📊 Обогащение событий на уровне Kibana
Для дашбордов Kibana может пригодиться какое-нибудь поле, значение которого должно быть более информативным или просто красивее, чем значение, которое тебе отдаёт Elasticsearch
Простой пример: у нас есть поле severity, со значениями 1, 2, 3, 4. Но для дашборда здорово превратить цифры в разноцветные квадраты — зелёный, желтый, красный, бордовый
Для этого предназначены скриптовые поля (Scripted fields), которые можно настроить под свои задачи. В Elastic они находятся в объекте "Data View", а в Wazuh — в "Index patterns"
Принцип прост, в скрипте вы указываете какое значение какого поля вы ожидаете и какое значение в таком случае вернуть. Далее вы обрабатываете вернувшееся значение и окрашиваете его полностью в нужные цвета, в итоге у нового поля в значениях будут разноцветные квадраты. Для такого случая есть 2 лайфхака: цифра стоящая впереди, для нормальной сортировки по критичности и одинаковая длина символов для одинакового размера квадрата (так как это просто закрашенный текст)
Что важно помнить:
- Скриптовые поля работают на уровне Kibana и выполняются при каждом обновлении дашбордов, поэтому не стоит усложнять скрипты, иначе дашборд будет прогружаться очень долго
- Нигде, кроме как при вызове данного "Data View" или "Index patterns", это поле отображаться не будет
