Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Elastic StackでWebサーバのログ解析を始めた件について / Web server...

Avatar for takahoyo takahoyo
December 02, 2017
Technology
220
0

Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack

元祖濱せっく#1 のLTで発表した資料です #HamaSec

Avatar for takahoyo

takahoyo

December 02, 2017

More Decks by takahoyo

See All by takahoyo
OSEP取るまでにやったこと
Avatar for takahoyo takahoyo
3
2.4k
"申" (猿)がつくセキュリティツールを検証してみた
Avatar for takahoyo takahoyo
4
1.2k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
Avatar for takahoyo takahoyo
4
1.9k
malspamの情報収集と解析 / malspam information gathering and analysis
Avatar for takahoyo takahoyo
0
120
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
Avatar for takahoyo takahoyo
2
2.2k
パケットで遊ぼう / let's play using network packet
Avatar for takahoyo takahoyo
0
230
hpingで作るパケット / network packet craft by hping
Avatar for takahoyo takahoyo
0
430
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
Avatar for takahoyo takahoyo
0
260

Other Decks in Technology

See All in Technology
Claude Code / Codex / Kiro に AWS 権限を 渡すとき、何を設計すべきか
Avatar for Kazuki Adachi k_adachi_01
5
1.2k
20260513_生成AIを専属DSに_AI分析結果の検品テクニック_ハンズオン_交通事故データ
Avatar for NobuakiOshiro doradora09
PRO
0
220
Every Conversation Counts
Avatar for Yasunobu Kawaguchi kawaguti
PRO
0
210
Agent の「自由」と「安全」〜未来に向けて今できること〜
Avatar for katayan katayan
0
360
Tachikawa.any 運営挨拶
Avatar for daitasu daitasu
0
160
2026年春のAgentCoreアプデ 細かいやつ全部まとめ
Avatar for みのるん minorun365
3
220
ServiceによるKubernetes通信制御ーClusterIPを例に
Avatar for 周学勤(Zhou Xueqin) miku01
1
160
Claude Codeウェビナー資料 - AWSの最新機能をClaude Codeで高速に検証する
Avatar for ONOYAMA Shodai oshanqq
0
170
Vision Banana: Image Generators are Generalist Vision Learners
Avatar for Kazuyuki Miyazawa kzykmyzw
0
360
小さいVue.jsを30分で作る
Avatar for Hal hal_spidernight
0
150
古今東西SRE
Avatar for Kaoru okaru
2
180
AIと乗り切った1,500ページ超のヘルプサイト基盤刷新とさらにその先の話
Avatar for mugi / Hajime Mugishima mugi_uno
2
340

Featured

See All Featured
jQuery: Nuts, Bolts and Bling
Avatar for Doug Neiner dougneiner
66
8.4k
sira's awesome portfolio website redesign presentation
Avatar for ElsiraPls elsirapls
0
230
実際に使うSQLの書き方 徹底解説 / pgcon21j-tutorial
Avatar for soudai sone soudai
PRO
199
73k
Mobile First: as difficult as doing things right
Avatar for Swwweet swwweet
225
10k
Heart Work Chapter 1 - Part 1
Avatar for Lake Fama lfama
PRO
6
35k
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
91
590k
Tell your own story through comics
Avatar for letsgokoyo letsgokoyo
1
920
The Art of Delivering Value - GDevCon NA Keynote
Avatar for David Neal reverentgeek
16
1.9k
JAMstack: Web Apps at Ludicrous Speed - All Things Open 2022
Avatar for David Neal reverentgeek
1
440
Navigating Team Friction
Avatar for Lara Hogan lara
192
16k
XXLCSS - How to scale CSS and keep your sanity
Avatar for Zaharenia Atzitzikaki sugarenia
250
1.3M
10 Git Anti Patterns You Should be Aware of
Avatar for Lemi Orhan Ergin lemiorhan
PRO
659
62k

Transcript

  1. Elastic Stackで Webサーバのログ解析を 始めた件について @takahoyo 元祖 濱せっく #1

  2. 今日の内容  Elastic Stackを使ってWebサーバのログ解析を 始めた  ログ解析して特徴的だった情報を紹介

  3. モチベーション  学生の頃にWebサーバをVPS上に立てた  勉強がてらWebページ作ってみよう  Webアプリケーション作ってみよう  ログは時々アクセスログをgrepで眺めるくらい 

    社会人になって…  Webサーバにどんな攻撃来てるのか気になる  社会人力を使って自宅サーバを買ったので何かで きないかな  そうだ ログ解析基盤、作ろう  最近Elastic Stack流行ってるし、やってみよう

  4. VPS HOME ログ解析基盤 の構成 VPN USER Log Server ログ収集・解析に使用するソフトウェア •

    filebeat:access logをサーバからESへ転送する • elasticsearch:log dataを保存 • kibana:elasticsearchのデータを参照・可視化 ログ転送に使用するネットワーク • VPNを使ってVPSとHOMEを接続 – 認証・暗号化を実施 – FWで必要なホスト・ポートのみアクセスを許可 Firewall Web Server (nginx)

  5. ログ解析基盤 への転送設定  filebeatのnginx moduleを使用  意外と簡単にelasticsearchへ取り込みが出来た  さらに、GeoIP情報やUser-Agent解析も自動で行う 

    通常、Logをparseする処理が必要  デフォルトではDashboardも自動生成  設定ファイルは以下の通り filebeat.modules: - module: nginx access: enabled: true var.pipeline: with_plugins var.paths: - /var/log/nginx/access.log error: enabled: true var.paths: - /var/log/nginx/error.log filebeat.prospectors: output.elasticsearch: enabled: true hosts: [“elasticsearch:9200"] filebeat.yml
  6. None

  7. 可視化してわかったこと  ブラジルから激しいアクセスが  なんじゃこりゃ…

  8. ログを見る  “/”を“GET” してるだけ  User-Agentが”Other“?  ingest-user-agent モジュールで自動で解析されてしまった

  9. ログを見る  しょうがないので生ログを見る  User-Agentは、"curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 

    mips ってことは組み込み系? 168.0.xxx.yyy - - [01/Dec/2017:23:37:23 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 177.101.xxx.yyy - - [01/Dec/2017:23:00:59 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 168.0.xxx.yyy - - [01/Dec/2017:22:54:08 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 187.120.xxx.y - - [01/Dec/2017:22:44:37 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 168.0.xx.yyy - - [01/Dec/2017:22:38:39 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"

  10. Shodanで調べてみる  いくつかのIPをShodanで調べたところ、すべてのIPで2000/tcpが動 いていた  これが原因?何かのネットワーク機器ぽい

  11. まとめ  Elastic Stackを使うことでログ収集が簡単に可能  集めた情報を可視化することでログ解析が楽しく、 簡単にできる  可視化して見つけた情報をもとにOSINTしてみる と新たなことがわかるかも

     今後はさらに多くのホストから、さらに多くのロ グを収集して、Elasticに入れて解析したい