Qiita Teams that are logged in
You are not logged in to any team

Log in to Qiita Team
Community
OrganizationEventAdvent CalendarQiitadon (β)
Service
Qiita JobsQiita ZineQiita Blog
5
Help us understand the problem. What are the problem?

More than 3 years have passed since last update.

@myogada

Splunkへのログの取り込みと分析

 Splunkへのログの取り込みと分析の例として、我が家の無線LANルータのログを使ってタダ乗りされていないかチェックしてみます。

1.ログ取り込み

①ログ取り込み

Splunkのトップ画面から、「Add Data」、「Upload」と進み、取り込むログを指定します。

②インデックスの作成

 「Create a new index」で新規でインデックスを作成します。名前は「ap_idx」とします。

2.ログのサーチ

 インデックスを指定して取り込んだログをまず全て表示させてみます。

index=ap_idx

スクリーンショット 2017-09-17 14.01.55.png

 無線LANルータへの認証が成功すると「associated」というキーワードが残るようなので、以下のようにサーチ文にキーワードを入れます。

index=ap_idx associated

「associated」か含まれている行のみが表示されるようになりました。この辺りがgrepっぽいですね。
次に、認証に成功しているMACアドレスを抽出してみましょう。ログを見ると、「STA("MACアドレス")」というフォーマットになっているので、rexコマンドを使って以下のサーチ文を書きます。
(サーチ結果を別のコマンドに渡すときはパイプ"|"を使います。Linuxとかと同じですね。)

index=ap_idx associated
|rex field=_raw "STA\((?<MAC>.*)\)"

スクリーンショット 2017-09-17 18.30.38.png

 画像に変化がありませんが、抽出、つまりフィールドとして認識しています。
 ただ、このままでは一覧性がなく見にくいので、リスト形式にします。tableコマンドを使います。

index=ap_idx associated
|rex field=_raw "STA\((?<MAC>.*)\)"
|table MAC

スクリーンショット 2017-09-17 18.53.31.png

 重複しているMACアドレスも表示されていますので、重複を削除します。dedupコマンドを使います。

index=ap_idx associated
|rex field=_raw "STA\((?<MAC>.*)\)"
|table MAC
|dedup MAC

スクリーンショット 2017-09-17 18.43.00.png

 この中に知らないMACアドレスがあればタダ乗りされていることになりますが、すべて把握しているものでしたので一安心です。

Why not register and get more from Qiita?
  1. We will deliver articles that match you
    By following users and tags, you can catch up information on technical fields that you are interested in as a whole
  2. you can read useful information later efficiently
    By "stocking" the articles you like, you can search right away
5
Help us understand the problem. What are the problem?