Dans cet article, je partage avec vous une version un peu modifiée du Sexiboard “WinEvent” préinstallé avec l’appliance Sexilog. Le lien suivant inclus le fichier qui peut être ajouté à Sexilog : Sexiboard – Custom

 

Pour ce faire, ouvre l’interface Kibana et cliquez sur l’icône du dossier (en haut à droite). Enfin, appuyez sur “Advanced” et aller choisir votre fichier tout juste téléchargé. 

http://polo5167.com/projects Attention : Afin de récupérer des logs de vos serveurs Windows, il faut auparavant installer et configurer l’agent NXLog sur ces derniers. Voir le lien suivant : Configure NxLog Agent

 

Une fois que votre Sexiboard est chargé et que les logs sont affichés, cliquez sur l’icône de la disquette (toujours en haut à droite) afin de le sauvegarder. Dans ce dashboard (capture suivante), plusieurs « Panels » ont été configurés afin d’avoir une vue globale sur les événements Windows. Dans cette section, nous allons exposer les fonctions de chaque Panel Kibana. 

Filtre VM

Par défaut, la vue du Dashboard sera basée sur toutes les machines virtuelles Windows. Néanmoins, il est possible d’appliquer des filtres afin de travailler sur une VM en particulier. Pour ce faire, 2 filtres ont été ajoutés afin de vous faciliter la tâche :

• 1 filtre par FQDN entier de VM
• 1 filtre par adresse IP de VM 

Pour modifier un filtre, appuyez sur le bouton avec le crayon. Il suffit ensuite de modifier la valeur déjà en place. Enfin, pour l’appliquer appuyez sur le bouton « Toggle ».

 

Intervalle de temps

Dans le coin en haut à droite du Dashboard, on peut voir une liste déroulante en cliquant dessus. Cette fonction permet de modifier le l’intervalle de temps des logs présentés dans le Dashboard. Il est également possible de configuré un auto-refresh ou encore de choisir un intervalle de temps spécifique (Custom).

 

 

Events over time

Ce premier graphique permet de voir le nombre total d’événements Windows sur l’intervalle de temps définit. Le tri est effectué sur le type d’événements (EventType) qui sont explicites en légende.

Attention : les événements sont mis en stack afin de mettre en évidence tous les types événements. Il est possible de zoomer sur une zone en cliquant dans le graphique.

 

 

Top EventID

Ce tableau montre l’EventID qui remonte le plus souvent dans l’intervalle de temps définit. Seuls les 10 plus récurrents sont affichés (le reste est stocké dans le « Other Values ».

Le champ action permet d’ajouter un filtre à la recherche afin de se fixer seulement sur un EventID en particulier ou au contraire en écarter un.

 

 

 

 

Top VM Logs

Les deux Panel suivants permettent de voir le nombre de logs reçu par machines virtuelles. La partie de gauche est au format texte tandis que la partie de droite expose un aperçu graphique. Il est possible d’utiliser le champ actions ou cliquer sur une barre du graphique pour ajouter des filtres.

 

Category

Ce graphique met en évidence les répartitions des logs en classant par le champ « catégorie ». On remarque une majorité de log en rapport avec des connexions/déconnexions. En cliquant sur un quartier, on peut également ajouter des filtres

 

 

Errors List

Ce tableau montre tous les événements de type « ERROR » qui sont apparus dans l’intervalle de temps. Par défaut, cette liste est classée par date (au plus récent). Les flèches permettent de naviguer dans les pages suivantes (un nombre restreint d’événements a été configuré). Il est possible de cliquer sur l’événement pour plus de détail.

 

Trends

Ce Panel est composé lui-même de 3 Panels mis côte à côte.

Le premier d’entre eux « Sparks », permet de suivre les évolutions des événements et mettre en avant un changement brutal des données.

La partie « Trends » permet de voir l’évolution des logs. Si vous avez votre intervalle de temps sur les 10 dernières minutes, l’évolution va être comparée au même intervalle mais 1h plus tôt (1h peut être modifié en cliquant sur le rouage)

Le dernier graphique montre uniquement les erreurs et les warning en vue graphique en fonction de l’intervalle de temps sélectionné.

 

 

 

All Events

Enfin, la totalité des logs reçus dans l’intervalle de temps est affiché en dernier dans une ligne séparée (row). Il est possible de cliquer sur un événement afin d’avoir plus de détail. Il est possible de trier par un autre champ.

 

 

Il est également possible de rajouter des champs en cliquant sur la flèche en haut à gauche du Panel. Cochez tous les champs que vous souhaitez ajouter dans le tableau de logs.