Upgrade to Pro — share decks privately, control downloads, hide ads and more …

S3上のログを分析したいだけなのに

Sponsored · Your Podcast. Everywhere. Effortlessly. Share. Educate. Inspire. Entertain. You do you. We'll handle the rest.
Avatar for Mitsuo Mitsuo
October 23, 2024
Technology
1
480

 S3上のログを分析したいだけなのに

Avatar for Mitsuo

Mitsuo

October 23, 2024
Tweet

More Decks by Mitsuo

See All by Mitsuo
やっぱりAmazon Athenaって便利だよね
Avatar for Mitsuo mitsuo_sys
0
25
独自ドメインをRoute 53に移管してみた
Avatar for Mitsuo mitsuo_sys
1
530

Other Decks in Technology

See All in Technology
A Gentle Introduction to Transformers
Avatar for Semantic Machine Intelligence Lab., Keio Univ. keio_smilab
PRO
2
1k
Oracle Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
3
1.7k
類似画像検索モデルの開発ノウハウ
Avatar for LINEヤフーTech (LY Corporation Tech) lycorptech_jp
PRO
4
1.1k
[JAWSDAYS2026][D8]その起票、愛が足りてますか?AWSサポートを味方につける、技術的「ラブレター」の書き方
Avatar for hirosys hirosys_
3
110
Claude Codeが爆速進化してプラグイン追従がつらいので半自動化した話 ver.2
Avatar for ryu rfdnxbro
0
480
Security Diaries of an Open Source IAM
Avatar for Alexander Schwartz ahus1
0
210
楽しく学ぼう!ネットワーク入門
Avatar for Shota Shiratori shotashiratori
1
420
トップマネジメントとコンピテンシーから考えるエンジニアリングマネジメント
Avatar for Toru Yamaguchi a.k.a zigorou zigorou
4
810
型を書かないRuby開発への挑戦
Avatar for Shia riseshia
0
210
Evolution of Claude Code & How to use features
Avatar for Oikon oikon48
1
570
Abuse report だけじゃない。AWS から緊急連絡が来る状況とは?昨今の攻撃や被害の事例の紹介と備えておきたい考え方について
Avatar for kazzpapa3 kazzpapa3
1
370
Claude Code のコード品質がばらつくので AI に品質保証させる仕組みを作った話 / A story about building a mechanism to have AI ensure quality, because the code quality from Claude Code was inconsistent
Avatar for nrs nrslib
4
550

Featured

See All Featured
Navigating Algorithm Shifts & AI Overviews - #SMXNext
Avatar for Aleyda Solis aleyda
1
1.2k
Color Theory Basics | Prateek | Gurzu
Avatar for Gurzu gurzu
0
240
Noah Learner - AI + Me: how we built a GSC Bulk Export data pipeline
Avatar for Tech SEO Connect techseoconnect
PRO
0
130
My Coaching Mixtape
Avatar for mlcsv mlcsv
0
69
The Psychology of Web Performance [Beyond Tellerrand 2023]
Avatar for Tammy Everts tammyeverts
49
3.3k
A designer walks into a library…
Avatar for Paul Jervis Heath pauljervisheath
210
24k
Leading Effective Engineering Teams in the AI Era
Avatar for Addy Osmani addyosmani
9
1.7k
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
A Tale of Four Properties
Avatar for Chris Coyier chriscoyier
163
24k
Rails Girls Zürich Keynote
Avatar for Gregor Martynus gr2m
96
14k
<Decoding/> the Language of Devs - We Love SEO 2024
Avatar for Nikki Halliwell nikkihalliwell
1
150
Exploring the relationship between traditional SERPs and Gen AI search
Avatar for Ray Grieselhuber raygrieselhuber
PRO
2
3.7k

Transcript

  1. S3上のログを分析したいだけなのに Mitsuo

  2. NAME: Mitsuo(みつお) COMPANY: アイレット株式会社 クラウドインテグレーション事業部 INTEREST: 音楽鑑賞、演奏、体を動かすこと CREDENTIALS: 2022 -

    2024 APN ALL AWS Certifications Engineer AWS Community Builder(Networking Content Delivery) iret テクニカルアンバサダー(Advanced) 自己紹介

  3. はじめに ・ 構築済みのシステムの運用設計、運用を担当 ・ OSやAWSサービスから出力されるログの分析を行えるようにしたい ・ 顧客で分析ができるようにしたい ※ 実装の話を含みます どうぞ、よろしくお願いします。

  4. 分析ならやっぱりOpenSearch!? ログアカウントのS3バケットにある ログデータを分析したい! OpenSearch Serverlessで実装出来るか 検討してみます!

  5. OpenSearch Severlessとは VPC上に配置しなくても OpenSearchが使えるなら 顧客の希望にも合致するよね? 引用:Amazon OpenSearch Serverless AWS Black

    Belt Online Seminar https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black- Belt_2023_AmazonOpenSearchServerless_0131_v1.pdf

  6. アーキテクチャ 3面のログ情報を ログアカウント側に集約させるような アーキテクチャです 右図以外にも複数AWSサービスの ログを集約していました (WAF、SESなど)

  7. アーキテクチャ S3にあるデータを OpenSearch Serverlessに 取り込む必要があるね

  8. そもそも・・・? あれ?そもそもOpenSearchが取り込める データ形式ってなんだっけ

  9. データ形式について 引用:Amazon OpenSearch Serverless AWS Black Belt Online Seminar https://pages.awscloud.com/rs/112-TZM-766/images/AWS-Black-

    Belt_2023_AmazonOpenSearchServerless_0131_v1.pdf

  10. あれ? AWSサービスから出力するログは 須くJSON形式なんだよね? えっ・・・

  11. VPCフローログは・・・? 引用:Flow log record examples https://docs.aws.amazon.com/vpc/latest/userguide/flow-logs-records- examples.html

  12. CloudFront、ALBのアクセスログは・・・? CloudFront 標準ログ ALBアクセスログ 引用: Configure and use standard logs

    (access logs) https://docs.aws.amazon.com/AmazonCloudFront/latest/DeveloperGuide/AccessLogs.html#AccessLogsFile Naming Access logs for your Application Load Balancer https://docs.aws.amazon.com/elasticloadbalancing/latest/application/load-balancer-access-logs.html

  13. うおおおおおおおおおお うおおおおおおおおおおおおおおおお JSON以外のログはJSON形式に変換しないと ダメやん?!?! OSのログとかもJSONじゃない奴あるよね??

  14. データ加工するには? そうなんだけど ログの出方も多種多様だし、 それを1から準備するのかなり辛くない? 僕に任せたらええやん 15分以上かかるなら Python Shellとかも 使えるワイでも ええんやで

  15. 提案あり SIEM on Amazon OpenSearch Serviceを 検討してみるのが良いんじゃない?

  16. SIEM on Amazon OpenSearch Serviceとは? AmazonがOSSとしてGitHubに公開してるコード CloudFormation、CDKにて提供 引用:SIEM on Amazon

    OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch- service/blob/main/README_ja.md

  17. 調べてみたところ・・・ ・ 良いものではある・・・! ・ 集約するS3バケットを既に構築済みのため、カスタマイズが必要 ・ コードの量も多く修正箇所が見えづらい ・ 問題が生じた時、どこに手を加えればいいのか ・

    かつOSSなので、サポートを受けづらいのではないか ・ そもそも顧客が使うにはハードルが高いのではないか ・ そこはSIerの腕の見せ所!! 気合いで手順を整備すれば・・・いや、厳しいって

  18. 導入を断念 さよなら、SIEM on Amazon OpenSearch Service

  19. 気を取り直して Amazon OpenSearch Ingestionを 検討してみるのが良いんじゃない?

  20. Amazon OpenSearch Ingestionとは ・ Open Searchドメイン、コレクションにリアルタイムでログ、メトリック、トレースデータを連携できる サーバレスなコレクタのこと ・ データ収集、変換、配信を担うLogstashやJaegerが不要で利用可能 ・

    実際の取り込みの設定をOpenSearch Ingestion Pipelineという 引用:SIEM on Amazon OpenSearch Service https://github.com/aws-samples/siem-on-amazon-opensearch- service/blob/main/README_ja.md

  21. これは来たんじゃね? ログを取り込む設定はYAMLで記述が可能 IaCにCloudFormationを使っていたので、顧客にとっても相性が良いのではないか?

  22. Ingestion Pipelineによるログ取り込み とりあえずCloudTrailのログ取り込みを試してみる

  23. Koreha… ・ Ingestion Pipelineの取り込みの際に、CloudWatch Logsへエラーを 大量に吐き続ける ・ ログ全体の7、8割がエラーログで気づいたら数万件に・・・笑

  24. 原因 Dynamic Mappingという機能があり、取り込んだレコード に対して、自動でフィールドを定義可能 取り込めるフィールド数のデフォルト値(1,000)を 超えてしまったエラーだった 参考: Elastic(Approaches to deal

    with “Limit of total fields [1000] in index has been exceeded”) https://discuss.elastic.co/t/approaches-to-deal-with-limit-of-total-fields-1000-in-index-has-been- exceeded/241039/1

  25. フィールドについて JSONフォーマットのKeyの種類=フィールド数 CloudTrailは多種多様なパラメータがある CloudTrailのデータ構造とOpenSearchの相性が悪い

  26. やれることやってみる? フィールド値のデフォルト数を 増やせば良いのでは?

  27. Huh?

  28. 無理じゃね? ・ とある技術ブログにて8,000件で運用している猛者を確認 ・ フィールド種の数に応じてメモリの負担が増える ・ Dynamic Mappingの有無に関わらず、そもそも一部パラメータが OpenSearch側でパースできない事象を確認 ・

    正常取り込みに向けて奮闘するも・・・ ・ 新しいパラメータが登場する度に怯える事になるのでは?

  29. 2週間経過・・・

  30. 導入を断念 さよなら、OpenSearch Ingestion

  31. Athenaが好きになったきっかけ OpenSearchは導入するハードルが 高いです・・・ 具体的な要件がなければ Athenaでスモールスタートしましょう 了解です! 可視化の要件もないので、 Athenaで構いませんよ!

  32. Athenaをスーパーざっくり クエリ実行の分析基盤を構築する必要がないサーバレスサービス S3に分析するデータを格納してクエリを実行するだけ!! ※ Federated Queryの説明はしません

  33. これでようやく解放されるね Athenaなら取り込みも不要だし、 何度か使ったことあるから安心だ!!

  34. 嘘やろ・・・? と思ってクエリを書いたら上手くいかない・・・

  35. 何が上手くいかなかったのか ALBのアクセスログの分析が出来ない Data Firehose経由のログが分析できない

  36. ALBのアクセスログの分析が出来ない 列情報は持っているのに、 null値で返ってくる

  37. nullのデータを確認した結果

  38. 原因 シリアライズ「RegexSerDe」では正規表現を使用して、 データを抽出するが、実際のデータと正規表現の値が一致しない場合、 データがNULLとして返されてる仕様がある 2024年5月中旬にドキュメントの更新があり、クエリが変更されていた クエリの見直しにより問題が解決

  39. Data Firehoseによってデータが集約される

  40. なぜ? ・ Data FirehoseはCloudWatch Logsのデータを指定した期間あるいは データ量のいずれかを超えた場合にログをバッファリング(1つのファイルに集約) してS3に送出する仕様がある ・ 集約したログは1レコードとして扱われるため、ログ分析ができなくなる

  41. これ、1レコードです(見やすいように手で改行)

  42. 解決策 Data Firehoseの機能で「ログイベントからのみメッセージフィールドを抽出」を有効化する CloudWatch Logsのログイベント情報のみS3に転送する

  43. 簡単にログ分析が出来る JSON形式ではなく1行1レコードとなる 改行済み

  44. 急ですが 無事にAthenaでログ分析できるようになりました その後、たくさんクエリを書きました

  45. 最後に宣伝 Amazon Athenaの概要はご存知な方ばかりだと思います。 初学者向けのブログを書いてみたのでよろしければ! 澤田先輩と優しく学ぶAmazon Athena https://iret.media/110241

  46. おしまい アイレット株式会社 Mitsuo