response：来自elasticsearch服务器的原始响应，以JSON格式呈现。
• Statistics：与请求和响应相关的统计信息的摘要，以网格数据呈现，包括查询持续时间，请求持续时间，命中记录数目以及用于进行查询的索引模式。
  注：更加详细的Dashboard信息，请参考官方文档。

原文: https://rasp.baidu.com/doc/usage/siem/kibana/main.html