Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Elastic StackでWebサーバのログ解析を始めた件について / Web server...

Avatar for takahoyo takahoyo
December 02, 2017
Technology
0
190

Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack

元祖濱せっく#1 のLTで発表した資料です #HamaSec

Avatar for takahoyo

takahoyo

December 02, 2017
Tweet

More Decks by takahoyo

See All by takahoyo
OSEP取るまでにやったこと
Avatar for takahoyo takahoyo
0
2k
"申" (猿)がつくセキュリティツールを検証してみた
Avatar for takahoyo takahoyo
4
1.2k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
Avatar for takahoyo takahoyo
4
1.9k
malspamの情報収集と解析 / malspam information gathering and analysis
Avatar for takahoyo takahoyo
0
86
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
Avatar for takahoyo takahoyo
2
2.1k
パケットで遊ぼう / let's play using network packet
Avatar for takahoyo takahoyo
0
200
hpingで作るパケット / network packet craft by hping
Avatar for takahoyo takahoyo
0
370
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
Avatar for takahoyo takahoyo
0
240

Other Decks in Technology

See All in Technology
Amazon Bedrock AgentCore でプロモーション用動画生成エージェントを開発する
Avatar for Kiminori Yokoi nasuvitz
6
340
MySQL HeatWave:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
4
1.6k
どこで動かすか、誰が動かすか 〜 kintoneのインフラ基盤刷新と運用体制のシフト 〜
Avatar for Shin'ya Ueoka ueokande
0
130
Amazon Inspector コードセキュリティで手軽に実現するシフトレフト
Avatar for mai miya maimyyym
0
150
datadog-distribution-of-opentelemetry-collector-intro
Avatar for tetsuya28 tetsuya28
0
190
我々は雰囲気で仕事をしている / How can we do vibe coding as well
Avatar for Naomi Yamasaki naospon
2
170
人を動かすことについて考える
Avatar for nakamichi ichimichi
2
230
フルカイテン株式会社 エンジニア向け採用資料
Avatar for FULL KAITEN fullkaiten
0
8.5k
GCASアップデート(202506-202508)
Avatar for 高橋広和 techniczna
0
230
生成AI活用のROI、どう測る? DMM.com 開発責任者から学ぶ「AI効果検証のノウハウ」 / ROI of AI
Avatar for Masato Ishigaki / 石垣雅人 i35_267
4
140
広島発!スタートアップ開発の裏側
Avatar for Sankyo Toshio tsankyo
0
130
AIが住民向けコンシェルジュに? Amazon Connectと生成AIで実現する自治体AIエージェント!
Avatar for yuyeah yuyeah
0
240

Featured

See All Featured
Fireside Chat
Avatar for paigeccino paigeccino
39
3.6k
Evolution of real-time – Irina Nazarova, EuRuKo, 2024
Avatar for Irina Nazarova irinanazarova
8
890
The Myth of the Modular Monolith - Day 2 Keynote - Rails World 2024
Avatar for Eileen M. Uchitelle eileencodes
26
3k
Improving Core Web Vitals using Speculation Rules API
Avatar for Sergey Chernyshev sergeychernyshev
18
1.1k
Building an army of robots
Avatar for Kyle Neath kneath
306
45k
The Power of CSS Pseudo Elements
Avatar for Geoffrey Crofte geoffreycrofte
77
5.9k
Making the Leap to Tech Lead
Avatar for Ryan Cromwell cromwellryan
134
9.5k
Measuring & Analyzing Core Web Vitals
Avatar for Philip Tellis bluesmoon
9
560
Being A Developer After 40
Avatar for Adrian Kosmaczewski akosma
90
590k
The Illustrated Children's Guide to Kubernetes
Avatar for Chris Short chrisshort
48
50k
Balancing Empowerment & Direction
Avatar for Lara Hogan lara
2
580
The Invisible Side of Design
Avatar for Vitaly Friedman smashingmag
301
51k

Transcript

  1. Elastic Stackで Webサーバのログ解析を 始めた件について @takahoyo 元祖 濱せっく #1

  2. 今日の内容  Elastic Stackを使ってWebサーバのログ解析を 始めた  ログ解析して特徴的だった情報を紹介

  3. モチベーション  学生の頃にWebサーバをVPS上に立てた  勉強がてらWebページ作ってみよう  Webアプリケーション作ってみよう  ログは時々アクセスログをgrepで眺めるくらい 

    社会人になって…  Webサーバにどんな攻撃来てるのか気になる  社会人力を使って自宅サーバを買ったので何かで きないかな  そうだ ログ解析基盤、作ろう  最近Elastic Stack流行ってるし、やってみよう

  4. VPS HOME ログ解析基盤 の構成 VPN USER Log Server ログ収集・解析に使用するソフトウェア •

    filebeat:access logをサーバからESへ転送する • elasticsearch:log dataを保存 • kibana:elasticsearchのデータを参照・可視化 ログ転送に使用するネットワーク • VPNを使ってVPSとHOMEを接続 – 認証・暗号化を実施 – FWで必要なホスト・ポートのみアクセスを許可 Firewall Web Server (nginx)

  5. ログ解析基盤 への転送設定  filebeatのnginx moduleを使用  意外と簡単にelasticsearchへ取り込みが出来た  さらに、GeoIP情報やUser-Agent解析も自動で行う 

    通常、Logをparseする処理が必要  デフォルトではDashboardも自動生成  設定ファイルは以下の通り filebeat.modules: - module: nginx access: enabled: true var.pipeline: with_plugins var.paths: - /var/log/nginx/access.log error: enabled: true var.paths: - /var/log/nginx/error.log filebeat.prospectors: output.elasticsearch: enabled: true hosts: [“elasticsearch:9200"] filebeat.yml
  6. None

  7. 可視化してわかったこと  ブラジルから激しいアクセスが  なんじゃこりゃ…

  8. ログを見る  “/”を“GET” してるだけ  User-Agentが”Other“?  ingest-user-agent モジュールで自動で解析されてしまった

  9. ログを見る  しょうがないので生ログを見る  User-Agentは、"curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 

    mips ってことは組み込み系? 168.0.xxx.yyy - - [01/Dec/2017:23:37:23 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 177.101.xxx.yyy - - [01/Dec/2017:23:00:59 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 168.0.xxx.yyy - - [01/Dec/2017:22:54:08 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 187.120.xxx.y - - [01/Dec/2017:22:44:37 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 168.0.xx.yyy - - [01/Dec/2017:22:38:39 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"

  10. Shodanで調べてみる  いくつかのIPをShodanで調べたところ、すべてのIPで2000/tcpが動 いていた  これが原因?何かのネットワーク機器ぽい

  11. まとめ  Elastic Stackを使うことでログ収集が簡単に可能  集めた情報を可視化することでログ解析が楽しく、 簡単にできる  可視化して見つけた情報をもとにOSINTしてみる と新たなことがわかるかも

     今後はさらに多くのホストから、さらに多くのロ グを収集して、Elasticに入れて解析したい