Upgrade to Pro — share decks privately, control downloads, hide ads and more …

Elastic StackでWebサーバのログ解析を始めた件について / Web server...

Avatar for takahoyo takahoyo
December 02, 2017
Technology
0
110

Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack

元祖濱せっく#1 のLTで発表した資料です #HamaSec
Avatar for takahoyo

takahoyo

December 02, 2017
Tweet

More Decks by takahoyo

See All by takahoyo
OSEP取るまでにやったこと
Avatar for takahoyo takahoyo
0
2k
"申" (猿)がつくセキュリティツールを検証してみた
Avatar for takahoyo takahoyo
4
1.2k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
Avatar for takahoyo takahoyo
4
1.8k
malspamの情報収集と解析 / malspam information gathering and analysis
Avatar for takahoyo takahoyo
0
83
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
Avatar for takahoyo takahoyo
2
2.1k
パケットで遊ぼう / let's play using network packet
Avatar for takahoyo takahoyo
0
190
hpingで作るパケット / network packet craft by hping
Avatar for takahoyo takahoyo
0
360
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
Avatar for takahoyo takahoyo
0
70

Other Decks in Technology

See All in Technology
KubeCon + CloudNativeCon Japan 2025 Recap Opening & Choose Your Own Adventureシリーズまとめ
Avatar for mm-matsuda mmmatsuda
0
220
A2Aのクライアントを自作する
Avatar for Ryunosuke Iwai rynsuke
1
220
ドメイン特化なCLIPモデルとデータセットの紹介
Avatar for tattaka tattaka
1
250
Wasm元年
Avatar for asuka askua
0
160
低レイヤを知りたいPHPerのためのCコンパイラ作成入門 完全版 / Building a C Compiler for PHPers Who Want to Dive into Low-Level Programming - Expanded
Avatar for HASEGAWA Tomoki tomzoh
4
3.3k
Node-REDのFunctionノードでMCPサーバーの実装を試してみた / Node-RED × MCP 勉強会 vol.1
Avatar for you(@youtoy) you
PRO
0
120
Model Mondays S2E03: SLMs & Reasoning
Avatar for Nitya Narasimhan, PhD nitya
0
220
作曲家がボカロを使うようにPdMはAIを使え
Avatar for Takuya Ito itotaxi
0
290
2025-06-26 GitHub CopilotとAI駆動開発:実践と導入のリアル
Avatar for 河内崇 fl_kawachi
1
190
LangSmith×Webhook連携で実現するプロンプトドリブンCI/CD
Avatar for sergicalsix sergicalsix
1
130
asken AI勉強会(Android)
Avatar for 佐藤忠 tadashi_sato
0
110
論文紹介:LLMDet (CVPR2025 Highlight)
Avatar for tattaka tattaka
0
150

Featured

See All Featured
Writing Fast Ruby
Avatar for Erik Berlin sferik
628
62k
Side Projects
Avatar for Sacha Greif sachag
455
42k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
94
6.1k
The Pragmatic Product Professional
Avatar for Laura Van Doore lauravandoore
35
6.7k
Principles of Awesome APIs and How to Build Them.
Avatar for Keavy McMinn keavy
126
17k
Visualization
Avatar for Eitan Lees eitanlees
146
16k
Helping Users Find Their Own Way: Creating Modern Search Experiences
Avatar for Dan Newman danielanewman
29
2.7k
Embracing the Ebb and Flow
Avatar for Simon Collison colly
86
4.7k
Rebuilding a faster, lazier Slack
Avatar for samanthasiow samanthasiow
82
9.1k
Designing Experiences People Love
Avatar for Jonathan Moore moore
142
24k
Adopting Sorbet at Scale
Avatar for Ufuk Kayserilioglu ufuk
77
9.4k
Product Roadmaps are Hard
Avatar for C. Todd Lombardo iamctodd
PRO
54
11k

Transcript

  1. Elastic Stackで Webサーバのログ解析を 始めた件について @takahoyo 元祖 濱せっく #1

  2. 今日の内容  Elastic Stackを使ってWebサーバのログ解析を 始めた  ログ解析して特徴的だった情報を紹介

  3. モチベーション  学生の頃にWebサーバをVPS上に立てた  勉強がてらWebページ作ってみよう  Webアプリケーション作ってみよう  ログは時々アクセスログをgrepで眺めるくらい 

    社会人になって…  Webサーバにどんな攻撃来てるのか気になる  社会人力を使って自宅サーバを買ったので何かで きないかな  そうだ ログ解析基盤、作ろう  最近Elastic Stack流行ってるし、やってみよう

  4. VPS HOME ログ解析基盤 の構成 VPN USER Log Server ログ収集・解析に使用するソフトウェア •

    filebeat:access logをサーバからESへ転送する • elasticsearch:log dataを保存 • kibana:elasticsearchのデータを参照・可視化 ログ転送に使用するネットワーク • VPNを使ってVPSとHOMEを接続 – 認証・暗号化を実施 – FWで必要なホスト・ポートのみアクセスを許可 Firewall Web Server (nginx)

  5. ログ解析基盤 への転送設定  filebeatのnginx moduleを使用  意外と簡単にelasticsearchへ取り込みが出来た  さらに、GeoIP情報やUser-Agent解析も自動で行う 

    通常、Logをparseする処理が必要  デフォルトではDashboardも自動生成  設定ファイルは以下の通り filebeat.modules: - module: nginx access: enabled: true var.pipeline: with_plugins var.paths: - /var/log/nginx/access.log error: enabled: true var.paths: - /var/log/nginx/error.log filebeat.prospectors: output.elasticsearch: enabled: true hosts: [“elasticsearch:9200"] filebeat.yml
  6. None

  7. 可視化してわかったこと  ブラジルから激しいアクセスが  なんじゃこりゃ…

  8. ログを見る  “/”を“GET” してるだけ  User-Agentが”Other“?  ingest-user-agent モジュールで自動で解析されてしまった

  9. ログを見る  しょうがないので生ログを見る  User-Agentは、"curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 

    mips ってことは組み込み系? 168.0.xxx.yyy - - [01/Dec/2017:23:37:23 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 177.101.xxx.yyy - - [01/Dec/2017:23:00:59 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 168.0.xxx.yyy - - [01/Dec/2017:22:54:08 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 187.120.xxx.y - - [01/Dec/2017:22:44:37 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 168.0.xx.yyy - - [01/Dec/2017:22:38:39 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"

  10. Shodanで調べてみる  いくつかのIPをShodanで調べたところ、すべてのIPで2000/tcpが動 いていた  これが原因?何かのネットワーク機器ぽい

  11. まとめ  Elastic Stackを使うことでログ収集が簡単に可能  集めた情報を可視化することでログ解析が楽しく、 簡単にできる  可視化して見つけた情報をもとにOSINTしてみる と新たなことがわかるかも

     今後はさらに多くのホストから、さらに多くのロ グを収集して、Elasticに入れて解析したい