セッションで行われたデモ

セッションではprelertを用いた異常検知２パターンのデモが行われました。

１．ECショップのトランザクション異常検知

　ECサイトの一分毎のトランザクション(購買成立件数)ログデータに対し異常検知を行い、
　購買におけるブラウンアウト(瞬断)を検出するものでした。
　

　
　このデモでは、データの特性(夜の購買が少なく、昼の購買が多い)という
　データのパターンをprelertの学習できちんと認識し、
　起こりうる値からどれだけ離れているかで異常検知ができることが示されていました。
　
　また、トランザクションの異常検知データと、サーバのエラーログの異常検知データとを同時に表示することで
　「DBの異常により、売り上げが異常に低下している」といった原因の分析も可能であることが示されていました。
　
２．Webシステムのセキュリティ異常検知

　次のデモでは、ECサイトのWebサーバのログに異常検知を行い、
　短期間のうちに100回ものPasswordエラーを起こしているユーザを検出するものでした。
　
　検出したユーザに絞り込み、アクセスログの異常検知をおこなうことで、
　不正アクセスしたユーザが、他のユーザがアクセスしない場所にアクセスしていたり、
　大量のデータをWebメールサービスを用いて外部に送付していることが判明しました。

　セキュリティの異常を検出したのちに、そのユーザに絞り込んで異常な行動を検出することで、
　不正アクセスの検知だけでなくその結果どういった行動が行われていたのかまで検知することができることを示したデモでした。

　以下は、発表を聴いての私の感想です。

prelertのすごい点

１.お手軽に異常検知をすることができる
　prelertでは、教師なし学習によりモデルを作成するので、
　GUIで学習対象のデータ、学習対象にかける関数を選択するだけで異常検知をしてくれます。
　どういったものが異常で、どういったものが正常であるのかをユーザがいちいち入力しなくても異常検知を行うことができます。

２．豊富な事前処理関数
　prelertでの機械学習では、事前に実行する関数を選択することで、検知観点を選択することができます。
　例えば、最大値、平均値、普段出てこない文言等、様々な観点での異常検知を行うことができます。

prelertを使ってもまだ困る点

１．原因分析にはデータに対する洞察が必要
　異常検知後の追加の分析では、
　検知した事象から、異常が起きうるであろう部分にアタリを付けて分析する必要があり
　データに対する知識のある人でないと分析が難しいのかなと感じました。

　例えば前述のECサイト異常検知では、
　トランザクションの異常検知から、DBサーバで異常な値が出ているはずだと思いつかない場合には、
　様々なデータに対して、手あたり次第で異常検知を行う必要が出てきそうです。

　この辺りは、異常検知をした後に参照できるようなダッシュボードを自分で用意する必要がありそうです。
　あるいは、Prelertで検知した異常と、他のデータとの相関分析のようなことができれば、問題の検出ができそうだと思いました。
　って言うのは簡単なのですけどね！

そんなprelertですが、現在活発に開発がおこなわれているようです。
現在はβ版であれば触ることができます。

2017年上半期にリリース予定、
2017年3月のElasic{on}サンフランシスコでも大きな発表がなされるようですよ。

これはもうサンフランシスコ、行くしかないですね！ 現地でブログを書きます！！

それでは！

Acroquest Technologyでは、キャリア採用を行っています。

• ビッグデータ（Hadoop/Spark、NoSQL）、データ分析（Elasticsearch、Python関連）、Web開発（SpringCloud/SpringBoot、AngularJS）といった最新のOSSを利用する開発プロジェクトに関わりたい。
• マイクロサービス、DevOpsなどの技術を使ったり、データ分析、機械学習などのスキルを活かしたい。
• 社会貢献性の高いプロジェクトや、顧客の価値を創造するようなプロジェクトで、提案からリリースまで携わりたい。
• 書籍・雑誌等の執筆や、対外的な勉強会の開催・参加を通した技術の発信、社内勉強会での技術情報共有により、エンジニアとして成長したい。

　
少しでも上記に興味を持たれた方は、是非以下のページをご覧ください。

【Elastic search 関連】
Elasticsearchを仕事で使いこみたいデータ分析エンジニア募集中！ - Acroquest Technology株式会社のエンジニア中途・インターンシップ・契約・委託の求人 - Wantedlywww.wantedly.com

【データ分析】
データ分析案件の急増に伴い実践的なデータ分析エンジニアWanted！ - Acroquest Technology株式会社のエンジニア中途・インターンシップ・契約・委託の求人 - Wantedlywww.wantedly.com

新機能1．新たなVisualization「Tag cloud」が追加

データ数やその他のパラメータの大きさを、文字サイズで表現する機能です。
例えば上の画像では、売り上げが多かったお菓子の名前を大きく表示するということができます。
上手く使えばビジュアル的に面白い画面を作ることができそうです。

新機能2．クエリのキャンセル機能がついた

task management APIを通じて、検索クエリをキャンセルすることができるようになりました。
POST _tasks/task_id:1/_cancel のようにtask_idを指定することでクエリをキャンセルします。

他にも、特定の処理をまとめてキャンセルすることも可能です。
例えば下記のクエリのようにすれば2つのノードで走っているreindex処理をキャンセルすることができます。
POST _tasks/_cancel?nodes=nodeId1,nodeId2&actions=*reindex
うっかり処理が重くなるようなクエリ投げてしまった場合でも、この機能があれば安心です(笑)

新機能3．Graphで複数indexを指定できるようになった

以前はGraphでindexを指定する際は、単一のindex名を指定することしかできませんでした。今回のバージョンからは他のvisualizationと同じように、”logstash-*”のような形式で複数のindexを分析対象にすることができます。

新機能4．クエリの実行時間を確認できるProfiler機能

X-Packの機能になるようですが、クエリの実行時間を確認できるProfilerという機能が追加されました。

上の画像のように、どのシャードに対してどれくらいの時間がかかったかということが一目でわかります。
また、queryとaggregationを別々に確認することができるので、どの部分が重い処理なのかを簡単に確認することができます。

Elastic Cloud便利

余談になりますが今回バージョンアップする時に、Elastic Cloudを使っていて、すごい便利だなぁと感じました。
Web上でボタンをワンクリックするだけで、Elastic Stack全体のバージョンアップが完了して使えるようになります。

Windowsのローカルマシンでのバージョンアップも同じくらい楽にできるようになって欲しいものです。

3月のElastic{on}で発表された機能で、実装されていないものも数多くあるので、今後に期待したいところですね^^

以上、@shin0higuchiがElastic Stack 5.1.1の新機能について紹介しました。

Acroquest Technologyでは、キャリア採用を行っています。

• ビッグデータ（Hadoop/Spark、NoSQL）、データ分析（Elasticsearch、Python関連）、Web開発（SpringCloud/SpringBoot、AngularJS）といった最新のOSSを利用する開発プロジェクトに関わりたい。
• マイクロサービス、DevOpsなどの技術を使ったり、データ分析、機械学習などのスキルを活かしたい。
• 社会貢献性の高いプロジェクトや、顧客の価値を創造するようなプロジェクトで、提案からリリースまで携わりたい。
• 書籍・雑誌等の執筆や、対外的な勉強会の開催・参加を通した技術の発信、社内勉強会での技術情報共有により、エンジニアとして成長したい。

　
少しでも上記に興味を持たれた方は、是非以下のページをご覧ください。
www.wantedly.com

Serverspecとは

Serverspecは、サーバの状態をコードにより自動的にテストするためのツールです。
公式サイトはこちらです。
http://serverspec.org/

Ruby製のテストフレームワークRSpecがベースになっていて、抽象化したコードによってサーバの状態を確認するようになっています。

システム構成の概要

今回のテスト対象のシステム構成は、次の図のようになっています。

メンテナンス端末にServerspecをインストールして、メンテナンス端末からテスト対象のサーバにsshで接続できるようになっています。

今回のカスタマイズ方針

サーバの台数は多いのですが、同じ役割のサーバが数十台で構成されるとなっているため、Serverspec標準のテスト方法だと、同じチェック内容を大量に複製する必要があります。
標準のフォルダ構成だと、以下の図のようになります。

「websvr001」と「websvr002」に同じテストを適用していますが、台数が少ない間はファイルのコピーやシンボリックリンクで対応できますが、台数が増えると管理しきれなくなります。

そこで、複数サーバでテストを共有するため、公式サイトにも記述されている「How to share Serverspec tests among hosts」という手法を取りました。

サーバ種別ごとにテスト対象を配置することで、同じサーバ種別で台数が増えても、管理できるようになりました。

ただ、サンプルで記述されている内容だと、以下のような問題があってそのまま適用できませんでした。
1) 対象サーバが固定で記述されている。
→台数が多いので、テスト時間短縮のためあるサーバ種別だけテストしたい、ということができない。
2) サーバ種別（Role）をサーバ名から取得するようになっている。
→サーバ名が命名規則に沿ってつけられているが、サーバ種別が分かりやすい名前になっていない。
→記述ミスがあると実行の無駄になってしまうので、分かりやすい記述にしたかった。

今回対応するカスタマイズ内容

今回の対応（以降、Role対応 と記載します）では、以下のことを行いました。
1) 対象サーバとサーバ種別は、JSON形式の外部ファイルに用意しておく。
2) サーバ種別は、分かりやすい名前にしておく。

具体的なカスタマイズ内容

Role対応するため、Rakefileを次のように修正しました。
Rakefileは、Serverspecが自動生成した、テストを実行する処理が記述されたファイルになります。

まずは実行対象のサーバ情報を取り出すところです。

  targets = []
  Dir.glob('./spec/*').each do |dir|
    next unless File.directory?(dir)
    target = File.basename(dir)
    target = "_#{target}" if target == "default"
    targets << target
  end

  # 環境変数から使用するIPアドレスリストを取得
  rolePath = ENV['SERVERSPEC_ROLE']

  # specフォルダ配下のrole名を取得する
  roles = []
  Dir.glob('./spec/*').each do |dir|
    next unless File.directory?(dir)
    target = File.basename(dir)
    roles << target
  end

  # role別のIPアドレスリストをjsonファイルから読み込む
  all_addrs = []
  targets = []
  roles.each do |role|
    ip_addrs = get_ipaddr(rolePath, role)
    if ip_addrs
      all_addrs.concat(ip_addrs)

      ip_addrs.each do |ip_addr|
        targets << {:role => role, :addr => ip_addr}
      end
    end
  end

  {
    "websvr" : [
      "websvr001",
      "websvr002"
    ],
    "appsvr" : [
      "appsvr001"
    ],
    "dbsvr" : [
      "dbsvr001"
    ]
  }

  targets.each do |target|
    original_target = target == "_default" ? target[1..-1] : target
    desc "Run serverspec tests to #{original_target}"
    RSpec::Core::RakeTask.new(target.to_sym) do |t|
      ENV['TARGET_HOST'] = original_target
      t.pattern = "spec/#{original_target}/*_spec.rb"
    end
  end

  targets.each do |target|
    original_role = target[:role]
    original_target = target[:addr]
    begin
      desc "Run serverspec tests to #{original_target}"
      RSpec::Core::RakeTask.new(original_target.to_sym) do |t|
        ENV['EXEC_TIME'] = Time.now.strftime("%Y%m%d_%H%M%S").to_s
        ENV['SERVER_KIND'] = original_role
        ENV['TARGET_HOST'] = original_target
        t.pattern = "spec/#{original_role}/*_spec.rb"
        t.fail_on_error = false
      end
    rescue => ex
      puts ex.message
    end
  end

  $ export SERVERSPEC_ROLE=addr/websvr.json
  $ rake spec

まとめ

今回、初めてServerspecを利用しましたが、その威力に感動しました。
これまでは、サーバの設定確認といえば目視やdiffを使った差分確認など、人の注意力に頼った作業をやっていました。
それでは設定ミスを見落としたことが、後になって見つかって大変になる、ということをやってきました。

Serverspecを利用すると、設定のOK／NGが分かりやすく出てくるため、NG理由を確認するのも設定ミスなのかテスト内容のミスなのか、切り分けが容易になりました。

それでは！

Acroquest Technologyでは、キャリア採用を行っています。

• ビッグデータ（Hadoop/Spark、NoSQL）、データ分析（Elasticsearch、Python関連）、Web開発（SpringCloud/SpringBoot、AngularJS）といった最新のOSSを利用する開発プロジェクトに関わりたい。
• マイクロサービス、DevOpsなどの技術を使ったり、データ分析、機械学習などのスキルを活かしたい。
• 社会貢献性の高いプロジェクトや、顧客の価値を創造するようなプロジェクトで、提案からリリースまで携わりたい。
• 書籍・雑誌等の執筆や、対外的な勉強会の開催・参加を通した技術の発信、社内勉強会での技術情報共有により、エンジニアとして成長したい。

　
少しでも上記に興味を持たれた方は、是非以下のページをご覧ください。
　
急増するDevOps案件の中でスキルを活かしたいエンジニア募集！ - Acroquest Technology株式会社のインフラエンジニア中途・インターンシップ・契約・委託の求人 - Wantedlywww.wantedly.com