Upgrade to Pro
— share decks privately, control downloads, hide ads and more …
Speaker Deck
Features
Speaker Deck
PRO
Sign in
Sign up for free
Search
Search
イベントネットワークにおけるsyslog分析でのElasticsearchの利用
Search
Hiroshi
September 13, 2016
Technology
1
1.2k
イベントネットワークにおけるsyslog分析でのElasticsearchの利用
Elastic勉強会 in Kanazawaの発表資料
Hiroshi
September 13, 2016
Tweet
Share
More Decks by Hiroshi
See All by Hiroshi
pepacon night : log research working group report
hirolovesbeer
0
1.4k
OSC-Hokkaido-2018-hayabusa
hirolovesbeer
0
700
Other Decks in Technology
See All in Technology
衛星画像超解像化によって実現する2D, 3D空間情報の即時生成と“AI as a Service”/ Real-time generation spatial data enabled_by satellite image super-resolution
lehupa
0
120
オープンソースでどこまでできる?フォーマル検証チャレンジ
msyksphinz
0
120
ガバメントクラウド(AWS)へのデータ移行戦略の立て方【虎の巻】 / 20251011 Mitsutosi Matsuo
shift_evolve
PRO
2
180
"プロポーザルってなんか怖そう"という境界を超えてみた@TSUDOI by giftee Tech #1
shilo113
0
160
Reflections of AI: A Trilogy in Four Parts (GOTO; Copenhagen 2025)
ondfisk
0
100
カンファレンスに託児サポートがあるということ / Having Childcare Support at Conferences
nobu09
1
490
Function calling機能をPLaMo2に実装するには / PFN LLMセミナー
pfn
PRO
0
1k
Escaping_the_Kraken_-_October_2025.pdf
mdalmijn
0
150
ACA でMAGI システムを社内で展開しようとした話
mappie_kochi
1
310
Geospatialの世界最前線を探る [2025年版]
dayjournal
0
180
定期的な価値提供だけじゃない、スクラムが導くチームの共創化 / 20251004 Naoki Takahashi
shift_evolve
PRO
4
350
extension 現場で使えるXcodeショートカット一覧
ktombow
0
220
Featured
See All Featured
KATA
mclloyd
32
15k
Helping Users Find Their Own Way: Creating Modern Search Experiences
danielanewman
30
2.9k
The Cost Of JavaScript in 2023
addyosmani
53
9k
Making the Leap to Tech Lead
cromwellryan
135
9.6k
What's in a price? How to price your products and services
michaelherold
246
12k
Designing for Performance
lara
610
69k
"I'm Feeling Lucky" - Building Great Search Experiences for Today's Users (#IAC19)
danielanewman
229
22k
The Art of Programming - Codeland 2020
erikaheidi
56
14k
CoffeeScript is Beautiful & I Never Want to Write Plain JavaScript Again
sstephenson
162
15k
Product Roadmaps are Hard
iamctodd
PRO
54
11k
Agile that works and the tools we love
rasmusluckow
331
21k
Code Review Best Practice
trishagee
72
19k
Transcript
イベントネットワークにおける syslog分析でのElasticsearchの利⽤ 2016/09/11 あべひろし(@hirolovesbeer)
イベントネットワークにおける syslog分析でのHadoop Elasticsearchの利⽤ 2016/09/11 あべひろし(@hirolovesbeer)
アジェンダ • ⾃⼰紹介 • イベントネットワークとは? • syslogを⽤いた監視 • Elasticsearch +
Kibana + Logstash = ??? • さらなるsyslog監視
⾃⼰紹介 • 所属 • IIJイノベーションインスティテュート 技術研究所 • 北陸先端科学技術⼤学院⼤学 篠⽥研究室 博⼠課程
• 活動 • WIDEプロジェクトメンバー • Interop Tokyo 2015/2016 NOCメンバー
⾃⼰紹介 • 所属 • IIJイノベーションインスティテュート 技術研究所 • 北陸先端科学技術⼤学院⼤学 篠⽥研究室 博⼠課程
• 活動 • WIDEプロジェクトメンバー • Interop Tokyo 2015/2016 NOCメンバー Kanazawa.rb!!
Kanazawa.rb
イベントネットワークとは?
イベントネットワークとは? • ⼤規模な展⽰会やカンファレンスで提供されるネットワーク • 来場者/出展者に対してインターネットアクセスが提供される • マルチベンダ機器で構成される実験的なネットワーク • 短期間で構築/運⽤/撤収 •
例) Interop TokyoのShowNet
イベントネットワークの規模 • 例) Interop Tokyo 2016の場合 • 来場者数: 3⽇間で14万⼈超え •
出展者数: 529社, 出展⼩間数: 1388⼩間 • コントリビューション総額: 74億円 • 動員数: NOC/STM/コントリビュータ: 396名 • UTP利⽤線⻑総計: 約30km
イベントネットワークの監視 • 王道 • ping/traceroute/tcpdump • モニタリングツール • Zabbix, Nagios,
etc… • syslog監視 • VMware LogInsight, OSS,…
syslogを⽤いた監視
syslogの監視 • ログの総数から異常を監視 • 機器の発狂/設定ミス、DoS攻撃、ワームの発⽣ • 特定キーワードの出現を監視 • BGP down/OSPF
down/Storm detection • 通知⽅法 • 視覚化、メール通知、slack通知
syslogの総量 • 約4,300万件 : 多い?少ない? ⽇付 総イベント数 ⽇付 総イベント数 5/27
192 6/4 2,108,661 5/28 181,285 6/5 3,177,122 5/29 552,579 6/6 3,297,654 5/30 821,363 6/7 2,702,382 5/31 617,368 6/8 3,186,363 6/1 917,308 6/9 12,769,834 6/2 1,949,738 6/10 9,446,694 6/3 1,771,956 合計 43,500,499
syslogの総量 • 約4,300万件 : 多い?少ない? • フォーマットは不揃い!!ベンダーの⼈ですら初⾒のログ多数 ⽇付 総イベント数 ⽇付
総イベント数 5/27 192 6/4 2,108,661 5/28 181,285 6/5 3,177,122 5/29 552,579 6/6 3,297,654 5/30 821,363 6/7 2,702,382 5/31 617,368 6/8 3,186,363 6/1 917,308 6/9 12,769,834 6/2 1,949,738 6/10 9,446,694 6/3 1,771,956 合計 43,500,499
syslogの監視 • ログの総数から異常を監視 • 機器の発狂/設定ミス、DoS攻撃、ワームの発⽣ • 特定キーワードの出現を監視 • BGP down/OSPF
down/Storm detection • 通知⽅法 • 視覚化、メール通知、slack通知 意味解析が難しい 過去の経験しか役に⽴たない キーワードマッチング つまり全⽂検索
Elasticsearch + Kibana + Logstash = ?
Elasticsearch + Kibana + Logstash = ??? • Nagios Log
Server • Nagios社が開発するパッケージソフトウェア • 特徴 • 閾値監視、クラスタリング、ログテンプレート 参照: https://www.nagios.com/products/nagios-log-server/
システムイメージ Trouble TicketDB Fluentd Client Fluentd Front Fluentd Back1 Fluentd
Back2 Syslog Collector NOC Data Store Infini Flux Nagios Log Server - apache log - rails log msgpack msgpack msgpack msgpack msgpack msgpack syslog - ping - stat ElasticSearch syslog Over 500 equipments
syslog分析例 ⾮公開 ⾮公開 ⾮公開
Nagios Log Serverの記事 • Software Design 2015年10⽉号 • OSSで実現するセキュリティログ管理システム ⾮公開
さらなるsyslog監視
さらなるsyslog監視 • syslogの総量推移から異常値を⾃動的に⾒つけられないか? • 異常が起きた時にsyslogの総量が増える • ボリンジャーバンドアルゴリズム • 正規分布の±2σを超える/下回るとエラー •
Kibanaでグラフ描けるかな? • 棒グラフと折れ線グラフの重ね合わせ
さらなるsyslog監視
まとめ • イベントネットワークの概要 • syslog監視について • Nagios Log Serverの説明 •
さらなるsyslog監視について
Q&A
hirolovesbeer
lehupa
msyksphinz
shift_evolve
shilo113
ondfisk
nobu09
pfn
.jpg){kind=avatar}
mdalmijn
mappie_kochi
dayjournal
ktombow
mclloyd
danielanewman
addyosmani
cromwellryan
michaelherold
lara
erikaheidi
sstephenson
iamctodd
rasmusluckow
trishagee
