かわろぐ

技術、セキュリティ、その他もろもろ

MENU

Stackdriver Logging に Wowhoneypot のログを吐き出す

前の記事では、サーバーのディスクが溢れない様にログをローテートするところまで作業しました。今回はハニーポットのマシンの外にログを保管する部分をやっていきます。

ハニーポットのログを集めたい

個人の趣味の時間でやっているので、syslog サーバのメンテナンスなんてしたくて、最もやりたいログの分析の部分にフォーカスしたいんですよね。そこで、Google Cloud Platform にロックインされますが、GCP上のサービスを使ってお金で手間を解決したいと思います。

お金でと言っても殆ど、無料枠に収まってしまいほぼ無料ですけどね。。

StackDriver Loggingにログを出す

これはStackDriver のエージェントが Google から提供されているので、ドキュメントを見て以下のコマンドを叩くだけです。

curl -sSO "https://dl.google.com/cloudagents/install-logging-agent.sh"
sudo bash install-logging-agent.sh

エージェントと言っても独自のものではなくて fluentd のカスタマイズ版のようですね。

完了したらStackdriver のエージェントにwowhoneypot のログを拾わせる様に設定しましょう。こちらも設定方法のドキュメントがあるのでそれを見ながらやりました。

/etc/google-fluentd/conf.d/wowhoneypot.conf

<source>
  @type tail
  format none
  path /home/wow/wowhoneypot/log/access_log
  pos_file /var/lib/google-fluentd/pos/wowhoney-access_log
  read_from_head true
  tag wowhoneypot
</source>

上記の設定ファイルを作ったらエージェントを再起動します。

sudo service google-fluentd restart

これで、Wowhoneypot のログが StackDriver Logging へ転送されるようになりました。GCPの画面で見るとこんな感じですね。

f:id:kawa_xxx:20180930080411p:plain

エージェントの設定ファルを作成したフォルダにはデフォルトで syslog など他のサービスのログを転送する設定も多数入っています。もし、ログ量を心配するならば、これらを削除なり拡張子の変更をしておくと良いかもしれません。

プログラマのためのGoogle Cloud Platform入門 サービスの全体像からクラウドネイティブアプリケーション構築まで

プログラマのためのGoogle Cloud Platform入門 サービスの全体像からクラウドネイティブアプリケーション構築まで