ログ分析基盤に Elasticsearch / Kibana を追加してみる(実践編)
はじめに
前回の記事では、Iceberg を正本とした Elasticsearch / Kibana の導入について解説しました。
- 設計編
- 構築編
本記事では実際に Kibana を利用したログ調査や運用分析の方法を紹介します。
シリーズ構成
- 設計編
- 構築編
- 実践編(本記事)
- 運用編
構成のおさらい
検索対象
logs-syslog-*
logs-authlog-*
Discoverを使ったログ検索
メニュー
Analytics
↓
Discover
特定ホストのログを確認する
host:ope1
特定プログラムを確認する
program:sshd
program:CRON
認証失敗を確認する
"Failed password"
または
msg:"Failed password"
特定IPアドレスを調査する
msg:*192.168.11.*
時間範囲を限定する
Last 15 minutes
Last 1 hour
Last 24 hours
Last 7 days
Lensで可視化する
Analytics
↓
Visualize Library
↓
Create Visualization
↓
Lens
ホスト別ログ件数
X軸
@timestamp
Y軸
Count
Break down
host
program別ログ件数
Count
↓
Terms(program)
severity別ログ件数
Count
↓
Terms(severity)
Dashboard作成
例
ホスト別ログ件数
program別ログ件数
severity別ログ件数
認証失敗件数
authlogダッシュボード例
認証成功件数
認証失敗件数
接続元IPランキング
接続先ホストランキング
Grafanaとの使い分け
Grafana
監視
定点観測
アラート
Kibana
障害調査
ログ検索
インシデント解析
障害調査の流れ
Grafanaで異常検知
↓
対象ホスト特定
↓
Kibanaで検索
↓
詳細調査
↓
原因分析
今後の改善案
- GeoIP連携
- 認証失敗アラート
- Elasticsearch Alerting
- TLS化
- Kibana認証
- Kafkaリアルタイム投入
まとめ
Grafana = 監視
Kibana = ログ調査
Iceberg = 正本
という役割分担になります。
次回は本解析基盤の運用、発展形を解説します。