Trois types de widget simple pour tableau de bord Graylog

Création d'un tableau de bord

Tout d'abord, on crée un tableau de bord : menu Dashboards puis bouton Create new dashboard puis Save as.

Le tableau de bord est maintenant accessible à partir du menu Dashboards.

Suivi d'évènement dans le temps

L'objectif est le suivi d'une valeur dans le temps.

Par exemple :

• Evolution du nombre de connexion sur un site web,
• Détection d'anomalie sur un évènement (si on a une connexion administrateur à 2 heures du matin par exemple),
• Evolution du nombre de client VPN,
• ...

A partir du menu Search, on entre une requête, puis à droite du graphe, on clique sur la flèche pour effectuer l'action Copy to Dashboard.

Le widget est alors copié dans le tableau de bord choisi avec la temporalité liée à la requête.

Suivi d'évènement à l'aide d'un compteur

L'objectif avec ce widget est de compter un nombre d'évènement et d'afficher ce chiffre dans un tableau de bord.

Par exemple:

• Nombre d'attaque reçue en provenance d'un firewall,
• Nombre de page web vu,
• Nombre de connexion administrateur sur un serveur,
• ...

Tout comme le suivi dans le temps, on commence à identifier ce que l'on doit compter en effectuant une requête.

Ensuite, dans le menu de gauche (menu +), il faut choisir Message Count dans le menu Predefined Aggregation. Le nombre de ligne correspondant à la requête effectuée s'affiche alors.

Pour copier ce widget dans un tableau de bord, il faut avec le menu flèche du widget sélectionner l'option Copy to Dashboard et sélectionner le tableau de bord souhaité.

Afficher le nombre d'élément dans un tableau

L'objectif est d'afficher un tableau qui compte chaque élément différent d'un item. Par exemple:

• Nombre de page différente consultée sur un site,
• Nombre d'IP source ou destination différentes,
• Nombre de code HTTP différent enregistré,
• ...

Tout d'abord, il est possible de filtrer les champs concernés. Ensuite, il est préférable d'avoir configuré un extracteur pour le type de log.

Sélectionner un message, puis choisir la valeur qui doit apparaitre dans le tableau. Dans le menu juste à droite de la valeur, sélectionner le choix Show top values.

Le tableau apparait alors et il est possible de le copier dans un tableau de bord.

Modification du tableau de bord

Dans le menu Dashbords, il est possible de modifier la place de chaque widget et d'éditer chaque widget.

Ne pas oublier de sauvegarder le tableau de bord après chaque modification !