ログの自動分析

IPAが配布しているiLogScannerを使ってApacheのログを分析してみました。
実際の攻撃を想定して自動化したいと思います。
ツール自体の使い方も、自動実行のスクリプトをcronに登録することもできたが問題があります。
Apacheのログは時間ごとに大きくなりますし、自動実行でその都度丸ごとログを読み込んだのでは、前に検出した異常も再度検出されて報告されてしまいます。
無駄は省きたいと思います。
そこで、仮に1時間ごとに分析を行うとして(この時間間隔が適切かどうかはさておき)
1時間ごとのログを抽出して、これを読みに行くようにします。
異常がある場合はメールで内容を知らせます>

そこで、1時間ごと(処理を実行した現在時間から1時間前)のログを抽出するスクリプトを作成します。
前に、時間別のアクセス集計用に作成したスクリプトを応用してみました。
シェルスクリプトを示します。
1hour agoのところを変えれば、何時間でも、何分でも自分の環境に合わせた運用が可能です。
ただし、分析用自動実行のスクリプトのcronもそれに合わせて変更しないといけません。
当然ですが・・・。

#!/bin/bash
LANG=C
TMPTIME=`date --date "1hour ago" "+%d/%b/%Y:%H:%M:%S"`
grep -F " "   /var/log/apache2/access.log | awk '{print $0}' | 
awk --assign awk_time1="$TMPTIME" 'substr($4,2,21)>awk_time1' | 
awk '{print $0}' > /var/share/LastHour.log

ログを保存するパス名やファイル名は各自で変更してください。
iLogScanner解析結果レポートは、長々と説明が続きますので、異常があった場合のメール送信には最後の20行程度を本文とすれば十分です。
(もちろん、検出される異常が多い場合はこの限りではありません。実際の運用状況に合わせてください。)

学校安全点検システムの更新(第4～6回)

学校安全点検システムの第4回から6回(最終回)までを公開しました。
4回

5回

6回

 

上記のリンク先サイトは閉鎖しました。

同様の記事内容は以下に移行しました。

Have－Stone

 

 

 

15インチ液晶モニター購入しました

大型が主流の昨今、15インチを見つけるのは大変です。思いがけず良いものが安価に購入できましたので、モニター台に費用をかけました。デスクトップ型や一体型のキーボードを下に収納し机の上を有効利用できるような製品です。
ただ、画面表示不能のノートパソコンを下に置くので画面をかなり倒してもキーボードは奥のほうに位置します。いざというときは引っ張り出すとして、普段は

1.リモート接続(VNC)

2.ローカルのときは、onboardを利用(画面例を示しておきます)
　マウスだけでキー入力ができます。

でなんとかなります。

入力時に自動的に表示させるなど、いろいろ設定が可能です

周辺機器について

かつてオーディオに凝った時期、接続ケーブルやら何やらこんなものがあったら便利なのに、
と思ったものは調べてみると大抵の場合揃っている。やはり皆考えることは同じなのだと納得する。

PCでも同じだが、今回意識もしなかった内蔵ドライブの接続規格SATA、先に投稿の通りコピー機能のある機器はコピーにPCは不要だが、PCにUSB接続すると立派な外付けHDDとして機能する。ただし、むき出しのドライブは見た目もどうかと思ってしまう。調べると、それ用の収納ケースがあるではないか。

おそらくクーラーファンの不良であると思われるPCは引退覚悟である。ノートパソコンのため汎用性のある部品ではないと思われるので、原因が特定できても交換は個人的には無理であろう。とすると、内蔵ディスクが浮いてしまう。収納ケースに収め立派な外付けHDDとして余生を過ごしてもらおう。

サーバー機交代

一難去ってまた一難、世の常なのか、ただ単に小生に運がないのか・・・。

HDD丸ごとコピーができるようになり、予備機の待機またはディスク交換で万一サーバーがダウンしても復旧はかなり楽になった。と思ったら、本稼働機から異音が・・・。

どうやら、クーラーのファンが正常に動いていないようだ。裏蓋を外して確認するのは暇なときに落ち着いてやろうと思う。代打の登場であるが、誰にするのか。中古で購入したがUbuntuがインストールできずに何となくういていたWin10のvaioを投入。内蔵ディスクを新規に購入し、本稼働機のHDD丸ごとコピーしてセットすると問題なく起動。ルーターのMACアドレスを変更して交代完了。

さて、テスト環境は必要なので画面が見えないが、コピーしたHDDを入れて起動、LAN環境のIPを検索してみるが認識できない。画面が見えないので何が起きているかわからない。ダメもとで試しにテレビ接続してみる。サーバーにdesktopを入れておいたことが幸いしたのだろうか。綺麗に見えるではないか、さっそくネットワーク環境を調査。

NICが認識されていない。過去の経験はこういう時に生かされる。こういう場合まずドライバーを疑うが、経験から言うとほぼ関係ない。なぜなら、インストールの過程でドライバーなど意識したことがあるだろうか。否、そんななことはすべてお任せで来ているはずである。

/etc/netplan/50-cloud-init.yaml

を確認してみと、NICのLogicalNameが違っていた。マシンが違うので当たり前かもしれないが、たまたまもう一台の中古vaioはNICのLogicalNameが一致していたのである。それだけの事、LogicalNameを変更し

$ sudo netplan apply

で解決。

それにしても、ティスプレイがないので不便極まりない。中古で探しているが最近は大型(21型以上)ばかりで
昔の15インチ程度でよいのだがなかなか見つかりません。

LinuxServer機のHDDもコピーしました

だいぶ前のことになりますが、Linuxのバックアップについて投稿しました。tarによるディレクトリのバックアップはスケジュールを組んで外付けHDDに保存はしていますが、いざというときそれをどのように利用するか未だ納得のいく答えは得られていません。

ddコマンドによる丸ごとコピーと書き戻しは実際に試して成功しているので確実に行う自信はありますが、とにかく時間がかかるのが欠点です。

前回投稿の通り、ディスクコピー機能の製品を購入したので、LinuxServer機のHDDでも試してみました。
500GBHDD→500GBHDDで約120分かかりましたが、問題なくコピーができました。

予備も含め2台のHDDにバックアップしたので、どのように運用するかこれから考えてみたい。

SSDに換装

Win10にアブグレードしたマシンは快適に動いています。
先に投稿の通り、そのままではどこかに不良セクターがあるのか途中で止まってしまうので、購入状態に初期化してからアップグレードした。従って快適に動作しているのだろう。

しかし、HDDの経年劣化は避けられない。一応アップグレード直後各種設定をしたところでフルバックアップをしたので万一の場合でも安心なのだが、この際SSDに交換してみようと思った。今回はソフトウェアではなく専門の機器を利用してみた。サンワサプライのUSB-CVIDE4というものを使いました。

操作は簡単。コピー元のHDDとコピー先のSSDを接続して電源を入れる。2台とも認識されたのを確認(赤色点灯)しコピーボタンを押す。それだけでコピーが始まる。緑色LEDが25%ごとに1つずつ点滅し、4つ点灯すると終了。
コピー操作にPCは必要ありません。

70分ほどで完了(HDD320GB→SSD500GB)し、パソコンにセットして電源を入れると問題なく動作しました。
70分が速いのか遅いのか比較するデータがないので何とも言えませんが、何度も頻繁に行うことではないのでコピー成功でよしとします。