Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
イベントネットワークにおけるsyslog分析でのElasticsearchの利用
Search
Hiroshi
September 13, 2016
Technology
1
1.2k
イベントネットワークにおけるsyslog分析でのElasticsearchの利用
Elastic勉強会 in Kanazawaの発表資料
Hiroshi
September 13, 2016
Tweet
Share
More Decks by Hiroshi
See All by Hiroshi
pepacon night : log research working group report
hirolovesbeer
0
1.4k
OSC-Hokkaido-2018-hayabusa
hirolovesbeer
0
690
Other Decks in Technology
See All in Technology
Raycast AI APIを使ってちょっと便利な拡張機能を作ってみた / created-a-handy-extension-using-the-raycast-ai-api
kawamataryo
0
110
プロダクトエンジニア構想を立ち上げ、プロダクト志向な組織への成長を続けている話 / grow into a product-oriented organization
hiro_torii
1
230
データ資産をシームレスに伝達するためのイベント駆動型アーキテクチャ
kakehashi
PRO
2
560
運用しているアプリケーションのDBのリプレイスをやってみた
miura55
1
770
全文検索+セマンティックランカー+LLMの自然文検索サ−ビスで得られた知見
segavvy
2
120
PHPで印刷所に入稿できる名札データを作る / Generating Print-Ready Name Tag Data with PHP
tomzoh
0
120
依存パッケージの更新はコツコツが勝つコツ! / phpcon_nagoya2025
blue_goheimochi
1
110
2/18/25: Java meets AI: Build LLM-Powered Apps with LangChain4j
edeandrea
PRO
0
130
コンピュータビジョンの社会実装について考えていたらゲームを作っていた話
takmin
0
120
The Future of SEO: The Impact of AI on Search
badams
0
210
30分でわかる『アジャイルデータモデリング』
hanon52_
9
2.7k
目の前の仕事と向き合うことで成長できる - 仕事とスキルを広げる / Every little bit counts
soudai
26
7.3k
Featured
See All Featured
Scaling GitHub
holman
459
140k
Build The Right Thing And Hit Your Dates
maggiecrowley
34
2.5k
Let's Do A Bunch of Simple Stuff to Make Websites Faster
chriscoyier
507
140k
Designing for humans not robots
tammielis
250
25k
The MySQL Ecosystem @ GitHub 2015
samlambert
250
12k
A Philosophy of Restraint
colly
203
16k
Imperfection Machines: The Place of Print at Facebook
scottboms
267
13k
Facilitating Awesome Meetings
lara
52
6.2k
Making Projects Easy
brettharned
116
6k
Being A Developer After 40
akosma
89
590k
Designing for Performance
lara
604
68k
Speed Design
sergeychernyshev
27
790
Transcript
イベントネットワークにおける syslog分析でのElasticsearchの利⽤ 2016/09/11 あべひろし(@hirolovesbeer)
イベントネットワークにおける syslog分析でのHadoop Elasticsearchの利⽤ 2016/09/11 あべひろし(@hirolovesbeer)
アジェンダ • ⾃⼰紹介 • イベントネットワークとは? • syslogを⽤いた監視 • Elasticsearch +
Kibana + Logstash = ??? • さらなるsyslog監視
⾃⼰紹介 • 所属 • IIJイノベーションインスティテュート 技術研究所 • 北陸先端科学技術⼤学院⼤学 篠⽥研究室 博⼠課程
• 活動 • WIDEプロジェクトメンバー • Interop Tokyo 2015/2016 NOCメンバー
⾃⼰紹介 • 所属 • IIJイノベーションインスティテュート 技術研究所 • 北陸先端科学技術⼤学院⼤学 篠⽥研究室 博⼠課程
• 活動 • WIDEプロジェクトメンバー • Interop Tokyo 2015/2016 NOCメンバー Kanazawa.rb!!
Kanazawa.rb
イベントネットワークとは?
イベントネットワークとは? • ⼤規模な展⽰会やカンファレンスで提供されるネットワーク • 来場者/出展者に対してインターネットアクセスが提供される • マルチベンダ機器で構成される実験的なネットワーク • 短期間で構築/運⽤/撤収 •
例) Interop TokyoのShowNet
イベントネットワークの規模 • 例) Interop Tokyo 2016の場合 • 来場者数: 3⽇間で14万⼈超え •
出展者数: 529社, 出展⼩間数: 1388⼩間 • コントリビューション総額: 74億円 • 動員数: NOC/STM/コントリビュータ: 396名 • UTP利⽤線⻑総計: 約30km
イベントネットワークの監視 • 王道 • ping/traceroute/tcpdump • モニタリングツール • Zabbix, Nagios,
etc… • syslog監視 • VMware LogInsight, OSS,…
syslogを⽤いた監視
syslogの監視 • ログの総数から異常を監視 • 機器の発狂/設定ミス、DoS攻撃、ワームの発⽣ • 特定キーワードの出現を監視 • BGP down/OSPF
down/Storm detection • 通知⽅法 • 視覚化、メール通知、slack通知
syslogの総量 • 約4,300万件 : 多い?少ない? ⽇付 総イベント数 ⽇付 総イベント数 5/27
192 6/4 2,108,661 5/28 181,285 6/5 3,177,122 5/29 552,579 6/6 3,297,654 5/30 821,363 6/7 2,702,382 5/31 617,368 6/8 3,186,363 6/1 917,308 6/9 12,769,834 6/2 1,949,738 6/10 9,446,694 6/3 1,771,956 合計 43,500,499
syslogの総量 • 約4,300万件 : 多い?少ない? • フォーマットは不揃い!!ベンダーの⼈ですら初⾒のログ多数 ⽇付 総イベント数 ⽇付
総イベント数 5/27 192 6/4 2,108,661 5/28 181,285 6/5 3,177,122 5/29 552,579 6/6 3,297,654 5/30 821,363 6/7 2,702,382 5/31 617,368 6/8 3,186,363 6/1 917,308 6/9 12,769,834 6/2 1,949,738 6/10 9,446,694 6/3 1,771,956 合計 43,500,499
syslogの監視 • ログの総数から異常を監視 • 機器の発狂/設定ミス、DoS攻撃、ワームの発⽣ • 特定キーワードの出現を監視 • BGP down/OSPF
down/Storm detection • 通知⽅法 • 視覚化、メール通知、slack通知 意味解析が難しい 過去の経験しか役に⽴たない キーワードマッチング つまり全⽂検索
Elasticsearch + Kibana + Logstash = ?
Elasticsearch + Kibana + Logstash = ??? • Nagios Log
Server • Nagios社が開発するパッケージソフトウェア • 特徴 • 閾値監視、クラスタリング、ログテンプレート 参照: https://www.nagios.com/products/nagios-log-server/
システムイメージ Trouble TicketDB Fluentd Client Fluentd Front Fluentd Back1 Fluentd
Back2 Syslog Collector NOC Data Store Infini Flux Nagios Log Server - apache log - rails log msgpack msgpack msgpack msgpack msgpack msgpack syslog - ping - stat ElasticSearch syslog Over 500 equipments
syslog分析例 ⾮公開 ⾮公開 ⾮公開
Nagios Log Serverの記事 • Software Design 2015年10⽉号 • OSSで実現するセキュリティログ管理システム ⾮公開
さらなるsyslog監視
さらなるsyslog監視 • syslogの総量推移から異常値を⾃動的に⾒つけられないか? • 異常が起きた時にsyslogの総量が増える • ボリンジャーバンドアルゴリズム • 正規分布の±2σを超える/下回るとエラー •
Kibanaでグラフ描けるかな? • 棒グラフと折れ線グラフの重ね合わせ
さらなるsyslog監視
まとめ • イベントネットワークの概要 • syslog監視について • Nagios Log Serverの説明 •
さらなるsyslog監視について
Q&A
hirolovesbeer
kawamataryo
.jpg){kind=avatar}
hiro_torii
kakehashi
miura55
segavvy
tomzoh
blue_goheimochi
edeandrea
takmin
badams
hanon52_
soudai
holman
maggiecrowley
chriscoyier
tammielis
samlambert
colly
scottboms
lara
brettharned
akosma
sergeychernyshev
