Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
イベントネットワークにおけるsyslog分析でのElasticsearchの利用
Search
Hiroshi
September 13, 2016
Technology
1
1.1k
イベントネットワークにおけるsyslog分析でのElasticsearchの利用
Elastic勉強会 in Kanazawaの発表資料
Hiroshi
September 13, 2016
Tweet
Share
More Decks by Hiroshi
See All by Hiroshi
pepacon night : log research working group report
hirolovesbeer
0
1.3k
OSC-Hokkaido-2018-hayabusa
hirolovesbeer
0
690
Other Decks in Technology
See All in Technology
ブラックフライデーで購入したPixel9で、Gemini Nanoを動かしてみた
marchin1989
1
510
LINEヤフーのフロントエンド組織・体制の紹介【24年12月】
lycorp_recruit_jp
0
530
サーバレスアプリ開発者向けアップデートをキャッチアップしてきた #AWSreInvent #regrowth_fuk
drumnistnakano
0
190
alecthomas/kong はいいぞ / kamakura.go#7
fujiwara3
1
300
Oracle Cloudの生成AIサービスって実際どこまで使えるの? エンジニア目線で試してみた
minorun365
PRO
4
270
AI時代のデータセンターネットワーク
lycorptech_jp
PRO
1
280
組織に自動テストを書く文化を根付かせる戦略(2024冬版) / Building Automated Test Culture 2024 Winter Edition
twada
PRO
8
3.1k
20241220_S3 tablesの使い方を検証してみた
handy
3
170
成果を出しながら成長する、アウトプット駆動のキャッチアップ術 / Output-driven catch-up techniques to grow while producing results
aiandrox
0
180
Jetpack Composeで始めるServer Cache State
ogaclejapan
2
160
TSKaigi 2024 の登壇から広がったコミュニティ活動について
tsukuha
0
160
フロントエンド設計にモブ設計を導入してみた / 20241212_cloudsign_TechFrontMeetup
bengo4com
0
1.9k
Featured
See All Featured
Optimising Largest Contentful Paint
csswizardry
33
3k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
irinanazarova
5
440
Documentation Writing (for coders)
carmenintech
66
4.5k
The Psychology of Web Performance [Beyond Tellerrand 2023]
tammyeverts
45
2.2k
Product Roadmaps are Hard
iamctodd
PRO
49
11k
Speed Design
sergeychernyshev
25
670
GitHub's CSS Performance
jonrohan
1030
460k
Making Projects Easy
brettharned
116
5.9k
Easily Structure & Communicate Ideas using Wireframe
afnizarnur
191
16k
It's Worth the Effort
3n
183
28k
The Power of CSS Pseudo Elements
geoffreycrofte
73
5.4k
Transcript
イベントネットワークにおける syslog分析でのElasticsearchの利⽤ 2016/09/11 あべひろし(@hirolovesbeer)
イベントネットワークにおける syslog分析でのHadoop Elasticsearchの利⽤ 2016/09/11 あべひろし(@hirolovesbeer)
アジェンダ • ⾃⼰紹介 • イベントネットワークとは? • syslogを⽤いた監視 • Elasticsearch +
Kibana + Logstash = ??? • さらなるsyslog監視
⾃⼰紹介 • 所属 • IIJイノベーションインスティテュート 技術研究所 • 北陸先端科学技術⼤学院⼤学 篠⽥研究室 博⼠課程
• 活動 • WIDEプロジェクトメンバー • Interop Tokyo 2015/2016 NOCメンバー
⾃⼰紹介 • 所属 • IIJイノベーションインスティテュート 技術研究所 • 北陸先端科学技術⼤学院⼤学 篠⽥研究室 博⼠課程
• 活動 • WIDEプロジェクトメンバー • Interop Tokyo 2015/2016 NOCメンバー Kanazawa.rb!!
Kanazawa.rb
イベントネットワークとは?
イベントネットワークとは? • ⼤規模な展⽰会やカンファレンスで提供されるネットワーク • 来場者/出展者に対してインターネットアクセスが提供される • マルチベンダ機器で構成される実験的なネットワーク • 短期間で構築/運⽤/撤収 •
例) Interop TokyoのShowNet
イベントネットワークの規模 • 例) Interop Tokyo 2016の場合 • 来場者数: 3⽇間で14万⼈超え •
出展者数: 529社, 出展⼩間数: 1388⼩間 • コントリビューション総額: 74億円 • 動員数: NOC/STM/コントリビュータ: 396名 • UTP利⽤線⻑総計: 約30km
イベントネットワークの監視 • 王道 • ping/traceroute/tcpdump • モニタリングツール • Zabbix, Nagios,
etc… • syslog監視 • VMware LogInsight, OSS,…
syslogを⽤いた監視
syslogの監視 • ログの総数から異常を監視 • 機器の発狂/設定ミス、DoS攻撃、ワームの発⽣ • 特定キーワードの出現を監視 • BGP down/OSPF
down/Storm detection • 通知⽅法 • 視覚化、メール通知、slack通知
syslogの総量 • 約4,300万件 : 多い?少ない? ⽇付 総イベント数 ⽇付 総イベント数 5/27
192 6/4 2,108,661 5/28 181,285 6/5 3,177,122 5/29 552,579 6/6 3,297,654 5/30 821,363 6/7 2,702,382 5/31 617,368 6/8 3,186,363 6/1 917,308 6/9 12,769,834 6/2 1,949,738 6/10 9,446,694 6/3 1,771,956 合計 43,500,499
syslogの総量 • 約4,300万件 : 多い?少ない? • フォーマットは不揃い!!ベンダーの⼈ですら初⾒のログ多数 ⽇付 総イベント数 ⽇付
総イベント数 5/27 192 6/4 2,108,661 5/28 181,285 6/5 3,177,122 5/29 552,579 6/6 3,297,654 5/30 821,363 6/7 2,702,382 5/31 617,368 6/8 3,186,363 6/1 917,308 6/9 12,769,834 6/2 1,949,738 6/10 9,446,694 6/3 1,771,956 合計 43,500,499
syslogの監視 • ログの総数から異常を監視 • 機器の発狂/設定ミス、DoS攻撃、ワームの発⽣ • 特定キーワードの出現を監視 • BGP down/OSPF
down/Storm detection • 通知⽅法 • 視覚化、メール通知、slack通知 意味解析が難しい 過去の経験しか役に⽴たない キーワードマッチング つまり全⽂検索
Elasticsearch + Kibana + Logstash = ?
Elasticsearch + Kibana + Logstash = ??? • Nagios Log
Server • Nagios社が開発するパッケージソフトウェア • 特徴 • 閾値監視、クラスタリング、ログテンプレート 参照: https://www.nagios.com/products/nagios-log-server/
システムイメージ Trouble TicketDB Fluentd Client Fluentd Front Fluentd Back1 Fluentd
Back2 Syslog Collector NOC Data Store Infini Flux Nagios Log Server - apache log - rails log msgpack msgpack msgpack msgpack msgpack msgpack syslog - ping - stat ElasticSearch syslog Over 500 equipments
syslog分析例 ⾮公開 ⾮公開 ⾮公開
Nagios Log Serverの記事 • Software Design 2015年10⽉号 • OSSで実現するセキュリティログ管理システム ⾮公開
さらなるsyslog監視
さらなるsyslog監視 • syslogの総量推移から異常値を⾃動的に⾒つけられないか? • 異常が起きた時にsyslogの総量が増える • ボリンジャーバンドアルゴリズム • 正規分布の±2σを超える/下回るとエラー •
Kibanaでグラフ描けるかな? • 棒グラフと折れ線グラフの重ね合わせ
さらなるsyslog監視
まとめ • イベントネットワークの概要 • syslog監視について • Nagios Log Serverの説明 •
さらなるsyslog監視について
Q&A
hirolovesbeer
marchin1989
lycorp_recruit_jp
drumnistnakano
fujiwara3
minorun365
lycorptech_jp
twada
handy
aiandrox
ogaclejapan
tsukuha
bengo4com
csswizardry
samlambert
irinanazarova
carmenintech
tammyeverts
iamctodd
sergeychernyshev
jonrohan
brettharned
afnizarnur
3n
geoffreycrofte
