(レポート) Elastic{ON} 2016: Elasticデモブース “Analytics” #elasticon

2016.02.19

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

藤本@サンフランシスコです。

Elastic{ON} 2日目、Elasticさんに通訳をご協力いただき、デモブースを回りました。藤松さん、ありがとうございました!

ブース概要

データ分析に関するデモをレポートします。 こちらのデモブースは大変人気で途切れることなく次から次へと人が集まっていました。

  • Graph API Elastic{ON} Tour in Tokyoでもデモ展示していました。Graph APIはまだリリースされておらず、v5.0に合わせてリリースされるようです。
  • Forecasting with pipeline aggregations 過去データの集計から未来のデータを予測します。今回はTaxiの利用実績から今後の利用状況を予測するというユースケースでデモ展示していました。
  • Event correlation using Python 上記のデータ集計をPythonで行っていました。
  • Analyzing #elasticon tweets

IMG_1025

デモ内容

私達が聞いたのは攻撃の分析に関するデモでした。(Loggingデモと若干被ります)

F/WやIPS/IDSのログから収集したデータをElasticsearch/Kibanaを用いて、どのような分析を行うことができるのか、というユースケースでした。

データはログなので時系列データです。30分単位で攻撃とみなしたアクセスをカウントしています。

IMG_1031

※ 画質悪くてすみません。。

これをTermsアグリゲーションを活用することで、攻撃の種類に色分けして、表示します。

DSC_0183

次に送信元IPアドレスからGeoIPを取得することで、ヒートマップを出力することができ、どの地域からアクセスされているのか絞り込むことができます。

DSC_0185

次に同じように送信先IPアドレスからGeoIPで地域を取得することで、どの地域に攻撃が多くされているかを絞り込むことができます。

IMG_1038

また送信先IPアドレス、送信元IPアドレスでフィルタすることで同じアクセス元から攻撃されていることを分析することができます。

ダッシュボードにまとめるとこのようにいい感じに(適当)表示することができます。これを見ているだけで仕事してる感ありますねw

DSC_0186

まとめ

ELKスタックは本当に強力です。 代表的なユースケースに限らず、本デモやLoggingデモのようなセキュリティ分析に利用することも可能です。