Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Logfiles? Brauch ich nicht! (de)

Jan Doberstein
November 24, 2016
Technology
0
39

Logfiles? Brauch ich nicht! (de)

This is my Slidedeck from the Open Source Workshop Deutsche Bahn - on 2016-11-24 in Frankfurt am Main.

Jan Doberstein

November 24, 2016
Tweet

More Decks by Jan Doberstein

See All by Jan Doberstein
take care of your logs (de)
jalogisch
0
210
take care of your logs
jalogisch
0
180
The Truth is in the Logs (de)
jalogisch
1
640
Evolution im Monitoring (German)
jalogisch
2
140

Other Decks in Technology

See All in Technology
地理空間データ可視化・解析・活用ソリューション Pacific Spatial Solutions (PSS)
pacificspatialsolutions
0
270
現代CSSフレームワークの内部実装とその仕組み
poteboy
7
3.6k
Compose Compiler Metricsを使った実践的なコードレビュー
tomorrowkey
1
220
Google Cloud の AI を支える裏側のインフラを垣間見る!
maroon1st
0
350
Azureの基本的な権限管理の勉強会
yhana
0
430
長期間TiDBを使ってきた話 @ 私たちはなぜNewSQLを使うのかTiDB選定5社が語る選定理由と活用LT / Experiences with TiDB Over Time
chibiegg
2
900
LangSmith入門―トレース/評価/プロンプト管理などを担うLLMアプリ開発プラットフォーム
os1ma
3
150
ChatworkのSRE部って実は 半分くらいPlatform Engineering部かもしれない
saramune
0
160
複雑な構成要素を持つUIとの向き合い方 〜新・支出グラフでの実例〜 / B43 TECH TALK
nakamuuu
0
140
開発パフォーマンスを最大化するための開発体制
ham0215
2
410
Python と Snowflake はズッ友だょ!~ Snowflake の Python 関連機能をふりかえる ~
__allllllllez__
1
120
Além do else! Categorizando Pokemóns com Pattern Matching no JavaScript
wmsbill
0
620

Featured

See All Featured
個人開発の失敗を避けるイケてる考え方 / tips for indie hackers
panda_program
60
14k
Refactoring Trust on Your Teams (GOTO; Chicago 2020)
rmw
25
2.3k
GraphQLの誤解/rethinking-graphql
sonatard
50
9.2k
A Philosophy of Restraint
colly
197
16k
Build The Right Thing And Hit Your Dates
maggiecrowley
24
2k
Practical Orchestrator
shlominoach
182
9.7k
Into the Great Unknown - MozCon
thekraken
10
990
I Don’t Have Time: Getting Over the Fear to Launch Your Podcast
jcasabona
21
1.6k
Done Done
chrislema
178
15k
Building Applications with DynamoDB
mza
88
5.6k
Rebuilding a faster, lazier Slack
samanthasiow
73
8.2k
Happy Clients
brianwarren
92
6.4k

Transcript

  1. Logfiles? Brauch ich nicht!

  2. Jan Doberstein ( @jalogisch ) 17+ Jahre IT Administrator Support

    Engineer bei Graylog ( @graylog2 )

  3. Warum sollte ich vergänglichen und unnützen Daten Aufmerksamkeit schenken?

  4. Was sind Logs?

  5. – Wikipedia „Eine Logdatei enthält das automatisch geführte Protokoll aller

    oder bestimmter Aktionen von Prozessen auf einem Computersystem.“

  6. – Wikipedia „ Außer dem Betriebssystem selbst schreiben meist Hintergrundprogramme

    (z. B. ein E-Mail- Server, ein Proxyserver und anderes) in Logdateien, um Aktionsmeldungen, Fehlermeldungen und Hinweise persistent (dauernd) oder temporär verfügbar zu halten. Ähnliches gilt für Installationsprogramme, Firewalls, Virenscanner und dergleichen. “

  7. Logs geben die Möglichkeit Dinge zu einem späteren Zeitpunkt nachzuvollziehen

  8. https://twitter.com/janl/status/785456374566223872

  9. Was sind Logs? (ein Beispiel)

  10. Aug 16 18:18:19 d8.jalogis.ch sshd[26944]: fatal: Unable to negotiate a

    key exchange method [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse mapping checking getaddrinfo for hn.kd.ny.adsl [222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT! Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user admin from 222.138.139.252 Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: input_userauth_request: invalid user admin [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection closed by 222.138.139.252 [preauth] Aug 16 18:19:16 d8.jalogis.ch sshd[26948]: fatal: Unable to negotiate a key exchange method [preauth]
  11. None

  12. ohne Logs ist schlecht.

  13. lokales Sammeln • Linux ( syslog / journald ) •

    Windows ( Eventlog )

  14. lokales Sammeln root@d8:/var/log# grep -v "fatal: Unable to negotiate a

    key exchange method" auth.log | grep -v „pam_unix(cron:session)“ Aug 16 18:12:18 d8.jalogis.ch sshd[26930]: Connection closed by 45.114.50.54 [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse mapping checking getaddrinfo for hn.kd.ny.adsl [222.138.139.252] failed - POSSIBLE BREAK- IN ATTEMPT! Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user admin from 222.138.139.252 Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: input_userauth_request: invalid user admin [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection closed by 222.138.139.252 [preauth]

  15. lokales Sammeln root@d8:~# grep -v 'pam_uni(cron:session)' /var/ log/auth.log | grep

    'fatal: Unable to negotiate a key exchange method' | wc -l 3082
  16. None

  17. lokales Sammeln • Ist der Host nicht erreichbar, gibt es

    kein Log • Lokale Logs erlauben es nicht, dezentrale Ereignisse zu verfolgen • Kompromittierte Systeme sind manipuliert

  18. (simples) zentrales Sammeln • OS Grundausstattung • geringer Aufwand Syslog

  19. (simples) zentrales Sammeln

  20. None

  21. Datenbank & Interface

  22. Elasticsearch ist eine dokumentbasierte Datenbank die auf Apache Lucene aufsetzt

    und eine vollständige REST API bietet.

  23. > host:d8.jalogis.ch AND programname:sshd AND message:"*invalid user*"

  24. None

  25. • Anreicherung • Filterung • Normalisierung

  26. zentrales Sammeln & Anreichern

  27. Aug 16 18:18:19 d8.jalogis.ch sshd[26944]: fatal: Unable to negotiate a

    key exchange method [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: reverse mapping checking getaddrinfo for hn.kd.ny.adsl [222.138.139.252] failed - POSSIBLE BREAK-IN ATTEMPT! Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Invalid user admin from 222.138.139.252 Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: input_userauth_request: invalid user admin [preauth] Aug 16 18:18:39 d8.jalogis.ch sshd[26946]: Connection closed by 222.138.139.252 [preauth] Aug 16 18:19:16 d8.jalogis.ch sshd[26948]: fatal: Unable to negotiate a key exchange method [preauth]
  28. None
  29. None
  30. None
  31. None

  32. Datenbank & Interface

  33. None

  34. Syslog

  35. Syslog App Hardware

  36. App GELF / JSON Logfile Shipper

  37. App RAW Hardware Syslog

  38. None
  39. None

  40. Komplexes Sammeln • andere Transportwege und Protokolle • Warteschlangen (queue)

    • Paralleles Bearbeiten
  41. None
  42. None

  43. Einheitliche Betrachtung • verminderte Zugriffsrechte auf Server • schneller und

    einfacher Zugriff auf Informationen • einfache Administration
  44. None

  45. Fragen? (Live Demo gerne nachher …) @jalogisch @graylog2 http://graylog.org http://elastic.co

  46. None
  47. None