Sumo LogicでApacheログを可視化してみた

コンニチハ、千葉です。

Sumo LogicはSIEM（Security Information and Event Management) というカテゴリのサービスで、ログを収集して可視化やアラートを設定できます。Sumo LogicはAWSとの連携がとてもシームレスです。最初からAWS向けのダッシュボードが多数用意されています。

ELB、CloudFrontなど色々なサービスのダッシュボードが用意されています。また、CIS AWS Foundations Benchmarkというセキュリティのベンチマークまで用意されています。素敵です。その他にも、Linux、Apache、Tomcat、Nginxなど主要なプロダクトのダッシュボードも用意されています。 その中から今回、ApacheのログをSumo Logicに取り込んで可視化してみました。

やってみた

今回は、EC2上にApacheをインストールして、そこからログを送って見ます。事前にApache環境を用意しておきます。

Setup Wizardより、収集するデータの設定を行います。

Stream Dataを選択します。

Apacheを選択します。

OSの種類を選択すると、コマンドが表示されるので収集対象のサーバー上でコマンドを実行しましょう。エージェントと接続ができると、次の画面に進みます。

ソースのカテゴリ名、Apacheのログ出力先、タイムゾーンを選択します。

設定は以上です。簡単でした。

可視化してみた

フォルダマークから、カテゴリApacheを指定します。

様々なビューが用意されているので、選択します。

ステータスコード、クライアントのロケーション、アクセスが多いURL、リファラー、ユーザーエージェントなどなど、可視化が簡単にできました！

次に、Live TailでアクセスログをTailしてみます。

アクセスしてみるとログがTailされてました。クエリを色々書けるのですが、今回はカテゴリのみを指定しています。

最後に

Apacheログの可視化から、Tailまでやってみました。セットアップも非常に簡単で、ダッシュボードも事前に用意されているので、導入のハードルもとても低いです。 ほかのログも簡単に可視化できそうなので、色々試して見たいと思います。それではまた！！