KibanaのSIEM画面でNETWORK MAPが表示されない

以下のURLを参考に、kibanaのSIEM画面でNETWORK MAPを表示させようとしています

https://www.elastic.co/guide/en/siem/guide/7.8/conf-map-ui.html#private-network

エージェントとしてはfilebeatとpacketbeatを使用しており、MAP以外の収集情報はSIEM画面で見えています。

マニュアルにある通り、以下のパイプラインを設定

PUT _ingest/pipeline/geoip-info
{
  "description": "Add geoip info",
  "processors": [
    {
      "geoip": {
        "field": "client.ip",
        "target_field": "client.geo",
        "ignore_missing": true
      }
    },
    {
      "geoip": {
        "field": "source.ip",
        "target_field": "source.geo",
        "ignore_missing": true
      }
    },
    {
      "geoip": {
        "field": "destination.ip",
        "target_field": "destination.geo",
        "ignore_missing": true
      }
    },
    {
      "geoip": {
        "field": "server.ip",
        "target_field": "server.geo",
        "ignore_missing": true
      }
    },
    {
      "geoip": {
        "field": "host.ip",
        "target_field": "host.geo",
        "ignore_missing": true
      }
    }
  ]
}

ymlファイルに以下の設定をし、設定したパイプラインを読み込むよう定義しています

# ---------------------------- Elasticsearch Output ----------------------------
output.elasticsearch:
  # Array of hosts to connect to.
#  hosts: ["localhost:9200"]

  # Protocol - either `http` (default) or `https`.
 protocol: "https"
 pipeline: geoip-info

上記パイプラインを設定すると、データに 「source.geo」「destination.geo」の2つのフィールドが追加されるはずと思うのですが、フィールドが追加されておらず、MAPも「Unable to initialize map
Failed to initialize WebGL.」というエラーメッセージが表示されるだけでMAP自体が表示されません。

原因についてご教示頂けないでしょうか

@t-nakata さん

まず、FilebeatかPacketbeatか、どちらかに絞ってトラシューしましょうか。

Filebeatの場合、普通にSystem Moduleなどを使えば、Moduleの中でgeoのEntrichのPipelineがセットアップされるので、まずはそれでうまく動くか見てみてはどうでしょうか？Systemのauthの方なら、geoのEnrichが含まれます。

Packetbeatの場合は、マニュアルでPipelineをセットアップする必要がありますが、PacketbeatでIngestしたイベントには、元となるFieldのデータ（例えば、source.ipなど）は入っていますか？
あとは、対応するIndex TemplateにXXX.geoがちゃんとあるか、などを確認してみてください。

This topic was automatically closed 28 days after the last reply. New replies are no longer allowed.