Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
イベントネットワークにおけるsyslog分析でのElasticsearchの利用
Search
Hiroshi
September 13, 2016
Technology
1.3k
1
Share
イベントネットワークにおけるsyslog分析でのElasticsearchの利用
Elastic勉強会 in Kanazawaの発表資料
Hiroshi
September 13, 2016
More Decks by Hiroshi
See All by Hiroshi
pepacon night : log research working group report
hirolovesbeer
0
1.5k
OSC-Hokkaido-2018-hayabusa
hirolovesbeer
0
710
Other Decks in Technology
See All in Technology
Babylon.js を使って試した色々な内容 / Various things I tried using Babylon.js / Babylon.js 勉強会 vol.5
you
PRO
0
210
AI時代のIssue駆動開発のススメ
moongift
PRO
0
350
Databricks Lakebaseを用いたAIエージェント連携
daiki_akimoto_nttd
0
130
Bref でサービスを運用している話
sgash708
0
220
やさしいとこから始めるGitHubリポジトリのセキュリティ
tsubakimoto_s
3
2.1k
互換性のある(らしい)DBへの移行など考えるにあたってたいへんざっくり
sejima
PRO
0
530
Network Firewall Proxyで 自前プロキシを消し去ることができるのか
gusandayo
0
170
Why we keep our community?
kawaguti
PRO
0
380
【AWS】CloudTrail LakeとCloudWatch Logs Insightsの使い分け方針
tsurunosd
0
130
AI時代のシステム開発者の仕事_20260328
sengtor
0
320
遊びで始めたNew Relic MCP、気づいたらChatOpsなオブザーバビリティボットができてました/From New Relic MCP to a ChatOps Observability Bot
aeonpeople
1
150
フルカイテン株式会社 エンジニア向け採用資料
fullkaiten
0
11k
Featured
See All Featured
The World Runs on Bad Software
bkeepers
PRO
72
12k
How to Grow Your eCommerce with AI & Automation
katarinadahlin
PRO
1
160
Rails Girls Zürich Keynote
gr2m
96
14k
Being A Developer After 40
akosma
91
590k
Done Done
chrislema
186
16k
brightonSEO & MeasureFest 2025 - Christian Goodrich - Winning strategies for Black Friday CRO & PPC
cargoodrich
3
140
Leveraging LLMs for student feedback in introductory data science courses - posit::conf(2025)
minecr
1
220
StorybookのUI Testing Handbookを読んだ
zakiyama
31
6.6k
Neural Spatial Audio Processing for Sound Field Analysis and Control
skoyamalab
0
240
AI in Enterprises - Java and Open Source to the Rescue
ivargrimstad
0
1.2k
DBのスキルで生き残る技術 - AI時代におけるテーブル設計の勘所
soudai
PRO
64
53k
The Mindset for Success: Future Career Progression
greggifford
PRO
0
290
Transcript
イベントネットワークにおける syslog分析でのElasticsearchの利⽤ 2016/09/11 あべひろし(@hirolovesbeer)
イベントネットワークにおける syslog分析でのHadoop Elasticsearchの利⽤ 2016/09/11 あべひろし(@hirolovesbeer)
アジェンダ • ⾃⼰紹介 • イベントネットワークとは? • syslogを⽤いた監視 • Elasticsearch +
Kibana + Logstash = ??? • さらなるsyslog監視
⾃⼰紹介 • 所属 • IIJイノベーションインスティテュート 技術研究所 • 北陸先端科学技術⼤学院⼤学 篠⽥研究室 博⼠課程
• 活動 • WIDEプロジェクトメンバー • Interop Tokyo 2015/2016 NOCメンバー
⾃⼰紹介 • 所属 • IIJイノベーションインスティテュート 技術研究所 • 北陸先端科学技術⼤学院⼤学 篠⽥研究室 博⼠課程
• 活動 • WIDEプロジェクトメンバー • Interop Tokyo 2015/2016 NOCメンバー Kanazawa.rb!!
Kanazawa.rb
イベントネットワークとは?
イベントネットワークとは? • ⼤規模な展⽰会やカンファレンスで提供されるネットワーク • 来場者/出展者に対してインターネットアクセスが提供される • マルチベンダ機器で構成される実験的なネットワーク • 短期間で構築/運⽤/撤収 •
例) Interop TokyoのShowNet
イベントネットワークの規模 • 例) Interop Tokyo 2016の場合 • 来場者数: 3⽇間で14万⼈超え •
出展者数: 529社, 出展⼩間数: 1388⼩間 • コントリビューション総額: 74億円 • 動員数: NOC/STM/コントリビュータ: 396名 • UTP利⽤線⻑総計: 約30km
イベントネットワークの監視 • 王道 • ping/traceroute/tcpdump • モニタリングツール • Zabbix, Nagios,
etc… • syslog監視 • VMware LogInsight, OSS,…
syslogを⽤いた監視
syslogの監視 • ログの総数から異常を監視 • 機器の発狂/設定ミス、DoS攻撃、ワームの発⽣ • 特定キーワードの出現を監視 • BGP down/OSPF
down/Storm detection • 通知⽅法 • 視覚化、メール通知、slack通知
syslogの総量 • 約4,300万件 : 多い?少ない? ⽇付 総イベント数 ⽇付 総イベント数 5/27
192 6/4 2,108,661 5/28 181,285 6/5 3,177,122 5/29 552,579 6/6 3,297,654 5/30 821,363 6/7 2,702,382 5/31 617,368 6/8 3,186,363 6/1 917,308 6/9 12,769,834 6/2 1,949,738 6/10 9,446,694 6/3 1,771,956 合計 43,500,499
syslogの総量 • 約4,300万件 : 多い?少ない? • フォーマットは不揃い!!ベンダーの⼈ですら初⾒のログ多数 ⽇付 総イベント数 ⽇付
総イベント数 5/27 192 6/4 2,108,661 5/28 181,285 6/5 3,177,122 5/29 552,579 6/6 3,297,654 5/30 821,363 6/7 2,702,382 5/31 617,368 6/8 3,186,363 6/1 917,308 6/9 12,769,834 6/2 1,949,738 6/10 9,446,694 6/3 1,771,956 合計 43,500,499
syslogの監視 • ログの総数から異常を監視 • 機器の発狂/設定ミス、DoS攻撃、ワームの発⽣ • 特定キーワードの出現を監視 • BGP down/OSPF
down/Storm detection • 通知⽅法 • 視覚化、メール通知、slack通知 意味解析が難しい 過去の経験しか役に⽴たない キーワードマッチング つまり全⽂検索
Elasticsearch + Kibana + Logstash = ?
Elasticsearch + Kibana + Logstash = ??? • Nagios Log
Server • Nagios社が開発するパッケージソフトウェア • 特徴 • 閾値監視、クラスタリング、ログテンプレート 参照: https://www.nagios.com/products/nagios-log-server/
システムイメージ Trouble TicketDB Fluentd Client Fluentd Front Fluentd Back1 Fluentd
Back2 Syslog Collector NOC Data Store Infini Flux Nagios Log Server - apache log - rails log msgpack msgpack msgpack msgpack msgpack msgpack syslog - ping - stat ElasticSearch syslog Over 500 equipments
syslog分析例 ⾮公開 ⾮公開 ⾮公開
Nagios Log Serverの記事 • Software Design 2015年10⽉号 • OSSで実現するセキュリティログ管理システム ⾮公開
さらなるsyslog監視
さらなるsyslog監視 • syslogの総量推移から異常値を⾃動的に⾒つけられないか? • 異常が起きた時にsyslogの総量が増える • ボリンジャーバンドアルゴリズム • 正規分布の±2σを超える/下回るとエラー •
Kibanaでグラフ描けるかな? • 棒グラフと折れ線グラフの重ね合わせ
さらなるsyslog監視
まとめ • イベントネットワークの概要 • syslog監視について • Nagios Log Serverの説明 •
さらなるsyslog監視について
Q&A
hirolovesbeer
you
moongift
daiki_akimoto_nttd
sgash708
tsubakimoto_s
sejima
gusandayo
kawaguti
tsurunosd
sengtor
aeonpeople
fullkaiten
bkeepers
katarinadahlin
gr2m
akosma
chrislema
cargoodrich
minecr
zakiyama
skoyamalab
ivargrimstad
soudai
greggifford
