Lock in $30 Savings on PRO—Offer Ends Soon! ⏳

Elastic StackでWebサーバのログ解析を始めた件について / Web server...

Avatar for takahoyo takahoyo
December 02, 2017
Technology
0
200

Elastic StackでWebサーバのログ解析を始めた件について / Web server access log analysis using Elastic Stack

元祖濱せっく#1 のLTで発表した資料です #HamaSec

Avatar for takahoyo

takahoyo

December 02, 2017
Tweet

More Decks by takahoyo

See All by takahoyo
OSEP取るまでにやったこと
Avatar for takahoyo takahoyo
0
2.1k
"申" (猿)がつくセキュリティツールを検証してみた
Avatar for takahoyo takahoyo
4
1.2k
おうちで出来るセキュリティチャレンジ / cyber security challenge from home
Avatar for takahoyo takahoyo
4
1.9k
malspamの情報収集と解析 / malspam information gathering and analysis
Avatar for takahoyo takahoyo
0
92
Scapyで作る・解析するパケット/ network packets craft and analysis by Scapy
Avatar for takahoyo takahoyo
2
2.1k
パケットで遊ぼう / let's play using network packet
Avatar for takahoyo takahoyo
0
210
hpingで作るパケット / network packet craft by hping
Avatar for takahoyo takahoyo
0
390
低対話型サーバハニーポットの運用結果及び考察 / Operation result of low interaction honeypots
Avatar for takahoyo takahoyo
0
240

Other Decks in Technology

See All in Technology
mablでリグレッションテストをデイリー実行するまで #mablExperience
Avatar for 弁護士ドットコム bengo4com
0
470
Capture Checking / Separation Checking 入門
Avatar for Rikito Taniguchi tanishiking
0
110
Security Diaries of an Open Source IAM
Avatar for Alexander Schwartz ahus1
0
110
MS Ignite 2025で発表されたFoundry IQをRecap
Avatar for Akira Sato satodayo
3
230
こがヘンだよ!Snowflake?サービス名称へのこだわり
Avatar for タロウ tarotaro0129
0
110
ECMAScript仕様の最新動向: プロセスの変化と仕様のトレンド
Avatar for uhyo uhyo
2
490
Noを伝える技術2025: 爆速合意形成のためのNICOフレームワーク速習 #pmconf2025
Avatar for Aki / @LoveIdahoBurger aki_iinuma
2
1k
Oracle Database@AWS:サービス概要のご紹介
Avatar for oracle4engineer oracle4engineer
PRO
0
120
DGX SparkでローカルLLMをLangChainで動かした話
Avatar for Hirokatsu Endo ruzia
1
260
pmconf2025 - 他社事例を"自社仕様化"する技術_iRAFT法
Avatar for yamachi|@yamapiya_ daichi_yamashita
0
490
著者と読み解くAIエージェント現場導入の勘所 Lancers TechBook#2
Avatar for Shumpei Miyawaki smiyawaki0820
7
2.8k
Sansan Engineering Unit 紹介資料
Avatar for Sansan, Inc. sansan33
PRO
1
3.3k

Featured

See All Featured
YesSQL, Process and Tooling at Scale
Avatar for Rocio Delgado rocio
174
15k
How to Ace a Technical Interview
Avatar for Jacob Kaplan-Moss jacobian
280
24k
Stop Working from a Prison Cell
Avatar for Chris Michel hatefulcrawdad
273
21k
Context Engineering - Making Every Token Count
Avatar for Addy Osmani addyosmani
9
460
The Straight Up "How To Draw Better" Workshop
Avatar for Dennis Kardys denniskardys
239
140k
Building a Scalable Design System with Sketch
Avatar for Laura Van Doore lauravandoore
463
34k
How to train your dragon (web standard)
Avatar for Monica Dinculescu notwaldorf
97
6.4k
Design and Strategy: How to Deal with People Who Don’t "Get" Design
Avatar for Morgane Peng morganepeng
132
19k
[RailsConf 2023] Rails as a piece of cake
Avatar for Vladimir Dementyev palkan
58
6.1k
Build your cross-platform service in a week with App Engine
Avatar for Jose L jlugia
234
18k
How Fast Is Fast Enough? [PerfNow 2025]
Avatar for Tammy Everts tammyeverts
3
380
Building a Modern Day 
E-commerce SEO Strategy
Avatar for Aleyda Solis aleyda
45
8.3k

Transcript

  1. Elastic Stackで Webサーバのログ解析を 始めた件について @takahoyo 元祖 濱せっく #1

  2. 今日の内容  Elastic Stackを使ってWebサーバのログ解析を 始めた  ログ解析して特徴的だった情報を紹介

  3. モチベーション  学生の頃にWebサーバをVPS上に立てた  勉強がてらWebページ作ってみよう  Webアプリケーション作ってみよう  ログは時々アクセスログをgrepで眺めるくらい 

    社会人になって…  Webサーバにどんな攻撃来てるのか気になる  社会人力を使って自宅サーバを買ったので何かで きないかな  そうだ ログ解析基盤、作ろう  最近Elastic Stack流行ってるし、やってみよう

  4. VPS HOME ログ解析基盤 の構成 VPN USER Log Server ログ収集・解析に使用するソフトウェア •

    filebeat:access logをサーバからESへ転送する • elasticsearch:log dataを保存 • kibana:elasticsearchのデータを参照・可視化 ログ転送に使用するネットワーク • VPNを使ってVPSとHOMEを接続 – 認証・暗号化を実施 – FWで必要なホスト・ポートのみアクセスを許可 Firewall Web Server (nginx)

  5. ログ解析基盤 への転送設定  filebeatのnginx moduleを使用  意外と簡単にelasticsearchへ取り込みが出来た  さらに、GeoIP情報やUser-Agent解析も自動で行う 

    通常、Logをparseする処理が必要  デフォルトではDashboardも自動生成  設定ファイルは以下の通り filebeat.modules: - module: nginx access: enabled: true var.pipeline: with_plugins var.paths: - /var/log/nginx/access.log error: enabled: true var.paths: - /var/log/nginx/error.log filebeat.prospectors: output.elasticsearch: enabled: true hosts: [“elasticsearch:9200"] filebeat.yml
  6. None

  7. 可視化してわかったこと  ブラジルから激しいアクセスが  なんじゃこりゃ…

  8. ログを見る  “/”を“GET” してるだけ  User-Agentが”Other“?  ingest-user-agent モジュールで自動で解析されてしまった

  9. ログを見る  しょうがないので生ログを見る  User-Agentは、"curl/7.17.1 (mips-unknown-linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 

    mips ってことは組み込み系? 168.0.xxx.yyy - - [01/Dec/2017:23:37:23 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 177.101.xxx.yyy - - [01/Dec/2017:23:00:59 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 168.0.xxx.yyy - - [01/Dec/2017:22:54:08 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 187.120.xxx.y - - [01/Dec/2017:22:44:37 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3” 168.0.xx.yyy - - [01/Dec/2017:22:38:39 +0900] "GET / HTTP/1.1" 200 612 "-" "curl/7.17.1 (mips-unknown- linux-gnu) libcurl/7.17.1 OpenSSL/0.9.8i zlib/1.2.3"

  10. Shodanで調べてみる  いくつかのIPをShodanで調べたところ、すべてのIPで2000/tcpが動 いていた  これが原因?何かのネットワーク機器ぽい

  11. まとめ  Elastic Stackを使うことでログ収集が簡単に可能  集めた情報を可視化することでログ解析が楽しく、 簡単にできる  可視化して見つけた情報をもとにOSINTしてみる と新たなことがわかるかも

     今後はさらに多くのホストから、さらに多くのロ グを収集して、Elasticに入れて解析したい