Cloudflare Logpush。Axiom との連携が加速していた。その2。
はじめに、今回のゴール
前回の Axiom ついでに Cloudlare Zero Trust 関連のログの状況を一発で把握できるダッシュボードを作ります。また、しきい値超えの通知もできるようにします。
下記のようなダッシュボードができ、しきい値を超えたものについては通知が来ます。
Logpush と Axiom
あらためて、Cloudflare Logpush 可視化の検証に Axiom をつかうメリットは下記のとおりです。
- 早くて楽
Cloudflare 側で Logpush の設定をしなくていい(Axiom がやってくれる)
そのかわり Cloudflare Log 設定の Write 権を Axiom に差し出す(諸刃の剣‥) - 安い
Axiom は常時使える無料枠がある
前提条件
Logpush とのインテグレーションは終わってるものとします。
Axiom の練習は以下から行えます。
- 実際のダッシュボードを使った Playground
- クエリーにつかう言語 Axiom Processing Language (APL) の動きを試せるエディター
今回対象とする Logpush データセット
Web アプリケーション関連は Axiom で用意されているダッシュボードがありますので、Zero Trust 関連を自作します。具体的には下記のデータセットが対象になります。
リソースアクセスコントロール
ゲートウェイセキュリティ
ネットワークセキュリティ
ダッシュボード作成
ダッシュボードはいろんなところから作れそうです。
ここでは Exploer から作ります。
-
Exploer を開き、
Datasets枠の中にあるcloudflare-logpushをクリック
-
フィルターのかかってない素のデータが count 表示されます
- クエリーを貼り付け、
Run query
‐ クエリー内容や Chart options を調整
たとえばチャートを線 Line から棒 Bars に変える
-
調整後、再度
Run queryをして OKであればAdd to dashboard
-
Add to new dashboardを選択
すでに作っていれば、そちらを選ぶことで、追加ができます。
-
この時点でも調整が可能です
チャートのTITLEを上書きしています。よければValidate & Save
-
ダッシュボードが作成され、チャートが表示されます
よければ下の方のSave
-
Private のダッシュボードに追加されました
-
ダッシュボードの名前をデフォルトから変更します
Edit Dashboard
以上でダッシュボードが作成できました。
あとは同じ要領でチャートを追加していけばいいだけです。
モニターと通知
大体どのチャートからでも右クリック Create Monitor でモニターを作成できます。
しきい値とモニター間隔を設定し、通知先を追加します。
- 実際のカウント具合を見ながら、しきい値を決めることができます
-
通知先は
Create a notiferから定義できます
-
フリー版では選べる宛先が制限されているようで
Discord Webhookを選んでみます
-
認証が通るとオレンジで宛先がでてきます。
-
しきい値条件が発生すると、
TRIGGERDと赤くなりました。
-
無事に通知がされて気づくことができます。
その他 Tips
Logpush
Axiom が Logpush の設定までやってくれるのは素敵なんですが、デフォルトで項目が決まっているので、取りたいフィールドが有効かどうかは Logpush 側で確認します(全部チェック入れる、など)。
たとえば Gateway Network をみると一部フィールドがチェックないので、全部にしてみます。
名前が空欄のものは、ダッシュボードで変更できません。
必要に応じ、Cloudflare API 上書きします。
テストの中では casb_findings と magic_ids_detections がでてきませんでした。
Axiom
表示をチャートからテーブルの方に変えることもできます(あるいは両方表示)。
以上です。
だいぶ楽に目的を達成することができました。
Axiom には他にも色々便利機能があるようで、誰かがいい感じのチャートを作っていただけることを期待します。
クエリーサンプル
Discussion