Kibana Canvas 实战：打造酷炫安全报告与演示文稿

Kibana Canvas 实战：打造酷炫安全报告与演示文稿

各位 Kibana 的老铁们，大家好！我是你们的“数可视”小编。今天咱们来聊聊 Kibana 里面一个超酷炫、但可能被你低估了的组件——Canvas。别以为 Kibana 只能做做 Dashboard，Canvas 可是能让你玩出花来的！特别是对于咱们这些天天跟数据打交道的安全分析师，Canvas 绝对是提升报告“颜值”和演示效果的神器。

Canvas 是啥？能干啥？

简单来说，Canvas 就是一个“数据画布”，你可以把 Elasticsearch 里的数据，通过各种图表、图形、文字、甚至自定义元素，像搭积木一样组合成一份精美的报告或者演示文稿。它跟 Dashboard 最大的区别就是：高度定制化。

Dashboard 里面的图表都是预设好的，你只能调整一些参数。而 Canvas，你可以从零开始，完全按照你的想法来设计。你可以：

• 自定义图表样式：颜色、字体、布局，想怎么调就怎么调。
• 添加自定义元素：图片、图标、形状、文本框，让你的报告更生动。
• 创建动态效果：数据刷新、动画、交互，让你的演示更吸引人。
• 支持表达式：通过类似 Excel 公式的表达式，对数据进行更复杂的处理和展示。

为什么安全分析师要用 Canvas？

作为安全分析师，我们每天都要面对海量的数据，从中找出威胁和异常。传统的报告方式，要么是枯燥的表格，要么是千篇一律的图表，很难让人眼前一亮，更别说让领导或者客户印象深刻了。而 Canvas 可以帮助我们：

1. 提升报告的“颜值”：通过精美的图表和视觉元素，让报告更具吸引力，更容易抓住重点。
2. 增强数据的表达力：通过自定义图表和动态效果，更直观地展示数据背后的故事和趋势。
3. 打造专业的演示文稿：Canvas 可以直接导出为 PDF 或者嵌入到网页中，方便进行演示和分享。
4. 满足个性化需求：不同的场景、不同的受众，需要不同的报告风格，Canvas 可以轻松实现。

Canvas 实战案例：安全态势感知报告

接下来，咱们就以一个“安全态势感知报告”为例，看看 Canvas 怎么玩。

1. 准备工作

• 安装 Canvas 插件：如果你的 Kibana 还没有 Canvas，需要先安装一下。
• 准备数据：我们需要一些安全相关的数据，比如防火墙日志、入侵检测日志、漏洞扫描结果等等。这些数据需要先导入到 Elasticsearch 中。
• 设计草图：在动手之前，最好先画个草图，规划一下报告的整体布局和内容。比如，我们可以把报告分成几个部分：
  • 总体态势：展示当前的安全风险等级、威胁数量、攻击类型分布等。
  • 重点威胁：展示最近发生的严重威胁事件，包括攻击源、攻击目标、攻击手法等。
  • 漏洞情况：展示当前存在的漏洞数量、漏洞类型、影响范围等。
  • 安全建议：根据分析结果，给出一些安全加固建议。

2. 创建 Canvas 工作区

打开 Kibana，点击左侧导航栏的 Canvas 图标，创建一个新的 Workpad（工作区）。

3. 添加元素

接下来，我们就可以开始往 Workpad 里面添加元素了。Canvas 提供了很多内置的元素，比如：

• 图表：柱状图、折线图、饼图、地图等等。
• 文本：标题、段落、标签等等。
• 形状：矩形、圆形、线条等等。
• 图片：可以上传本地图片，或者使用网络图片。
• 数据表：以表格形式展示数据。
• 指标：展示单个数值，比如总的威胁数量。

我们可以根据之前的草图，把这些元素拖拽到 Workpad 中，并调整它们的位置和大小。

4. 连接数据

光有元素还不行，我们还需要把它们跟 Elasticsearch 中的数据连接起来。每个元素都有一个“数据源”的配置项，我们可以选择 Elasticsearch 中的索引和字段，然后通过表达式来对数据进行处理和展示。

比如，我们要展示一个“威胁类型分布”的饼图，可以这样配置：

• 数据源：选择我们的防火墙日志索引。
• 指标：选择“count”聚合，计算每个威胁类型的数量。
• 维度：选择“threat_type”字段，作为饼图的分区。

Canvas 的表达式功能非常强大，它支持很多内置的函数，可以进行各种数据转换、过滤、计算等操作。比如，我们可以使用 filters 函数来过滤数据，使用 math 函数来进行数学运算，使用 timefilter 函数来设置时间范围等等。

5. 自定义样式

连接好数据之后，我们就可以对元素的样式进行自定义了。Canvas 提供了丰富的样式选项，可以调整颜色、字体、边框、背景等等。我们还可以使用 CSS 来自定义更复杂的样式。

比如，我们可以把饼图的颜色设置为跟威胁等级相对应，红色表示高危，黄色表示中危，绿色表示低危。我们还可以给标题添加阴影效果，让它更醒目。

6. 添加交互

Canvas 支持一些简单的交互操作，比如点击、悬停等。我们可以利用这些交互来增强报告的互动性。

比如，我们可以给饼图添加一个点击事件，当用户点击某个威胁类型时，跳转到另一个 Workpad，展示该类型的详细信息。

7. 导出和分享

完成报告的设计之后，我们可以把它导出为 PDF 或者嵌入到网页中，方便进行演示和分享。Canvas 还支持全屏模式，让演示效果更佳。

高级技巧

• 使用 Markdown：Canvas 支持 Markdown 语法，可以方便地编写文本内容，包括标题、列表、链接等等。
• 使用变量：Canvas 支持定义变量，可以把一些常用的值或者表达式存储在变量中，方便复用和修改。
• 使用 Canvas API：Canvas 提供了 REST API，可以通过编程的方式来创建、修改和管理 Workpad。
• 使用EQL进行数据查询： Canvas支持EQL(Event Query Language)进行数据查询，可以对时序数据进行更复杂的过滤和关联分析。
• 使用 Lens：Kibana Lens 是一个更简单易用的可视化工具，可以快速创建图表，然后把 Lens 创建的图表直接导入到 Canvas 中。
• 时间序列数据可视化：针对安全日志这类时序数据，可以使用 Timelion 或者 TSVB（Time Series Visual Builder）创建更专业的时序图表，并嵌入到 Canvas 中。

总结

Canvas 是 Kibana 中一个非常强大的工具，它可以帮助我们创建高度定制化的安全报告和演示文稿，提升数据的表达力和吸引力。对于安全分析师来说，掌握 Canvas 的使用技巧，可以让我们的工作更上一层楼。

当然，Canvas 的功能远不止这些，还有很多高级的用法等待我们去探索。希望今天的分享能给大家带来一些启发，让大家都能用 Canvas 做出更酷炫、更有价值的安全报告！如果你在使用 Canvas 的过程中遇到任何问题，或者有什么好的想法和建议，欢迎在评论区留言，我们一起交流学习！

彩蛋：

• 想了解更多 Canvas 的用法，可以参考 Kibana 官方文档：https://www.elastic.co/guide/en/kibana/current/canvas.html
• Elastic 官方博客上有很多 Canvas 的案例和教程，可以参考：https://www.elastic.co/blog/topic/canvas