この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
こんにちは、yagiです。
CloudflareのHttpリクエストログをSumologicへLogpushしたので、手順をまとめてみます。
Cloudflare の Logpush 機能とは?
Logpush は、1 ファイルあたり 100,000 レコード以下のバッチで 1 分未満でログを配信します。 リアルタイムではないものの、頻繁なログ配信が可能であり、Sumologic などのSaaS型の監視・分析ツールへ配信することが可能となっています。
なぜSumologicを使いたいのか
Sumologicを利用することで、ログの検索や可視化、モニタリングが簡単に実現できたり、 参照したいログの絞り込み(LogReduce)や、過去ログデータとの比較(LogCompare)が容易にできます。
また、Cloud SIEMで、ログの相関分析とドリルダウンを行い、MLの機能で、攻撃の軌跡を追跡するなどの機能を活用することができます。
#AKIBA.SaaS – Sumo Logicで「脅威の傾向と将来のリスクを把握」をテーマに発表しました!
やってみた
Sumologic 側の設定
Sumologic 側へログインし、左ペインから Collection を選択し、画面上部の Collection を選択します。 Add Collector を押下します。
Hosted Collector を選択します。
Edit Collector 画面で必要事項を入力し Save を押下します。今回、Cloudflare の Httprequests ログ を Push するため、Category に関連の値を入れておきます。
Collector セットアップされ、一覧画面にて、Hosted と表示されていることを確認します。
一覧から 「Add Source」 を押下します。
ラインナップから 「HTTP Logs & Metrics」 を選択します。
必要事項を入力して 「Save」 を押下します。
HTTP Source Address が表示されるので、Copy して OK を押下します。Copy した URL は控えておきます。
Cloudflare 側の設定
Cloudflare の ダッシュボード上より、左ペインの 「分析とログ」 から 「ログ」 を押下し、 「Logpushジョブを追加する」 ボタンを押下します。
「データセットを選択」 から、 HTTP requests を選択し、 「次へ」 を押下します。
データフィールドを選択します。Workers の利用はないので、それ以外のフィールドにチェックを付け、フィルタですべてのログを選択し、 「次へ」 を押下します。
「プッシュ先を選択」 画面で分析パートナーから sumologic を選択し、 「次へ」 を押下します。
Sumologic 側で Copy しておいた HTTP Source Address を入力して、 「アクセスを検証」 を押下します。
Cloudflare より、所有権トークンファイルが宛先に送信されるため、Sumologic 側の Log Search を開いて、Contents の値をコピーし、所有権トークンの欄に貼り付けします。 プッシュを押下します。
ログプッシュの設定が完了しました。
まとめ
まずはCloudflareのHttpリクエストログをSumologicへLogpushするまで実施し、手順について記載してみました。
次回はSIEM機能の検証を実施して、またこちらでご紹介できればと思います!
4
