前回までのあらすじ

偶然にも、愛用のSO-02GことXperia Z3 compactのシャッターボタンが壊れてしまった俺たちは、このままではいけないとドコモショップに向かったのだった。

ドコモショップへ来店

近所のドコモショップに行って白ロムというかMVNOなので自費修理になると思うけど、MVNOは修理出すならその間の代替機は自分で用意しないといけないし、修理出すか決断するために、修理費見積もりたい、と正直に伝えたところ、メーカー保証の範囲内なので、無償で治せますよー、とのことだった。僥倖っ・・・・！

機体に傷はついてないし、組み立ての時にちょっとずれやすくなったのかもねー、とのことだった。ありがたし！

ただ問題はMVNOなので、修理中の代替機は自分で用意しないといけないのと、メーカー修理だすとソフトリセットかけられちゃうところ。で、戻ってきたらまた設定しなおしか、と思うとちょっと腰が引けてしまう。

代替機だったら、もうちょっとおもちゃみたいなやつでいいよなーとは思うけど、なんかいいのあるのかな

とりあえずもうちょっと壊れてから修理に出すことにした。（外身に傷つけると無償修理ではなくなってしまうので大事に使おう）

まとめ

物理的な故障であっても無償で修理してもらえるかもしれないので、保証期間内であればダメ元でも聞きにいってみたほうがよいね。信じるか信じないかはあなた次第。。。。

fluent-plugin-geoipをインストールする

まずは、IPアドレスを座標に変換しなくてはならないので、fluent-plugin-geoipを導入

# /opt/td-agent/usr/sbin/td-agent-gem install fluent-plugin-geoip

以上。

最初間違って、td-agent-gem install geoipとしてしまったら、別のものが入ってしまったのだけれど、あれは何者だったのだろう。

なお、gccがインストールされていないと、

# /opt/td-agent/usr/sbin/td-agent-gem install fluent-plugin-geoip
WARN: Unresolved specs during Gem::Specification.reset:
      json (>= 1.4.3)
WARN: Clearing out unresolved specs.
Please report a bug if this causes problems.
Fetching: fluent-mixin-rewrite-tag-name-0.1.0.gem (100%)
Successfully installed fluent-mixin-rewrite-tag-name-0.1.0
Fetching: geoip-c-0.9.1.gem (100%)
Building native extensions.  This could take a while...
ERROR:  Error installing fluent-plugin-geoip:
        ERROR: Failed to build gem native extension.

    /opt/td-agent/embedded/bin/ruby extconf.rb
checking for iconv_open() in iconv.h... *** extconf.rb failed ***
Could not create Makefile due to some reason, probably lack of necessary
libraries and/or headers.  Check the mkmf.log file for more details.  You may
need configuration options.

Provided configuration options:
        --with-opt-dir
        --with-opt-include
        --without-opt-include=${opt-dir}/include
        --with-opt-lib
        --without-opt-lib=${opt-dir}/lib
        --with-make-prog
        --without-make-prog
        --srcdir=.
        --curdir
        --ruby=/opt/td-agent/embedded/bin/ruby
        --with-geoip-dir
        --without-geoip-dir
        --with-geoip-include
        --without-geoip-include=${geoip-dir}/include
        --with-geoip-lib
        --without-geoip-lib=${geoip-dir}/lib
/opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:467:in `try_do': The compiler failed to generate an executable file. (RuntimeError)
You have to install development tools first.
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:552:in `try_link0'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:567:in `try_link'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:753:in `try_func'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:1038:in `block in have_func'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:929:in `block in checking_for'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:351:in `block (2 levels) in postpone'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:321:in `open'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:351:in `block in postpone'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:321:in `open'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:347:in `postpone'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:928:in `checking_for'
        from /opt/td-agent/embedded/lib/ruby/2.1.0/mkmf.rb:1037:in `have_func'
        from extconf.rb:8:in `<main>'

extconf failed, exit code 1

Gem files will remain installed in /opt/td-agent/embedded/lib/ruby/gems/2.1.0/gems/geoip-c-0.9.1 for inspection.
Results logged to /opt/td-agent/embedded/lib/ruby/gems/2.1.0/extensions/x86_64-linux/2.1.0/geoip-c-0.9.1/gem_make.out

な感じのエラーが出て、ハマった。

sudo yum install gcc

で、さっくり解決。

fluentdの設定をする

これで、IPアドレスからアクセス元を検知できるようになったので、fluentdの設定をした
今回は、/var/log/secureに書かれるフォーマットが若干違うログを一括で処理したかったので、それを実現できるように以下の正規表現を書いた。

(?<time>[^0-9]+ [^ ]+ [^ ]+) (?<hostname>[^ ]+) sshd\[.+\]: (?<reason>Failed password for|Accepted password for|Invalid user) (?<user>[^ ]+) from (?<ip_address>[^ ]+).*

これで、

Nov  3 06:05:16 hostname sshd[12893]: Failed password for userA from xxx.xxx.xxx.xxx port 34436 ssh2
Nov  3 12:45:29 hostname sshd[15166]: Accepted password for userB from xxx.xxx.xxx.xxx port 54758 ssh2
Nov  3 12:28:16 hostname sshd[15065]: Invalid user userC from xxx.xxx.xxx.xxx

のログ三種の、タイムスタンプ、ホスト名、成否、ユーザ名、IPアドレスを取得することができる（はず）。

ごり押し感ぱないので、もっとスマートなやり方ご存じの方は教えてください！

まとめると、td-agent.confに以下の設定をいれた。

<source>
  type tail
  path /var/log/secure
  pos_file /var/log/td-agent/secure.log.pos
  tag geo.ssh.access
  format /^(?<time>[^0-9]+ [^ ]+ [^ ]+) (?<hostname>[^ ]+) sshd\[.+\]: (?<reason>Failed password for|Accepted password for|Invalid user) (?<user>[^ ]+) from (?<ip_address>[^ ]+).*$/
</source>

<match geo.ssh.access>
  type geoip
  geoip_lookup_key ip_address
  <record>
    country ${country_code['ip_address']}
    location ${latitude['ip_address']},${longitude['ip_address']}
  </record>
  remove_tag_prefix geo.
  add_tag_prefix es.

</match>

<match es.ssh.access>
  type elasticsearch
  logstash_format true
  type_name ssh-access
  include_tag_key true
  tag_key @log_name
  flush_interval 20s
</match>

たぶんkibana3のときは、国コードで地図に色を塗れたようなんだけど、kibana4では座標が必要なようなので、

location ${latitude['ip_address']},${longitude['ip_address']}

と、fluent-plugin-geoipの機能で、IPアドレスをもとにした座標をログに追加している。

Elasticsearchにデータ型の設定を追加する

kibana4で、地図上にマッピングするためには、fluentdに追加したデータを地図上の座標情報ですよ、と教えてあげる必要があるらしい。
そのため、Elasticsearchのインデックスに、型のマッピング用の設定情報を追加する必要がある。

ただし、fluentd経由で、elasticsearchに情報を投入していく場合（logstash_format trueにしている場合）には、インデックスが日々変わっていき、デフォルト設定では、logstash-(日付)というインデックスに書き込まれていく。

そのため、インデックス自体に型のマッピング情報を登録しようとすると、毎日その情報を登録しなくてはいけない。超めんどくさい。

そういう場合には、テンプレートに登録するやり方がある。登録方法は簡単で、以下な感じでHTTP経由で設定情報を放り込んでやればＯＫ

# curl -X PUT http://localhost:9200/_template/ssh-access-template -d'{
  "template": "logstash-*",
  "mappings": {
    "ssh-access": {
      "properties": {
        "location": {
          "type": "geo_point"
        }
      }
    }
  }
}'

これで、インデックス名が、「logstash-*」なものの、type_nameが「ssh-access」なものの「location」の型を「geo_point」型にできる。

ただし、適用されるのはインデックスが作成されるときなので、もうすでに今日の分のインデックスがある場合には、次の日まで待つか削除する必要がある。

• before

# curl -X GET http://localhost:9200/logstash-2015.11.03/_mapping/?pretty
{
  "logstash-2015.11.03" : {
    "mappings" : {
      "ssh-access" : {
        "properties" : {
          "@log_name" : {
            "type" : "string"
          },
          "@timestamp" : {
            "type" : "date",
            "format" : "dateOptionalTime"
          },
          "country" : {
            "type" : "string"
          },
          "hostname" : {
            "type" : "string"
          },
          "ip_address" : {
            "type" : "string"
          },
          "location" : {
            "type" : "string"
          },
          "reason" : {
            "type" : "string"
          },
          "user" : {
            "type" : "string"
          }
        }
      }
    }
  }
}

• after

# curl -X GET http://localhost:9200/logstash-2015.11.03/_mapping/?pretty
{
  "logstash-2015.11.03" : {
    "mappings" : {
      "ssh-access" : {
        "properties" : {
          "@log_name" : {
            "type" : "string"
          },
          "@timestamp" : {
            "type" : "date",
            "format" : "dateOptionalTime"
          },
          "country" : {
            "type" : "string"
          },
          "hostname" : {
            "type" : "string"
          },
          "ip_address" : {
            "type" : "string"
          },
          "location" : {
            "type" : "geo_point"
          },
          "reason" : {
            "type" : "string"
          },
          "user" : {
            "type" : "string"
          }
        }
      }
    }
  }
}

と、locationの型がstringからgeo_pointに変わっていることが確認できた。

kibanaで可視化する

ここまでできて設定データが投入されれば、あとはkibanaでVisualize→Tile Mapを選ぶだけ

Geo CoordinatesのField欄に、geo_pointにしたデータ名が表示されているはず。

表示されず、型がgeo_pointなデータが存在しないよ！と怒られている場合は、kibanaが持っている型データが古くなっているので、「Setting」→「Indices」→使っているインデックスと進み、黄色い更新ボタン「Reload field list」をクリックすれば、型情報が更新され、型がgeo_pointなデータがとれるようになるはず。

感想

3種類のログに対応した正規表現を作るのが大変だった。それさえできてしまえばあとは流れでお願いできたので簡単だった。

もっと取得するログの種類を増やして面白そうな可視化を試してみたい。

サーバ/インフラエンジニア養成読本 ログ収集~可視化編 [現場主導のデータ分析環境を構築!] (Software Design plus)

• 作者: 鈴木健太,吉田健太郎,大谷純,道井俊介
• 出版社/メーカー: 技術評論社
• 発売日: 2014/08/08
• メディア: 大型本
• この商品を含むブログ (1件) を見る

材料

• 牛肉ブロック
• ニンニク味噌床

作り方

1. 牛肉を冷蔵庫から取り出し、30分ぐらい放置して、室温になじませておく
2. 牛肉がつかるぐらいのお湯を沸かし、お酒を入れて、牛肉を5分ぐらいゆでる
3. 牛肉をお湯から取り出し、粗熱をとり、水気を拭いたらニンニク味噌床につける
4. 10時間ぐらい漬ける

10時間後に取り出して、周りについてる味噌を拭いた牛肉のかたまりがこれだ！

5. 薄く切って、皿に並べ、白髪ねぎを乗せる
6. お好みでオリーブオイルを回しかけ、ネギを巻いて食べる

感想

牛は薄切り肉しか扱ったことなかったから、ブロックを手にしたときは、本当にこれを食べていいんだろうか、って思ったけれど、かなりうまかった。ただ、10時間漬けた割には味噌の風味が薄かったので、もうちょっとつけてもよかったかも（味噌床によると思う）。

なかなかよくできたので、また牛肉が手に入ったらやりたい。