ハニーポット cowrie に囚われてみた
kawa.xxx
kawalog
Stackdriver Logging に Wowhoneypot のログを吐き出す
kawa.xxx
記事内に商品プロモーションを含む場合があります
前の記事では、サーバーのディスクが溢れない様にログをローテートするところまで作業しました。今回はハニーポットのマシンの外にログを保管する部分をやっていきます。
ハニーポットのログを集めたい
個人の趣味の時間でやっているので、syslog サーバのメンテナンスなんてしたくて、最もやりたいログの分析の部分にフォーカスしたいんですよね。そこで、Google Cloud Platform にロックインされますが、GCP上のサービスを使ってお金で手間を解決したいと思います。
お金でと言っても殆ど、無料枠に収まってしまいほぼ無料ですけどね。。
StackDriver Loggingにログを出す
これはStackDriver のエージェントが Google から提供されているので、ドキュメントを見て以下のコマンドを叩くだけです。
curl -sSO "https://dl.google.com/cloudagents/install-logging-agent.sh" sudo bash install-logging-agent.sh
エージェントと言っても独自のものではなくて fluentd のカスタマイズ版のようですね。
完了したらStackdriver のエージェントにwowhoneypot のログを拾わせる様に設定しましょう。こちらも設定方法のドキュメントがあるのでそれを見ながらやりました。
/etc/google-fluentd/conf.d/wowhoneypot.conf
<source> @type tail format none path /home/wow/wowhoneypot/log/access_log pos_file /var/lib/google-fluentd/pos/wowhoney-access_log read_from_head true tag wowhoneypot </source>
上記の設定ファイルを作ったらエージェントを再起動します。
sudo service google-fluentd restart
これで、Wowhoneypot のログが StackDriver Logging へ転送されるようになりました。GCPの画面で見るとこんな感じですね。
エージェントの設定ファルを作成したフォルダにはデフォルトで syslog など他のサービスのログを転送する設定も多数入っています。もし、ログ量を心配するならば、これらを削除なり拡張子の変更をしておくと良いかもしれません。
ABOUT ME
都内のIT系企業に勤める会社員。自分の備忘録的なアウトプット用の場所で、ボルダリングやガシェッド、セキュリティ、カメラの話題が中心です。