🐡

Cloudflare Logpush。Axiom との連携が加速していた。その２。

2024/01/21に公開

はじめに、今回のゴール

前回の Axiom ついでに Cloudlare Zero Trust 関連のログの状況を一発で把握できるダッシュボードを作ります。また、しきい値超えの通知もできるようにします。
下記のようなダッシュボードができ、しきい値を超えたものについては通知が来ます。

Logpush と Axiom

あらためて、Cloudflare Logpush 可視化の検証に Axiom をつかうメリットは下記のとおりです。

早くて楽
Cloudflare 側で Logpush の設定をしなくていい（Axiom がやってくれる）
そのかわり Cloudflare Log 設定の Write 権を Axiom に差し出す（諸刃の剣‥）
安い
Axiom は常時使える無料枠がある

前提条件

Logpush とのインテグレーションは終わってるものとします。

Axiom の練習は以下から行えます。

実際のダッシュボードを使った Playground
クエリーにつかう言語 Axiom Processing Language (APL) の動きを試せるエディター

今回対象とする Logpush データセット

Web アプリケーション関連は Axiom で用意されているダッシュボードがありますので、Zero Trust 関連を自作します。具体的には下記のデータセットが対象になります。

リソースアクセスコントロール

ゲートウェイセキュリティ

ネットワークセキュリティ

ダッシュボード作成

ダッシュボードはいろんなところから作れそうです。
ここでは Exploer から作ります。

Exploer を開き、Datasets 枠の中にある cloudflare-logpush をクリック
フィルターのかかってない素のデータが count 表示されます

クエリーを貼り付け、Run query

‐ クエリー内容や Chart options を調整
たとえばチャートを線 Line から棒 Bars に変える

調整後、再度 Run query をして OKであれば Add to dashboard
Add to new dashboard を選択
すでに作っていれば、そちらを選ぶことで、追加ができます。
この時点でも調整が可能です
チャートの TITLE を上書きしています。よければ Validate & Save
ダッシュボードが作成され、チャートが表示されます
よければ下の方の Save
Private のダッシュボードに追加されました
ダッシュボードの名前をデフォルトから変更します Edit Dashboard

以上でダッシュボードが作成できました。
あとは同じ要領でチャートを追加していけばいいだけです。

モニターと通知

大体どのチャートからでも右クリック Create Monitor でモニターを作成できます。

しきい値とモニター間隔を設定し、通知先を追加します。

実際のカウント具合を見ながら、しきい値を決めることができます

通知先は Create a notifer から定義できます
フリー版では選べる宛先が制限されているようで Discord Webhook を選んでみます
認証が通るとオレンジで宛先がでてきます。
しきい値条件が発生すると、TRIGGERD と赤くなりました。
無事に通知がされて気づくことができます。

その他 Tips

Logpush

Axiom が Logpush の設定までやってくれるのは素敵なんですが、デフォルトで項目が決まっているので、取りたいフィールドが有効かどうかは Logpush 側で確認します（全部チェック入れる、など）。

たとえば Gateway Network をみると一部フィールドがチェックないので、全部にしてみます。