log

A collection of 3 posts
rsyslogd was HUPed
linux

rsyslogd was HUPed

/var/log/secureをGoogle BigQueryへ送っています。 * Send secure log to BigQuery 最近/var/log/secureがGoogle BigQueryに送られていないことに気づき(Redashのグラフを見ていて気づいた)、なんでだろうと思ったら/var/log/messagesにこんなログが複数あった。 Oct 14 18:07:01 lorentzca rsyslogd: [origin software="rsyslogd" swVersion="7.4.7" x-pid="451" x-info="http://www.rsyslog.com"] rsyslogd was HUPed logrorateがHUPを送っているだけ?今回の件に関係があるのか不明…。 Google BigQueryのテーブルを見ると9月22日を最期に止まっていたようだった。 おそらくGhost1.0にアップデートするついでにサーバも作り直したタイミング。 なぜrsyslogが止まったのか、
1 min read
Visualize illegal ssh access attempts and access source
sshd

Visualize illegal ssh access attempts and access source

/var/log/secureをBigQueryに送り始め、sshdへのアクセスがあるIPアドレスを多い順に集計してみたりしています。 * Send secure log to BigQuery * Visualization of IP address accessing sshd 今回は日毎にssh接続の試行失敗回数を集計して、それに対するIPアドレスの内訳も出してみます。 こんなクエリを作成してみます。 SELECT LEFT(FORMAT_UTC_USEC(UTC_USEC_TO_DAY(time * 1000000)), 10) AS day, COUNT(ident) AS count_ident, REGEXP_EXTRACT(message, r'(\d{1,3}\.\d{1,3}\.\d{1,3}
1 min read
Send secure log to BigQuery
td-agent

Send secure log to BigQuery

/var/log/secureをBigQueryに送ってRe:dashで攻撃っぽいアクセスなどを可視化してみたかったので送ってみました。 準備 * /var/log/secureをtd-agentでも読めるようにパーミッションを下げる * /var/log/secureがローテートされてもパーミッションが戻らないようにlogrotateの設定を変更する td-agentの設定 td-agentの設定を追加します。 * 部分でログの送信元のサーバのホスト名をレコードに追加している # syslog (secure log) @type tail format syslog path /var/log/secure tag syslog.secure pos_file /var/log/td-agent/syslog.secure.pos @type record_transformer
2 min read