剛接觸 ELK stack 時以為一切美好，想說上一篇設定好來源 log 後就能有方便的生出圖表來...也難怪使用 T-Pot 時會一頭霧水，連圖表要點開哪個連結看都不知道...

ELK stack 的圖表建立大致分兩個步驟，一是上一篇完成的資料擷取，二是自建儀表板及圖表。因為之前有 T-Pot 的經驗，所以這裡會參考 T-Pot 上的 Cowrie 儀表板。

T-Pot 上的 Dashboard 選擇 Cowrie，連結如: https://yourip:64297/kibana/app/dashboards#/view/Cowrie?_g=h@57c325a

一、進入 Dashboard 儀表板

連線進入 http://localhost:5601 ，從左方的 Analytics > 點選Dashboard

進入後再選擊「Create a dashboard」即可進入第二步驟開始拉圖。

或是直接連入網址為: http://localhost:5601/app/dashboards

二、建立圖表

接著試著建立 T-Pot Cowrie 中攻擊次數的 bar 圖。

點擊「Create visualization」進入圖表建立畫面。

選擇圖形「Bar horizontal」

再從右邊的「Horizontal axis」填入以下資料

• Count - 預設 Records
• Unique Count - src_ip
• Unique Count - hassh
  

注意右上角時間範圍要選擇有資料的區間，這裡為了測試所以設定為當天的測試資料。

可以預覽看到大致模擬完成，按下右上的「Save and Return」即可存檔並回到 Dashboard

最後還要在右上角按下「Save」並輸入名稱「Cowrie-T-Pot」才是將整個儀表格儲存起來

完成後可以看到與 T-pot 相同，Dashboards 頁面會出現剛剛建立的 Cowrie 專屬儀表板「Cowrie-T-Pot」。

本篇使用的圖表類型 「Bar horizontal」 其實與 T-Pot 的圖表不盡相同，後者屬於「Aggregation based」中的「Horizontal bar」。這類圖表留在下一篇時再來研究。

參考資料

Dashboard