(レポート) Elastic{ON} 2016: Elasticデモブース “Analytics” #elasticon
藤本@サンフランシスコです。
Elastic{ON} 2日目、Elasticさんに通訳をご協力いただき、デモブースを回りました。藤松さん、ありがとうございました!
ブース概要
データ分析に関するデモをレポートします。 こちらのデモブースは大変人気で途切れることなく次から次へと人が集まっていました。
- Graph API Elastic{ON} Tour in Tokyoでもデモ展示していました。Graph APIはまだリリースされておらず、v5.0に合わせてリリースされるようです。
- Forecasting with pipeline aggregations 過去データの集計から未来のデータを予測します。今回はTaxiの利用実績から今後の利用状況を予測するというユースケースでデモ展示していました。
- Event correlation using Python 上記のデータ集計をPythonで行っていました。
- Analyzing #elasticon tweets
デモ内容
私達が聞いたのは攻撃の分析に関するデモでした。(Loggingデモと若干被ります)
F/WやIPS/IDSのログから収集したデータをElasticsearch/Kibanaを用いて、どのような分析を行うことができるのか、というユースケースでした。
データはログなので時系列データです。30分単位で攻撃とみなしたアクセスをカウントしています。
※ 画質悪くてすみません。。
これをTermsアグリゲーションを活用することで、攻撃の種類に色分けして、表示します。
次に送信元IPアドレスからGeoIPを取得することで、ヒートマップを出力することができ、どの地域からアクセスされているのか絞り込むことができます。
次に同じように送信先IPアドレスからGeoIPで地域を取得することで、どの地域に攻撃が多くされているかを絞り込むことができます。
また送信先IPアドレス、送信元IPアドレスでフィルタすることで同じアクセス元から攻撃されていることを分析することができます。
ダッシュボードにまとめるとこのようにいい感じに(適当)表示することができます。これを見ているだけで仕事してる感ありますねw
まとめ
ELKスタックは本当に強力です。 代表的なユースケースに限らず、本デモやLoggingデモのようなセキュリティ分析に利用することも可能です。
![[Rust] Testcontainerで使い捨てコンテナを使ったテスト](https://devio2024-media.developers.io/image/upload/v1730794521/user-gen-eyecatch/gpk2ss0unhaclkowtemo.png)
