TWLogEyeのはじまり

2025年の元旦です。助手の猫さんが３時頃起こしにきました。かみさんと、私で説得して、かみさんの布団で寝てもらいました。私が起きたのは５時半でした。

去年から考えていたソフトの開発を始めました。いつものようにGitHUBのリポジトリを作りました。

脅威を監視するためのログサーバーです。

去年TWSNMP FC/FKをSIGMAルールに対応して脅威を検知するアイデアを考えましたが、TWSNMPの処理が重くなりすぎる気がして迷っていました。また、ログの量が多くなるとTWSNMP FC/FKで使っているbboltの保存や削除の速度が低下していく問題もありました。
そこで、ログサーバーだけ分離しようと思って開発を始めたのが、このソフトです。

今のところ

のような構成にしようと思っています。
できることは、

• ログの受信と同時にSIGMAルールで脅威判定を行う

• ログは一定期間保存する

• SIGMAルールを追加すると、過去ログも判定する

• 脅威を検知したらTWSNMPシリーズなどへ通知する

• 通知の方法は、gRPCのストリーム、syslog,SNMP TRAPなど

• 対応するログは、syslog,NetFlow,sFlow,Windows Event Logなど

以前から使っている技術と、今回、初挑戦する技術があります。

Key Value DatabaseにBadgerを使ってみる

ログや設定を保存するKey Valu DatabaseBadgerを使ってみようと思っています。
GitHUBのリポジトリは

です。ドキュメントは

Badgerdb documentation —

です。
いままで使っていたbboltから変えた理由は

• 書き込み速度が早い

• 保存期限（TTL）が設定できる

• メモリーで動作させるモードがある

の３点です。

APIにgRPCを使ってみる

TWSNMP FKなどのソフトからアクセスする場合のAPIをgRPCにしようと思っています。使う予定のパッケージは

 です。

NetFlow/IPFIX/sFlowにGoFlow2を使ってみる 

TWSNMPシリーズではNetFlowとsFlowに別のパッケージを使っていましたが、両方対応している

を試してみようと思っています。

これまで使った技術

TWSNMP FC/FKやログ分析ツールで使った技術も利用します。
主に

• syslogサーバー

• Windows Event　Logパーサー

• Sigmaルール

• GROK

などです。

TWSNMPシリーズやログ分析ツールを改善するアイデアもいろいろあります。

今年も、開発を楽しめそうです。

明日に続く