Embed Size (px)
Citation preview
Splunk Enterprise 6.3.0
Splunk Enterprise 方案方案
生成时间:2015 年 9 月 4 日,下午 3:50
Copyright (c) 2016 Splunk Inc. All Rights Reserved
33
33359
1217
Table of Contents概述概述
关于这些方案关于这些方案
创建登录失败仪表板创建登录失败仪表板1:定义目标:定义目标2:检查数据:检查数据3:提取字段:提取字段4:创建单值可视化:创建单值可视化5:使用:使用 “简化简化 XML”自定义面板自定义面板6:添加钻取面板:添加钻取面板
概述概述关于这些方案关于这些方案
本手册包含运维智能使用使用案例的分步走查。
创建登录失败仪表板创建登录失败仪表板1:定义目标:定义目标
什么是使用案例?什么是使用案例?
使用案例是基于标准的 IT 操作和安全监控来使用教程的样本数据。本教程引导您通过一些搜索使用“安全”sourcetype、过滤和显示登录尝试失败所包含的事件。您可将搜索保存为报表,然后使用这些报表构建和自定义有用的仪表板(显示关键信息一览)。
本教程包括什么?本教程包括什么?
在本教程中,您将创建一个有用的仪表板来跟踪和分析试图访问您系统的黑客信息。为此,您将完成以下阶段。
前提条件是什么?前提条件是什么?
Splunk Enterprise 6.2.X 版本的运行实例。您可以使用 Splunk Enterprise、Splunk Cloud 或 Splunk CloudFree Trial 的本地实例。教程样本数据(可下载)。在您继续之前,遵照这些说明将数据导入 Splunk Enterprise。请注意,如果您使用Splunk Cloud,则需要使用 Splunk Enterprise 支持将样本数据文件加载到您的 Cloud 实例中。
最终目标是什么?最终目标是什么?
您希望创建仪表板来显示
登录尝试失败的次数,显示为所有帐户的失败次数对比无效帐户的失败次数对比有效帐户的失败次数,按严重程度用不同的颜色显示这些值。
登录尝试失败次数最多的前五名黑客的 IP 地址列表。
显示每个黑客所针对的用户帐户的钻取表,通过在仪表板上单击黑客的 IP 地址进行动态填充。
显示 IP 地址位置的钻取地图,通过在仪表板上单击黑客的 IP 地址进行动态填充。
观看该 30 秒视频,视频演示当您加载和使用仪表板时完成后的仪表板外观是什么样的。
2:检查数据:检查数据
您在开始的时候,所知道的是黑客似乎进行了数百次的尝试,想登录到您的系统,但都失败了。在数据集(对您来说是新的数据集)中追踪到该活动,所以您需要检查它。是否有登录失败事件?它们的外观是什么样的?如何找到它们?
在方案的这个阶段中,您可以学习:
查看您数据中的事件模式,以确定特定类型的事件运行能分离出与特定事件模式匹配的事件的搜索。
步骤步骤 1:查看样本数据中有哪些事件:查看样本数据中有哪些事件
当您输入样本数据(请参阅在目标页面上的“前提条件”)时,会获得适用于所有数据的 source 字段值。首先,使用该来源来搜索此数据。
在所有时间范围内运行以下搜索:3
source="tutorialdata.zip:*"
此搜索返回大量事件。已从 tutorialdata.zip 中的各种日志文件中提取这些事件。在搜索结果的第一页中,您可能不会看到任何登录失败事件。
注意:因为样本数据的可变性,该方案中所有的搜索和报表都运行在所有时间范围内。取决于您在什么时间将样本数据导入到 Splunk Enterprise 或 Splunk Cloud 实例,您的搜索可能会显示与此处所显示的不同的结果。
那么现在要做什么呢?很简单。检查此搜索返回的数据集中的事件类型。
步骤步骤 2:在数据集中查找事件模式:在数据集中查找事件模式
使用“模式”选项卡来查看数据集中的常用事件模式。您可能会找到一个可以搜索的登录错误事件。
1.单击模式选项卡。
执行此操作时,Splunk Enterprise 会在搜索结果中进行二次搜索以找到其中不同的事件模式。
通过“模式”选项卡可查找四种事件模式。其中一种显然表示失败的密码尝试。
4
注意:如果较小/较大滑块滑到与上文显示的默认设置不同的位置,您也许会看到更多或更少的模式。将其滑到该位置以获得这些结果。
2.单击模式以查看有关模式的详细信息,包括定义事件模式的关键字和为获得模式所表示的事件您应该运行的搜索。
source="tutorialdata.zip:*" Failed
“模式”选项卡只是找出您的搜索数据中包含哪些内容的一种方式:
查看在“字段”边栏中返回的字段。研究字段摘要和运行预先构建的搜索。在“数据透视表”中打开搜索并基于搜索数据使用表格和图表。
步骤步骤 3:运行另一个搜索来查找模式所表示的事件:运行另一个搜索来查找模式所表示的事件
在“模式”选项卡中,单击查看事件。
这会运行一个搜索(使用上一步结束时的搜索字符串)。搜索会分离出符合该事件模式的事件。关键字 failed 用黄色的突出显示来标识。
如果您查看字段边栏,在事件列表的左侧,您会看到该搜索返回的所有事件都具有相同的来源类型的值。在本练习的余下部分,我们会在搜索中使用该来源类型。
该替代搜索字符串会返回相同的事件集:
sourcetype=secure failed
下一步我们会确定需要从这些事件中提取的字段,并为它们设置字段提取。进入下一阶段。
3:提取字段:提取字段
现在您有一组事件,您可以以其为基础构建一些仪表板面板。在您开始构建可视化和构建仪表板面板之前,确保您拥有所需要的一切信息。
在方案的这个阶段中,您可以学习如何:
确定您需要搜索的字段,并确定它们是否存在或是否必须从数据中提取。使用“字段提取器”创建字段提取。
步骤步骤 1:查看您正尝试做的事情,并确定您需要用哪些字段:查看您正尝试做的事情,并确定您需要用哪些字段
您想要构建一个监视登录尝试失败的仪表板。您会希望有以下面板:
一组能提供登录尝试失败的计数的面板。一个能根据黑客发起的登录事件失败的计数列出黑客排名的面板。一个能根据黑客对于每个用户进行的登录尝试的计数显示特定黑客所瞄准的用户的面板。
现在查看您的事件并思考您需要哪些字段来构建这些面板。
5
“面板”的概念 您将如何实现它? 需要新的字段吗?
登录尝试失败的计数,细分为有效和无效的帐户。
使用 | stats count 操作以获得事件计数。
否。我们可以用单词搜索来区分有效和无效的帐户。
黑客排名 使用 | top <fieldname> 操作来列出黑客排名。
是。我们可以通过事件中的 ip 地址来识别黑客,所以我们需要提取 ip 地址值。
目标用户 设计钻取搜索,为带有特定 ip地址的事件运行 | stats countby <fieldname>。
是。我们必须在每个事件中提取用户名。也需要提取上文提及的ip 地址字段。
在世界地图上对黑客进行定位
使用 iplocation 和 geostats 命令将黑客的 ip 地址值转换为在地图上绘制的位置。
除上文提及的 ip 地址字段外没有新的字段。
注意:在上文搜索示例中使用的 stats 和 top 命令是转换命令的示例。您可以使用转换命令以表格、图表和可视化的形式来显示统计信息。
步骤步骤 2:查看您需要的字段是否已经被提取:查看您需要的字段是否已经被提取
在搜索 sourcetype=secure failed 的结果中,查看字段边栏。字段边栏会显示两类提取字段:所选择的字段和感兴趣的字段。它不会始终显示 Splunk Enterprise 为搜索所选择的每个字段。
不会显示任何具有 ip 地址或用户名的值的字段。为了确保该点,单击所有字段。这会打开“选择字段”对话框,其中您会看到从该搜索提取的所有字段的详细信息,而不只是所选择的字段或 Splunk Enterprise 感兴趣的字段的信息。
对于“选择字段”对话框的快速查看证实 ip 地址和用户名字段不是从这些事件中提取的。您必须提取这些字段。
6
单击“选择字段”对话框中的提取新字段来打开字段提取器。
步骤步骤 3:字段提取:字段提取 - 选择示例事件选择示例事件
字段提取器在“选择示例”这步打开,在这步您可以为字段提取选择示例事件。
注意,字段提取器指示您正在为安全的来源类型提取字段。由字段提取器创建的所有字段提取都必须与来源类型相关联。在这种情况下,字段提取器从您的搜索中获得来源类型。如果您的搜索不包含来源类型,则您在进入字段提取器时必须提供一个。
1.选择一个事件单击它。
在屏幕中间会出现蓝色背景的白色文本。
2.单击下一步来选择您想要从事件中提取的字段。
字段提取也可以与特定的主机和来源值相关联,但是字段提取器仅启用来源类型字段提取。前往此处以获得有关字段提取和字段提取配置的更多信息。
步骤步骤 4:字段提取:字段提取 - 选择您想要提取的字段选择您想要提取的字段
在字段提取器的“选择字段”这步,在示例事件中突出显示您想提取的字段值。您可以从相同事件中提取多个字段。
1.突出显示单词 root 并指示它为称作 username 的新字段的示例值。
2.单击添加提取。
执行此操作时,字段提取器尝试从示例事件中提取字段。您可以在页面底部附近的预览表中查看结果。字段的提取值使用与示例事件中的值相同的颜色突出显示。
3.将事件中的 ip 地址突出显示为新的 clientip 字段的值。
4.再次单击添加提取。
更新预览表以显示字段提取器如何查找并提取第二个字段的值。
7
在您添加两个字段提取之后,预览表外观应如下所示。
看来字段已被正确地提取。
单击下一步来验证您的字段提取并保存它们。
注意:字段提取器具备多种功能,可帮助您定义字段提取和测试它们。如果想要了解更多信息,请前往此处。
步骤步骤 5:验证并保存您的字段提取:验证并保存您的字段提取
在字段提取器的“验证字段”这步,您可以验证您的字段提取。您可以通过切换到匹配和不匹配视图,或者通过查看为username 和 clientip 字段创建的选项卡来调查您的字段提取是否成功。
在本页中,您不应该发现错误,但如果您发现了错误,可以尝试通过移除事件中被错误地突出显示的值来解决此错误。
1.单击下一步来保存字段提取。
该提取会将两个字段都提取出来。
2.在“保存”页面上,您仅需做的一件事是将权限更改为所有应用。
如果您保持所有者的默认值不变,则您使用它们创建的其他仪表板将只能为您所用。
您有机会通过角色来为提取设置权限。目前就保持默认权限(“每个人”的读取权限和“管理员”的写入权限)。
3.单击完成来保存您的提取。
注意:所有的字段提取都可以有它们自己的权限集。权限决定谁可以访问和使用您提取的字段。前往此处以获得有关权限设置的更多信息。
8
现在您已经准备好构建单值可视化。进入下一阶段。
4:创建单值可视化:创建单值可视化
现在,您已经进一步了解您有兴趣跟踪的事件的种类,准备好开始构建一个仪表板。首先,您想知道有多少次针对您系统的登录尝试失败,并比较其中有多少次针对有效帐户的尝试失败和多少次获取帐户数据的尝试失败。
在使用案例的这个阶段中,您可以学习如何:
将简单的搜索转化为单值可视化将已保存的报表添加到仪表板
步骤步骤 1:搜索验证失败事件:搜索验证失败事件
为了查找“搜索和报表”应用中的验证失败事件,重新运行您的简单搜索。
sourcetype=secure failed
上图中的搜索返回 33,253 个事件,这意味着在您的数据中总计有 33,253 次登录失败。(由于样本数据文件的变
9
化,您的结果可能会有所不同。)
步骤步骤 2:创建单值可视化:创建单值可视化
为了在可视化中捕获该值,您需要稍微修改您的搜索字符串,因为上文的简单搜索字符串不会以支持统计或可视化的方式生成结果。
将您的搜索字符串调整为:
sourcetype=secure failed | stats count
运行搜索,然后切换到“可视化”选项卡。必要时将可视化类型更改为单值。
现在您有想要显示的单值,但它缺乏上下文。
1.单击格式打开“格式”菜单。
2.添加标签,如下所示。
在“标签后”中,输入失败的尝试。
在“标签下”中,输入总计数。
3.单击应用以保存格式更改。
步骤步骤 3:将您的可视化保存为报表:将您的可视化保存为报表
前往另存为>报表,将该可视化保存为报表。
10
给您的报表一个标题,将时间范围挑选器设为否,然后单击保存。
步骤步骤 4:将您的报表添加到仪表板:将您的报表添加到仪表板
在下一屏幕中,选择添加到仪表板,并创建称为失败的验证的新仪表板。如下所示,选择报表操纵的面板。单击保存。
当前仪表板的单个面板显示验证失败的总次数。能知道总次数当然很好,但是可以一眼就看到有多少次使用有效帐户的验证尝试失败对比使用无效帐户的失败次数也会便于分析。
步骤步骤 5:为两个额外的可视化,重复这些步骤:为两个额外的可视化,重复这些步骤
添加两个额外的面板,它们显示:
无效帐户的密码验证失败次数有效帐户的密码验证失败次数
遵循前面的步骤为您想要计数的事件运行搜索、创建单值可视化并用标签来为可视化设置格式。
使用以下表格作为参考。
步骤步骤 5:为两个额外的可视化,重复这些步骤:为两个额外的可视化,重复这些步骤
设置 无效帐户 有效帐户
搜索字符串
sourcetype=secure failed "invalid user" | stats
count
sourcetype=secure failed NOT "invalid user" | stats
count
标签后 失败的尝试 失败的尝试
11
标签下 无效帐户 有效帐户
当您运行每一个搜索和为每个单值可视化设置格式时,将它保存为一个报表并将其添加到您的仪表板。您得到的仪表板外观应如下所示。
步骤步骤 6:开始自定义您的仪表板的布局:开始自定义您的仪表板的布局
为了节省空间,重新排列面板以使它们都出现在一行中。
1.单击编辑>编辑面板。
2.单击并拖动面板以使它们的排列如下所示。
3.单击完成。
这样看起来很不错,但是使用“简化 XML”您可以进一步地自定义该信息的外观。
准备好了解更多信息了吗?进入下一主题:5.使用“简化 XML”自定义面板。
5:使用:使用“简化简化 XML”自定义面板自定义面板
现在,在您的仪表板上有一些数据,花一点时间思考显示这些信息的理想方式,以便其有助于读者一望就能轻松理解。在这种情况下,您正在呈现三个表示安全风险的相关值。可能这些值会被用颜色编码来指示严重程度,以便如果有紧急情况需要关注的话,访问该仪表板的任何人一眼就能看到。
在使用案例的这个阶段中,您可以学习如何:
使用“简化 XML”和修改的搜索来对您的单值可视化进行颜色编码移除一行中多个面板之间的垂直分隔线以创建一个更简化的外观。
步骤步骤 1:根据严重程度对您的值进行颜色编码:根据严重程度对您的值进行颜色编码
您可以使用“简化 XML”标记单值可视化,赋予其属性以指示 Splunk Enterprise 用四种颜色的其中一种显示该值来表明严重程度。为此您所需要的属性被称为 classField。
1.首先,单击编辑>编辑来源为您的仪表板打开 XML 编辑器。
12
注意:classField 属性是能用来自定义仪表板面板显示的 <single> 对象(适用于 XML 来源中的单值可视化的标记)的多种可用属性的其中一种。查阅仪表板和可视化手册中的参考信息。
2.在打开的 XML 编辑器中,观察到有一个 <single> 对象,它代表您的三个仪表板面板中的每一个面板。
3.将下面的行添加到每一个 <single> 对象内部,如下所示。
<option name="classField">class</option>
13
4.单击保存以返回到仪表板。
5.接下来,您需要调整填充每个仪表板面板的搜索字符串以引用您刚添加到 XML 中的属性。为此,单击编辑>编辑面板。
6.然后,单击第一个面板的面板类型图标,然后在出现的下拉菜单中单击您的面板名称。然后,在更大的下拉菜单中,单击在搜索中打开。
7.如下所示调整您的搜索查询,并再次运行您的搜索。
sourcetype=secure failed | stats count as Failed | eval class=if(Failed>10000,"severe","low")
8.观察由新的搜索字符串引入的更改。您的单值不再是一个普通的计数,现在它有一个名称 Failed。现在您也有一个称为 class 的严重程度栏。搜索字符串中的逻辑将值的严重程度评估为 "severe"。
9.单击保存,用这个新的字符串覆盖已保存的报表中的搜索。在出现的窗口中再次单击保存来保存报表。
10.返回到仪表板。现在您应该看到第一个值用红色显示。
14
注意:当然,您可以使用两种以上的颜色来设置 classField 范围。您甚至可以使用 charting.fieldColors 属性来精确地确定显示为哪些颜色。要了解可能的设置方式,前往此处。
11.为仪表板中的另外两个面板,重复上面的步骤。
编辑>编辑面板单击面板类型图标,然后单击面板名称。在下拉菜单中,单击“在搜索中打开”。调整搜索,在其末尾添加 Failed | eval class=if(Failed>10000,"severe","low")。保存新搜索以覆盖已保存的报表中的原始搜索。返回到仪表板。
一旦您已为所有的三个面板调整搜索字符串,仪表板的外观应如下所示。
在上文的示例中,“使用有效帐户的登录尝试失败”以绿色显示(即 severity=low),因为该值低于搜索字符串中设置的阈值 10,000。前两个值用红色显示,因为它们都超过 10000。正如您可能已经猜到的,您可以配置搜索字符串中使用的阈值和严重程度标记来匹配您的使用案例。
步骤步骤 2:合并面板以降低杂乱程度:合并面板以降低杂乱程度
1.接下来,假设您想在单一完整的面板上显示这三个单值可视化来直观表示这些数字是密切相关的。您可以通过编辑XML 以移除面板间的面板标记来实现此目的。
2.转到编辑>编辑来源,打开 XML 编辑器。移除两组
</panel>
<panel>
在下图中指定的标记。
15
现在您的 XML 应如下所示:
<dashboard>
<label>Failed Authentication</label>
<row>
<panel>
<single>
<title>Total Failed Login Attempts</title>
<search ref="Total Failed Login Attempts"></search>
<option name="drilldown">none</option>
<option name="classField">class</option>
</single>
<single>
<title>Failed Login Attempts with Invalid Accounts</title>
<search ref="Failed Login Attempts with Invalid Accounts"></search>
<option name="afterLabel">Failed Attempts</option>
<option name="underLabel">Invalid Accounts</option>
<option name="classField">class</option>
</single>
<single>
<title>Failed Login Attempts with Valid Accounts</title>
<search ref="Failed Login Attempts with Valid Accounts"></search>
<option name="afterLabel">Failed Attempts</option>
<option name="underLabel">Valid Accounts</option>
<option name="classField">class</option>
</single>
</panel>
</row>
</dashboard>
3.单击保存以返回到仪表板。之前三个独立的面板现在合并成一个。
4.现在,您有一个单一的面板,可以减少页面上的文本以删除一些额外的标签。再次转到编辑>编辑面板来移除原有的面板标题(如果有的话)。您可以在首个面板标题空间(标题以整行显示)中包含一个更通用的标题,如图所示。
16
5.单击完成,并查看结果。
准备好进入下一步了吗?转到 6。添加钻取面板,用一些外观时尚的钻取面板来完成该使用案例。
6:添加钻取面板:添加钻取面板
您几乎已完成全部练习!为了完成您所设定的使用该仪表板要实现的所有目标,需要再添加三个面板:
1. 一张显示验证尝试失败次数最多的前五名黑客的 IP 地址的表格。2. 一张显示选定的黑客所瞄准的用户帐户的钻取表。3. 一张显示与选定的黑客的 IP 地址相关联的位置的钻取地图。
第一个面板相当简单,但是两个钻取面板需要一些额外的“简化 XML”修改以启用单击值。在使用案例的这个阶段中,您可以学习如何:
基于已保存的搜索创建额外的面板。为单击值配置标记以在仪表板中启用动态钻取。在您的搜索字符串中调用标记来创建钻取面板。
步骤步骤 1:创建一个带有显示前五名黑客的表格的面板:创建一个带有显示前五名黑客的表格的面板
1.运行搜索以显示登录失败次数最多的前五名 IP 地址的表格。
sourcetype=secure failed | top 5 clientip
2.接下来,通过移除百分比栏和重命名余下的两栏来稍微清理该表格以更好地描述上下文。
sourcetype=secure failed | top 5 clientip showperc=f | rename clientip as "Hacker" count as "Failed Logins"
3.现在所得到的表格只有您想要的两栏以及更具描述性的栏目标题。单击另存为,将该搜索保存为仪表板面板。
17
4.将面板添加到现有的“失败的验证”仪表板,面板标题使用前五名黑客。单击保存,然后单击查看仪表板。
5.您的仪表板现在包含一张列出前五名黑客 IP 地址的表格。
步骤步骤 2:创建一张显示每个黑客:创建一张显示每个黑客 IP 的目标帐户的钻取表的目标帐户的钻取表
有一张 IP 地址列表很不错,但是您希望能提供有关这些黑客的更多信息。首先,您希望查看该仪表板的任何人都可以单击其中一个 IP 地址并查看目标帐户列表。要实现这点,您要在“前五名黑客”面板和列出用户帐户的新面板之间创建钻取关联。
注意:Splunk Enterprise 仪表板支持多种钻取配置。请参阅仪表板和可视化手册中有关仪表板和表单中动态钻取的更多信息。
1.首先,配置“前五名黑客”面板的钻取行为。转到“编辑>编辑来源”并滚动到表示“前五名黑客”面板的 XML 部分。
2.立即在 <search> 标记下添加下面的 XML。
<drilldown>
<set token="hackerip">$click.value$</set>
</drilldown>
18
3.该代码将标记 "hackerip" 定义为能使用 $hackerip$ 符号在搜索中引用的动态可单击的值。
4.单击保存以返回到仪表板。
5.接下来,通过单击编辑>编辑面板>添加面板将新面板添加到该仪表板。会打开一个滑动面板,并且还有用于创建新仪表板面板的若干选项。您想要基于新搜索创建表格,因此选择新建,然后选择统计表。
6.在打开的滑动面板的右侧,将您的面板命名为 $hackerip$ 的受害者并输入搜索字符串:
sourcetype=secure clientip="$hackerip$" | stats count by username | sort -count
该搜索调用您之前创建的 $hackerip$ 标记,并将 clientip 字段确定为该标记的可单击值。当一个用户单击“前五名黑客”表格中的一个 ip 地址时,Splunk Enterprise 会运行搜索来生成基于该输入的用户名表格。
7.单击添加到仪表板并关闭滑动面板。您的新面板会显示在仪表板底部。它目前没有显示数据,因为只有当查看面板的用户单击“前五名黑客”面板中的一个 IP 地址时才会填充该面板。
8.单击并拖动您的新面板,使它直接位于“前五名黑客”面板的右侧,如图所示。
19
9.单击右上角的完成来提交编辑。
10.通过单击“前五名黑客”面板中的一个 IP 地址来测试您的钻取面板。
测试前:
测试后:
20
看起来不错!在接下来的步骤中,您将在这两个面板下方添加一个地图,这样就可以更进一步编辑以节省仪表板中的一些空间。
11.转到编辑>编辑面板,然后在“受害者”面板中单击画笔图标。将显示的行数更改为 5。
12.单击应用。现在您的面板整齐地排列在底部,留出更多的空间给将要添加的地图。
21
步骤步骤 3:创建显示黑客位置的钻取地图:创建显示黑客位置的钻取地图
接下来,添加在地图上绘制黑客的 IP 地址位置的面板。像您刚才创建的面板一样,该面板应该是基于“前五名黑客”面板的钻取面板,允许仪表板用户通过单击 IP 地址来生成地图。
1.单击编辑>编辑面板>添加面板。在滑动面板上,单击新建>地图。输入黑客位置作为内容标题,然后输入下列的搜索字符串。
sourcetype=secure failed clientip="$hackerip$" | dedup clientip | iplocation prefix=cip_ clientip | geostats
latfield=cip_lat longfield=cip_lon count
该搜索再次调用您之前创建的 $hackerip$ 标记,并将 clientip 字段确定为该标记的可单击值。当一个用户单击“前五名黑客”表格中的一个 IP 地址时,Splunk Enterprise 会运行搜索来生成基于该输入的地图。
注意:要了解有关创建地图可视化的更多信息,请参阅搜索手册中的 geostats 参考。也可以阅读仪表板和可视化手册中有关编辑和自定义地图可视化的更多信息。
2.单击添加到仪表板,然后关闭滑动面板并单击完成以将您的编辑保存到仪表板。
3.单击一个 IP 地址来填充“受害者”面板和地图。
22
祝贺您,您已经完成了全部练习!如果您喜欢本教程,请进一步学习!可考虑下载“仪表板示例应用”,它会通过实战的方式让您了解基本概念和使用“简化 XML”快速创建丰富的仪表板所需要的工具。
23
