Upgrade to Pro — share decks privately, control downloads, hide ads and more …

S3上のログを分析したいだけなのに

Mitsuo
October 23, 2024
Technology
0
120

 S3上のログを分析したいだけなのに

Mitsuo

October 23, 2024
Tweet

More Decks by Mitsuo

See All by Mitsuo
独自ドメインをRoute 53に移管してみた
mitsuo_sys
1
350

Other Decks in Technology

See All in Technology
Rist_Meetup_Kaggleは業務の役にたつ - ビジネスコンテンツ情報を活用する BtoB 事業編 - / rist-meetup-20241012
taro_masuda
1
370
データ分析基盤のためにS3を深堀りする~アーキテクチャ設計の考え方のヒントに~
nrinetcom
PRO
1
790
開発健全性の可視化と開発者体験の改善 ~ Compassでエンジニアに活力と生産性を ~
atlassianjapan
0
100
強すぎるIAMをCloudTrailを使って適正化した話
yjszk
0
200
なぜ Rack を理解すべきかプレトーク / Why should you understand Rack - Pre-talk
hogelog
0
250
Snowflakeでスロークエリ改善に取り組んだ話
tabata0208
0
150
Azure AI servicesと歯のおはなし/AzureTravelers_Fukuoka2024_baba
nina01
1
110
人工衛星開発のための C2A フレームワークとその開発体験
sksat
1
120
API開発健全性 〜 持続可能で高品質なAPIのためのアプローチ 〜
nagix
2
140
全社を巻き込んだ業務オペレーション改善と、それは事業成長に貢献しているのか?を実感した話
marroooon
0
160
GopherのMakefile愛はどこからきているのか教えてほしい #fukuokago/Gophers love Makefile
quiver
2
160
巨大企業でDX革新を起こすということ BTCONJP 2024
yamaken66
1
480

Featured

See All Featured
Producing Creativity
orderedlist
PRO
341
39k
Creating an realtime collaboration tool: Agile Flush - .NET Oxford
marcduiker
25
1.8k
Large-scale JavaScript Application Architecture
addyosmani
510
110k
[RailsConf 2023 Opening Keynote] The Magic of Rails
eileencodes
28
9k
ピンチをチャンスに:未来をつくるプロダクトロードマップ #pmconf2020
aki_iinuma
106
49k
Exploring the Power of Turbo Streams & Action Cable | RailsConf2023
kevinliebholz
26
4.1k
Faster Mobile Websites
deanohume
304
30k
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
eileencodes
13
1.8k
Imperfection Machines: The Place of Print at Facebook
scottboms
264
13k
Designing for Performance
lara
604
68k
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
soudai
167
49k
Designing Experiences People Love
moore
138
23k

Transcript

  1. S3上のログを分析したいだけなのに Mitsuo

  2. NAME: Mitsuo(みつお) COMPANY: アイレット株式会社 クラウドインテグレーション事業部 INTEREST: 音楽鑑賞、演奏、体を動かすこと CREDENTIALS: 2022 -

    2024 APN ALL AWS Certifications Engineer AWS Community Builder(Networking Content Delivery) iret テクニカルアンバサダー(Advanced) 自己紹介

  3. はじめに ・ 構築済みのシステムの運用設計、運用を担当 ・ OSやAWSサービスから出力されるログの分析を行えるようにしたい ・ 顧客で分析ができるようにしたい ※ 実装の話を含みます どうぞ、よろしくお願いします。

  4. 分析ならやっぱりOpenSearch!? ログアカウントのS3バケットにある ログデータを分析したい! OpenSearch Serverlessで実装出来るか 検討してみます!

  5. OpenSearch Severlessとは VPC上に配置しなくても OpenSearchが使えるなら 顧客の希望にも合致するよね? 引用:Amazon OpenSearch Serverless AWS Black

    Belt Online Seminar https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_AmazonOpenSearchServerless_0131_v1.pdf

  6. アーキテクチャ 3面のログ情報を ログアカウント側に集約させるような アーキテクチャです 右図以外にも複数AWSサービスの ログを集約していました (WAF、SESなど)

  7. アーキテクチャ S3にあるデータを OpenSearch Serverlessに 取り込む必要があるね

  8. そもそも・・・? あれ?そもそもOpenSearchが取り込める データ形式ってなんだっけ

  9. データ形式について 引用:Amazon OpenSearch Serverless AWS Black Belt Online Seminar https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-

    Belt_2023_AmazonOpenSearchServerless_0131_v1.pdf

  10. あれ? AWSサービスから出力するログは 須くJSON形式なんだよね? えっ・・・

  11. VPCフローログは・・・? 引用:Flow log record examples https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-records- examples.html

  12. CloudFront、ALBのアクセスログは・・・? CloudFront 標準ログ ALBアクセスログ 引用: Configure and use standard logs

    (access logs) https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html#AccessLogsFile Naming Access logs for your Application Load Balancer https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html

  13. うおおおおおおおおおお うおおおおおおおおおおおおおおおお JSON以外のログはJSON形式に変換しないと ダメやん?!?! OSのログとかもJSONじゃない奴あるよね??

  14. データ加工するには? そうなんだけど ログの出方も多種多様だし、 それを1から準備するのかなり辛くない? 僕に任せたらええやん 15分以上かかるなら Python Shellとかも 使えるワイでも ええんやで

  15. 提案あり SIEM on Amazon OpenSearch Serviceを 検討してみるのが良いんじゃない?

  16. SIEM on Amazon OpenSearch Serviceとは? AmazonがOSSとしてGitHubに公開してるコード CloudFormation、CDKにて提供 引用:SIEM on Amazon

    OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch- service/blob/main/README_ja.md

  17. 調べてみたところ・・・ ・ 良いものではある・・・! ・ 集約するS3バケットを既に構築済みのため、カスタマイズが必要 ・ コードの量も多く修正箇所が見えづらい ・ 問題が生じた時、どこに手を加えればいいのか ・

    かつOSSなので、サポートを受けづらいのではないか ・ そもそも顧客が使うにはハードルが高いのではないか ・ そこはSIerの腕の見せ所!! 気合いで手順を整備すれば・・・いや、厳しいって

  18. 導入を断念 さよなら、SIEM on Amazon OpenSearch Service

  19. 気を取り直して Amazon OpenSearch Ingestionを 検討してみるのが良いんじゃない?

  20. Amazon OpenSearch Ingestionとは ・ Open Searchドメイン、コレクションにリアルタイムでログ、メトリック、トレースデータを連携できる サーバレスなコレクタのこと ・ データ収集、変換、配信を担うLogstashやJaegerが不要で利用可能 ・

    実際の取り込みの設定をOpenSearch Ingestion Pipelineという 引用:SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch- service/blob/main/README_ja.md

  21. これは来たんじゃね? ログを取り込む設定はYAMLで記述が可能 IaCにCloudFormationを使っていたので、顧客にとっても相性が良いのではないか?

  22. Ingestion Pipelineによるログ取り込み とりあえずCloudTrailのログ取り込みを試してみる

  23. Koreha… ・ Ingestion Pipelineの取り込みの際に、CloudWatch Logsへエラーを 大量に吐き続ける ・ ログ全体の7、8割がエラーログで気づいたら数万件に・・・笑

  24. 原因 Dynamic Mappingという機能があり、取り込んだレコード に対して、自動でフィールドを定義可能 取り込めるフィールド数のデフォルト値(1,000)を 超えてしまったエラーだった 参考: Elastic(Approaches to deal

    with “Limit of total fields [1000] in index has been exceeded”) https://discuss.elastic.co/t/approaches-to-deal-with-limit-of-total-fields-1000-in-index-has-been- exceeded/241039/1

  25. フィールドについて JSONフォーマットのKeyの種類=フィールド数 CloudTrailは多種多様なパラメータがある CloudTrailのデータ構造とOpenSearchの相性が悪い

  26. やれることやってみる? フィールド値のデフォルト数を 増やせば良いのでは?

  27. Huh?

  28. 無理じゃね? ・ とある技術ブログにて8,000件で運用している猛者を確認 ・ フィールド種の数に応じてメモリの負担が増える ・ Dynamic Mappingの有無に関わらず、そもそも一部パラメータが OpenSearch側でパースできない事象を確認 ・

    正常取り込みに向けて奮闘するも・・・ ・ 新しいパラメータが登場する度に怯える事になるのでは?

  29. 2週間経過・・・

  30. 導入を断念 さよなら、OpenSearch Ingestion

  31. Athenaが好きになったきっかけ OpenSearchは導入するハードルが 高いです・・・ 具体的な要件がなければ Athenaでスモールスタートしましょう 了解です! 可視化の要件もないので、 Athenaで構いませんよ!

  32. Athenaをスーパーざっくり クエリ実行の分析基盤を構築する必要がないサーバレスサービス S3に分析するデータを格納してクエリを実行するだけ!! ※ Federated Queryの説明はしません

  33. これでようやく解放されるね Athenaなら取り込みも不要だし、 何度か使ったことあるから安心だ!!

  34. 嘘やろ・・・? と思ってクエリを書いたら上手くいかない・・・

  35. 何が上手くいかなかったのか ALBのアクセスログの分析が出来ない Data Firehose経由のログが分析できない

  36. ALBのアクセスログの分析が出来ない 列情報は持っているのに、 null値で返ってくる

  37. nullのデータを確認した結果

  38. 原因 シリアライズ「RegexSerDe」では正規表現を使用して、 データを抽出するが、実際のデータと正規表現の値が一致しない場合、 データがNULLとして返されてる仕様がある 2024年5月中旬にドキュメントの更新があり、クエリが変更されていた クエリの見直しにより問題が解決

  39. Data Firehoseによってデータが集約される

  40. なぜ? ・ Data FirehoseはCloudWatch Logsのデータを指定した期間あるいは データ量のいずれかを超えた場合にログをバッファリング(1つのファイルに集約) してS3に送出する仕様がある ・ 集約したログは1レコードとして扱われるため、ログ分析ができなくなる

  41. これ、1レコードです(見やすいように手で改行)

  42. 解決策 Data Firehoseの機能で「ログイベントからのみメッセージフィールドを抽出」を有効化する CloudWatch Logsのログイベント情報のみS3に転送する

  43. 簡単にログ分析が出来る JSON形式ではなく1行1レコードとなる 改行済み

  44. 急ですが 無事にAthenaでログ分析できるようになりました その後、たくさんクエリを書きました

  45. 最後に宣伝 Amazon Athenaの概要はご存知な方ばかりだと思います。 初学者向けのブログを書いてみたのでよろしければ! 澤田先輩と優しく学ぶAmazon Athena https://iret.media/110241

  46. おしまい アイレット株式会社 Mitsuo