Visualize illegal ssh access attempts and access source

/var/log/secureをBigQueryに送り始め、sshdへのアクセスがあるIPアドレスを多い順に集計してみたりしています。 Send secure log to BigQuery Visualization of IP address accessing sshd 今回は日毎にssh接続の試行失敗回数を集計して、それに対するIPアドレスの内訳も出してみます。 こんなクエリを作成してみます。 SELECT LEFT(FORMAT_UTC_USEC(UTC_USEC_TO_ »

Visualize CloudTrail with Traildash and Arukas

このブログが動いているサーバはDigitalOceanですが、terraformのbackendにS3やDynamoDBを使うなど、AWSのサービスも使っています。 必然的にIAMユーザを作成しアクセスキーを発行することになるので、CloudTrailでユーザの活動やAPIの使用状況を保存しています。 AWS CloudTrail (AWS API の呼び出し記録とログファイル送信) | AWS しかし、正直活用できていないです…。というのも、CloudTrailで保存されるログはjsonで、CloudTrail自身に特に可視化機能も同梱されていないのです。なのでログを取ってはみているものの見ることがないという…(良くない)。 そこで、何かいい感じの可視化ツールが無いか探してみたところ、Traildashというツールがありました。 GitHub - AppliedTrust/traildash: AWS »

Re:dash no longer supports Heroku

Re:dashをHeroku上にデプロイして利用しています。 redash - ゆるふわキャンパー Re:dashのバージョンはv0.12で、いい加減古い(最新はv1.0.3)のでアップデートしようとしたのですが…リポジトリにProcfileが無い! 調べてみると、Herokuのサポートは公式ではしなくなるとのこと…。(´;ω;`) Remove Procfile.heroku - it's no longer »

Visualization of IP address accessing sshd

/var/log/secureをBigQueryに送り始めました。 Send secure log to BigQuery 1日あたり十数MB分ほどのペースで溜まってきているようです。 これを使って何かしたいなということで、とりあえずsshdへアクセスしてきているIPアドレスを可視化してみます。 sshdへのアクセスのログはFailed keyboard-interactive/pam for root from <IPアドレス> port 46472 ssh2のような感じでメッセージ内にアクセス元のIPアドレスが記録されているので、これを使います。 以下のクエリを使います。 REGEXP_ »

Mackerel Meetup #10 Tokyo #mackerelio

行ってきた! Mackerel Meetup #10 Tokyo #mackerelio - connpass Microsoft Azure Integration と Windowsサポートの強化について いつも通りmackerelの紹介から。機能が増えてきたので紹介内容も多くなってきた! Microsoft Azure Integration と Windowsサポートの強化について。 azureの利用が拡大しているらしい 今後すぐazureインテグレーション追加される azure monitor apiカラメトリックを取得している windowsサポートの強化 »

Customize Slack notifications template for new Disqus comments

Zapierを使って、Disqusにコメントが来たらSlackに通知するようにしています。 Notify Slack when commented on DISQUS 上記の記事で以下のようにぼやいていましたが、 でもどの記事に対してコメントされたかはわからない! そのへんも色々いじれるならそのうちやってみようと思います。(`・ω・´)ゞ 普通に設定できましたあああ!!しかもけっこう詳細にカスタマイズできた(´;ω;`) 以下のようにして設定できます。 ↓のような内容にしました。URLを展開(画像とか)する設定があったのでOFFにしました。 @コメント者 コメント内容 コメントのURL コメントされた日付 テストしてみます。 »

Send secure log to BigQuery

/var/log/secureをBigQueryに送ってRe:dashで攻撃っぽいアクセスなどを可視化してみたかったので送ってみました。 準備 /var/log/secureをtd-agentでも読めるようにパーミッションを下げる /var/log/secureがローテートされてもパーミッションが戻らないようにlogrotateの設定を変更する td-agentの設定 td-agentの設定を追加します。 <filter syslog.secure>部分でログの送信元のサーバのホスト名をレコードに追加している # syslog (secure log) <source> @type »