Log data dashboards
vytvoření widgetu koláčového grafu zkopírujte a vložte tuto šablonu do panelového souboru v Knihovně a vyplňte hodnoty. Doporučené hodnoty a hodnoty specifikující datový zdroj Elasticsearch jsou již vyplněny.
"datasource:Název datového zdroje": {
"datetimeField": "@timestamp",
"groupBy": " ",
"matchPhrase": " ",
"specification": "lmio-{{ tenant }}-events*",
"type": "elasticsearch",
"size": 20
},
"widget:Název widgetu": {
"datasource": "datasource:Název datového zdroje",
"title": "Název widgetu",
"type": "PieChart",
"tooltip": true,
"table": true,
"layout:w": 6,
"layout:h": 4,
"layout:x": 0,
"layout:y": 0,
"layout:moved": false,
"layout:static": true,
"layout:isResizable": false
},
Tabulky¶
Tabulka zobrazuje textové a číselné hodnoty z datových polí, která specifikujete.
Příklad widgetu tabulky
"datasource:office365-email-failed-or-quarantined": { #(1)
"type": "elasticsearch", #(2)
"datetimeField": "@timestamp", #(3)
"specification": "lmio-{{ tenant }}-events*", #(4)
"size": 100, #(5)
"matchPhrase": "event.dataset:microsoft-office-365 AND event.action:MessageTrace AND o365.message.status:(Failed OR Quarantined)" #(6)
},
"widget:office365-email-failed-or-quarantined": { #(7)
"datasource": "datasource:office365-email-failed-or-quarantined", #(8)
"field:1": "@timestamp", #(9)
"field:2": "o365.message.status",
"field:3": "sender.address",
"field:4": "recipient.address",
"field:5": "o365.message.subject",
"title": "Neúspěšné nebo karanténní e-maily", #(10)
"type": "Table", #(11)
"dataPerPage": 9, #(12)
"layout:w": 12, #(13)
"layout:h": 4,
"layout:x": 0,
"layout:y": 0,
"layout:moved": false,
"layout:static": true,
"layout:isResizable": false
}
datasourceoznačuje začátek sekce datového zdroje a také název datového zdroje. Název neovlivňuje funkci panelu, ale je potřeba na něj správně odkázat v sekci widgetu.- Typ datového zdroje. Pokud používáte Elasticsearch, hodnota je
"elasticsearch" - Indikuje, které pole v logech je polem s datem a časem. Například v Elasticsearch logách, které jsou parsovány Elastic Common Schema (ECS), je pole s datem a časem
@timestamp. - Odkazuje na index, ze kterého se načítají data v Elasticsearch. Hodnota
lmio-{{ tenant}}-events*odpovídá našim názvovým konvencím indexů v Elasticsearch a{{ tenant }}je místo upravitelného tenanta. Hvězdička*umožňuje neupřesněné další znaky v názvu indexu zaevents. Výsledek: Widget zobrazuje data z aktivního tenanta. - Kolik hodnot chcete zobrazit. Tato tabulka bude mít maximálně 100 řádků. Počet řádků na stránku můžete nastavit v
dataPerPageníže. - Dotaz, který filtruje konkrétní logy pomocí Lucene syntaxe dotazů. V tomto případě widget zobrazuje data pouze z logů z datasetu Microsoft Office 365 s hodnotou
MessageTracev polievent.actiona stavem zprávyFailedneboQuarantined. widgetoznačuje začátek sekce widgetu a také název widgetu. Název neovlivňuje funkci panelu.- Odkazuje na sekci datového zdroje výše, která ji naplňuje. Ujistěte se, že hodnota zde přesně odpovídá názvu příslušného datového zdroje. (Tímto se widget dozví, odkud získá data.)
- Každé pole je sloupec, který se zobrazí v tabulce v panelu. V tomto příkladu tabulky neúspěšných nebo karanténních e-mailů by tabulka zobrazovala časové razítko, stav zprávy, adresu odesílatele, adresu příjemce a předmět e-mailu pro každý log (což představuje každý e-mail). Použijte tolik polí, kolik chcete.
- Název widgetu, který se bude zobrazovat v panelu
- Typ widgetu
- Počet položek zobrazených na stránce (najednou) v tabulce
- Viz poznámku výše o umístění widgetů pro informace o rozvrhových řádcích.
Widget tabulky vykreslený:
Šablona widgetu tabulky:
Pro vytvoření widgetu tabulky zkopírujte a vložte tuto šablonu do panelového souboru v Knihovně a vyplňte hodnoty. Doporučené hodnoty a hodnoty specifikující datový zdroj Elasticsearch jsou již vyplněny.
"datasource:Název datového zdroje": {
"type": "elasticsearch",
"datetimeField": "@timestamp",
"specification": "lmio-{{ tenant }}-events*",
"size": 100,
"matchPhrase": " "
},
"widget:Název widgetu": {
"datasource": "Název datového zdroje",
"field:1": "@timestamp",
"field:2": " ",
"field:3": " ",
"field:4": " ",
"field:5": " ",
"title": "Název widgetu",
"type": "Table",
"dataPerPage": 9,
"layout:w": 12,
"layout:h": 4,
"layout:x": 0,
"layout:y": 0,
"layout:moved": false,
"layout:static": true,
"layout:isResizable": false
}
Jednotlivé hodnoty¶
Widget hodnoty zobrazuje nejnovější jednotlivou hodnotu z datového pole, které specifikujete.
"datasource:microsoft-exchange1": { #(1)
"datetimeField": "@timestamp", #(2)
"matchPhrase": "event.dataset:microsoft-exchange AND email.from.address:* AND email.to.address:*", #(3)
"specification": "lmio-{{ tenant }}-events*", #(4)
"type": "elasticsearch", #(5)
"size": 1 #(6)
},
"widget:fortigate1": { #(7)
"datasource": "datasource:microsoft-exchange1", #(8)
"field": "email.from.address", #(9)
"title": "Poslední aktivní uživatel", #(10)
"type": "Value", #(11)
"layout:w": 4, #(12)
"layout:h": 1,
"layout:x": 0,
"layout:y": 0,
"layout:moved": false,
"layout:static": true,
"layout:isResizable": false
}
datasourceoznačuje začátek sekce datového zdroje a také název datového zdroje. Název neovlivňuje funkci panelu, ale je potřeba na něj správně odkázat v sekci widgetu.- Indikuje, které pole v logech je polem s datem a časem. Například v Elasticsearch logách, které jsou parsovány Elastic Common Schema (ECS), je pole s datem a časem
@timestamp. - Dotaz, který filtruje konkrétní logy pomocí Lucene syntaxe dotazů. V tomto případě widget zobrazuje data pouze z logů z datasetu Microsoft Exchange s jakoukoli hodnotou (
*) v políchemail.from.addressaemail.to.address. - Odkazuje na index, ze kterého se načítají data v Elasticsearch. Hodnota
lmio-{{ tenant}}-events*odpovídá našim názvovým konvencím indexů v Elasticsearch a{{ tenant }}je místo upravitelného tenanta. Hvězdička*umožňuje neupřesněné další znaky v názvu indexu zaevents. Výsledek: Widget zobrazuje data z aktivního tenanta. - Typ datového zdroje. Pokud používáte Elasticsearch, hodnota je
"elasticsearch" - Kolik hodnot chcete zobrazit. Protože widget hodnoty zobrazuje pouze jednu hodnotu,
sizeje 1. widgetoznačuje začátek sekce widgetu a také název widgetu. Název neovlivňuje funkci panelu.- Odkazuje na sekci datového zdroje výše, která ji naplňuje. Ujistěte se, že hodnota zde přesně odpovídá názvu příslušného datového zdroje. (Tímto se widget dozví, odkud získá data.)
- Odkazuje na pole (z nejnovějšího logu), ze kterého bude hodnota zobrazena.
- Název widgetu, který se bude zobrazovat v panelu
- Typ widgetu. Typ hodnoty zobrazuje jednotlivou hodnotu.
- Viz poznámku výše o umístění widgetů pro informace o rozvrhových řádcích.
Widget hodnoty vykreslený:
Šablona widgetu hodnoty:
Pro vytvoření widgetu hodnoty zkopírujte a vložte tuto šablonu do panelového souboru v Knihovně a vyplňte hodnoty. Doporučené hodnoty a hodnoty specifikující datový zdroj Elasticsearch jsou již vyplněny.
"datasource:Název datového zdroje": {
"datetimeField": "@timestamp",
"matchPhrase": " ",
"specification": "lmio-{{ tenant }}-events*",
"type": "elasticsearch",
"size": 1
},
"widget:Název widgetu": {
"datasource": "datasource:Název datového zdroje",
"field": " ",
"title": "Název widgetu",
"type": "Value",
"layout:w": 4,
"layout:h": 1,
"layout:x": 0,
"layout:y": 0,
"layout:moved": false,
"layout:static": true,
"layout:isResizable": false
}
Příklad panelu¶
Tento příklad je správně strukturován:
{
"Prompts": {
"dateRangePicker": true,
"filterInput": true,
"submitButton": true
},
"datasource:access-log-combined HTTP Response": {
"type": "elasticsearch",
"datetimeField": "@timestamp",
"specification": "lmio-default-events*",
"size": 20,
"groupBy": "http.response.status_code",
"matchPhrase": "event.dataset: access-log-combined AND http.response.status_code:*"
},
"widget:access-log-combined HTTP Response": {
"datasource": "datasource:access-log-combined HTTP Response",
"title": "HTTP status codes",
"type": "PieChart",
"color": "warning",
"useGradientColors": true,
"table": true,
"tooltip": true,
"layout:w": 6,
"layout:h": 5,
"layout:x": 6,
"layout:y": 0,
"layout:moved": false,
"layout:static": true,
"layout:isResizable": false
},
"datasource:access-log-combined Activity": {
"type": "elasticsearch",
"datetimeField": "@timestamp",
"specification": "lmio-default-events*",
"matchPhrase": "event.dataset:access-log-combined AND http.response.status_code:*",
"aggregateResult": true
},
"widget:access-log-combined Activity": {
"datasource": "datasource:access-log-combined Activity",
"title": "Aktivita",
"type": "BarChart",
"table": true,
"xaxis": "@timestamp",
"ylabel": "HTTP požadavky",
"yaxis": "http.response.status_code",
"color": "sunset",
"layout:w": 6,
"layout:h": 4,
"layout:x": 0,
"layout:y": 1,
"layout:moved": false,
"layout:static": true,
"layout:isResizable": false
},
"datasource:Access-log-combined Last_http": {
"datetimeField": "@timestamp",
"matchPhrase": "event.dataset:access-log-combined AND http.response.status_code:*",
"specification": "lmio-default-events*",
"type": "elasticsearch",
"size": 1000
},
"widget:Access-log-combined Last_http": {
"datasource": "datasource:Access-log-combined Last_http",
"field": "http.response.status_code",
"title": "Poslední HTTP status kód",
"type": "Value",
"layout:w": 6,
"layout:h": 1,
"layout:x": 0,
"layout:y": 0,
"layout:moved": false,
"layout:static": true,
"layout:isResizable": false
}
}
Poznámka: Data jsou libovolná. Tento příklad má pouze pomoci správně naformátovat vaše panely.
Panel vykreslený:
