Docker を使用して Security Command Center データを Elastic Stack に送信

このページでは、Docker コンテナを使用して Elastic Stack のインストールをホストし、Security Command Center の検出結果、アセット、監査ログ、セキュリティ ソースを Elastic Stack に自動的に送信する方法について説明します。また、エクスポートされたデータの管理方法についても説明します。

Docker はコンテナ内のアプリケーションを管理するためのプラットフォームです。Elastic Stack は、1 つ以上のソースからデータを取り込み、セキュリティ チームがインシデントへの対応を管理してリアルタイム分析を行えるセキュリティ情報イベント管理(SIEM)プラットフォームです。このガイドで説明する Elastic Stack の構成には、次の 4 つのコンポーネントが含まれています。

  • Filebeat: 仮想マシン(VM)などのエッジホストにインストールされ、データを収集して転送するように構成できる軽量エージェント
  • Logstash: データを取り込み、そのデータを必須項目にマッピングして、結果を Elasticsearch に転送する変換サービス
  • Elasticsearch: データを保存する検索データベース エンジン
  • Kibana: データの可視化と分析を可能にする強力なダッシュボード

このガイドでは、Docker を設定して、必要な Security Command Center と Google Cloud サービスが適切に構成されていることを確認し、カスタム モジュールを使用して検出結果、アセット、監査ログ、セキュリティ ソースを Elastic Stack に送信します。

次の図は、Security Command Center で Elastic Stack を使用した場合のデータパスを示しています。

Security Command Center と Elastic Stack の統合(クリックして拡大)
Security Command Center と Elastic Stack の統合(クリックして拡大)

認証と認可を構成する

Elastic Stack に接続する前に、接続する Google Cloud 組織ごとに Identity and Access Management(IAM)サービス アカウントを作成し、Elastic Stack に必要な組織レベルとプロジェクト レベルの両方の IAM ロールをアカウントに付与する必要があります。

サービス アカウントの作成と IAM ロールの付与

次の手順では、Google Cloud コンソールを使用します。その他の方法については、このセクションの最後にあるリンクをご覧ください。

Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。

  1. Pub/Sub トピックを作成するプロジェクトと同じプロジェクトで、Google Cloud コンソールの [サービス アカウント] ページを使用してサービス アカウントを作成します。手順については、サービス アカウントの作成と管理をご覧ください。
  2. サービス アカウントに次のロールを付与します。

    • Pub/Sub 管理者roles/pubsub.admin
    • クラウド アセット オーナーroles/cloudasset.owner
  3. 作成したサービス アカウントの名前をコピーします。

  4. Google Cloud コンソールのプロジェクト セレクタを使用して、組織レベルに切り替えます。

  5. 組織の [IAM] ページを開きます。

    IAM に移動

  6. IAM ページで、[アクセス権を付与] をクリックします。[アクセス権を付与] パネルが開きます。

  7. [アクセス権を付与] パネルで、次の操作を行います。

    1. [プリンシパルの追加] セクションの [新しいプリンシパル] フィールドに、サービス アカウントの名前を貼り付けます。
    2. [ロールの割り当てる] セクションの [ロール] フィールドで、サービス アカウントに次の IAM ロールを付与します。

    3. セキュリティ センター管理編集者roles/securitycenter.adminEditor
    4. セキュリティ センター通知構成編集者roles/securitycenter.notificationConfigEditor
    5. 組織閲覧者roles/resourcemanager.organizationViewer
    6. Cloud Asset 閲覧者roles/cloudasset.viewer
    7. ログ構成書き込みroles/logging.configWriter
    8. [保存] をクリックします。サービス アカウントは、[IAM] ページの [権限] タブにある [プリンシパル別に表示] に表示されます。

      また、継承により、サービス アカウントは組織のすべての子プロジェクトのプリンシパルにもなります。プロジェクト レベルで適用されるロールが、継承されたロールとしてリストされます。

サービス アカウントの作成とロールの付与の詳細については、次のトピックをご覧ください。

Elastic Stack に認証情報を指定する

Elastic Stack をホストする場所に応じて、IAM 認証情報を Elastic Stack に指定する方法は異なります。

通知を構成する

Security Command Center データをインポートする Google Cloud 組織ごとに、次の操作を行います。

  1. 次のように検出結果の通知を設定します。

    1. Security Command Center API を有効にします。
    2. 目的の検出結果とアセットをエクスポートするフィルタを作成します。
    3. 4 つの Pub/Sub トピックを作成します(検出結果、リソース、監査ログ、アセットに 1 つずつ)。NotificationConfig では、検出用に作成した Pub/Sub トピックを使用する必要があります。

    Elastic Stack を構成するには、このタスクの組織 ID、プロジェクト ID、Pub/Sub トピック名が必要になります。

  2. プロジェクトで Cloud Asset API を有効にします

Docker と Elasticsearch のコンポーネントをインストールする

Docker と Elasticsearch のコンポーネントを環境にインストールする手順は次のとおりです。

Docker Engine と Docker Compose をインストールする

オンプレミスを使用する場合またはクラウド プロバイダで使用する場合は、Docker をインストールします。使用を開始するには、Docker のプロダクト ドキュメントで次の手順を完了してください。

Elasticsearch と Kibana をインストールする

Docker のインストールでインストールした Docker イメージには、Logstash と Filebeat が含まれています。Elasticsearch と Kibana をまだインストールしていない場合は、次のガイドに沿ってアプリケーションをインストールします。

このガイドを完了するには、これらのタスクの次の情報が必要です。

  • Elastic Stack: ホスト、ポート、証明書、ユーザー名、パスワード
  • Kibana: ホスト、ポート、証明書、ユーザー名、パスワード

GoApp モジュールをダウンロードする

このセクションでは、Security Command Center で管理されている Go プログラムの GoApp モジュールをダウンロードする方法について説明します。このモジュールは、Security Command Center API 呼び出しのスケジューリング プロセスを自動化し、Elastic Stack で使用するために Security Command Center のデータを定期的に取得します。

GoApp のインストール手順は次のとおりです。

  1. ターミナル ウィンドウで、wget(ウェブサーバーからコンテンツを取得するために使用される無料のソフトウェア ユーティリティ)をインストールします。

    Ubuntu と Debian ディストリビューションの場合は、次のコマンドを実行します。

    apt-get install wget
    

    RHEL、CentOS、Fedora ディストリビューションの場合は、次のコマンドを実行します。

    yum install wget
    
  2. unzip(ZIP ファイルの内容を抽出する無料のソフトウェア ユーティリティ)をインストールします。

    Ubuntu と Debian ディストリビューションの場合は、次のコマンドを実行します。

    apt-get install unzip
    

    RHEL、CentOS、Fedora ディストリビューションの場合は、次のコマンドを実行します。

    yum install unzip
    
  3. GoogleSCCElasticIntegration インストール パッケージのディレクトリを作成します。

    mkdir GoogleSCCElasticIntegration
    
  4. GoogleSCCElasticIntegration インストール パッケージをダウンロードします。

    wget -c https://storage.googleapis.com/security-center-elastic-stack/GoogleSCCElasticIntegration-Installation.zip
    
  5. GoogleSCCElasticIntegration インストール パッケージの内容を GoogleSCCElasticIntegration ディレクトリに展開します。

    unzip GoogleSCCElasticIntegration-Installation.zip -d GoogleSCCElasticIntegration
    
  6. GoApp モジュール コンポーネントを保存して実行するための作業ディレクトリを作成します。

    mkdir WORKING_DIRECTORY
    

    WORKING_DIRECTORY は、ディレクトリ名に置き換えます。

  7. GoogleSCCElasticIntegration インストール ディレクトリに移動します。

    cd ROOT_DIRECTORY/GoogleSCCElasticIntegration/
    

    ROOT_DIRECTORY は、GoogleSCCElasticIntegration ディレクトリを含むディレクトリのパスに置き換えます。

  8. installconfig.ymldashboards.ndjsontemplates フォルダ(filebeat.tmpllogstash.tmpldocker.tmpl ファイルを含む)を作業ディレクトリに移動します。

    mv install/install install/config.yml install/templates/docker.tmpl install/templates/filebeat.tmpl install/templates/logstash.tmpl install/dashboards.ndjson WORKING_DIRECTORY
    

    WORKING_DIRECTORY は、作業ディレクトリのパスに置き換えます。

Docker コンテナをインストールする

Docker コンテナを設定するには、Logstash と Filebeat を含む Google Cloud から事前にフォーマットされたイメージをダウンロードしてインストールします。Docker イメージの詳細については、Google Cloud コンソールで Artifact Registry リポジトリに移動してください。

Artifact Registry に移動

インストール中に、Security Command Center と Elastic Stack の認証情報で GoApp モジュールを構成します。

  1. 作業ディレクトリに移動します。

    cd /WORKING_DIRECTORY
    

    WORKING_DIRECTORY は、作業ディレクトリのパスに置き換えます。

  2. 作業ディレクトリに次のファイルが存在することを確認します。

      ├── config.yml
      ├── install
      ├── dashboards.ndjson
      ├── templates
          ├── filebeat.tmpl
          ├── docker.tmpl
          ├── logstash.tmpl
    
  3. テキスト エディタで config.yml ファイルを開き、リクエストされた変数を追加します。変数が不要な場合は、空白のままにします。

    変数 説明 必須
    elasticsearch Elasticsearch 構成のセクション。 必須
    host Elastic Stack ホストの IP アドレス。 必須
    password Elasticsearch のパスワード。 省略可
    port Elastic Stack ホストのポート。 必須
    username Elasticsearch のユーザー名。 省略可
    cacert Elasticsearch サーバーの証明書(例: path/to/cacert/elasticsearch.cer)。 省略可
    http_proxy プロキシホストのユーザー名、パスワード、IP アドレス、ポートへのリンク(例: http://USER:PASSWORD@PROXY_IP:PROXY_PORT)。 省略可
    kibana Kibana の構成に関するセクション。 必須
    host Kibana サーバーをバインドする IP アドレスまたはホスト名。 必須
    password Kibana のパスワード。 省略可
    port Kibana サーバーのポート。 必須
    username Kibana のユーザー名。 省略可
    cacert Kibana サーバーの証明書(例: path/to/cacert/kibana.cer)。 省略可
    cron cron 構成のセクション。 省略可
    asset アセットの cron 構成のセクション(例: 0 */45 * * * *)。 省略可
    source ソース cron 構成のセクション(例: 0 */45 * * * *)。詳細については、cron 式の生成ツールをご覧ください。 省略可
    organizations Google Cloud 組織の構成のセクション。複数の Google Cloud 組織を追加するには、resource- id: からすべてを subscription_name にコピーします。 必須
    id 組織の ID。 必須
    client_credential_path 次のいずれか::
    • JSON ファイルのパス(サービス アカウント キーを使用している場合)。
    • Workload Identity 連携を使用している場合の認証情報の構成ファイル。
    • Docker コンテナをインストールする Google Cloud 組織の場合は、何も指定しないでください。
    省略可(環境によって異なる)
    update 以前のバージョンからアップグレードするかどうか(n(いいえ)または y(はい)) 省略可
    project プロジェクト ID 用のセクション 必須
    id Pub/Sub トピックを含むプロジェクトの ID。 必須
    auditlog 監査ログの Pub/Sub トピックとサブスクリプションのセクション。 省略可
    topic_name 監査ログ用の Pub/Sub トピックの名前 省略可
    subscription_name 監査ログ用の Pub/Sub サブスクリプションの名前 省略可
    findings 検出結果の Pub/Sub トピックとサブスクリプションのセクション。 省略可
    topic_name 検出結果の Pub/Sub トピックの名前。 省略可
    start_date 検出結果の移行を開始する日付(省略可、例: 2021-04-01T12:00:00+05:30 省略可
    subscription_name 検出結果の Pub/Sub サブスクリプションの名前。 省略可
    asset アセット構成のセクション。 省略可
    iampolicy IAM ポリシーの Pub/Sub トピックとサブスクリプションのセクション。 省略可
    topic_name IAM ポリシーの Pub/Sub トピックの名前。 省略可
    subscription_name IAM ポリシーの Pub/Sub サブスクリプションの名前。 省略可
    resource リソースの Pub/Sub トピックとサブスクリプションのセクション。 省略可
    topic_name リソースの Pub/Sub トピックの名前。 省略可
    subscription_name リソースの Pub/Sub サブスクリプションの名前。 省略可

    config.yml ファイルの例

    次の例は、2 つの Google Cloud 組織を含む config.yml ファイルを示しています。

    elasticsearch:
      host: 127.0.0.1
      password: changeme
      port: 9200
      username: elastic
      cacert: path/to/cacert/elasticsearch.cer
    http_proxy: http://user:password@proxyip:proxyport
    kibana:
      host: 127.0.0.1
      password: changeme
      port: 5601
      username: elastic
      cacert: path/to/cacert/kibana.cer
    cron:
      asset: 0 */45 * * * *
      source: 0 */45 * * * *
    organizations:
      – id: 12345678910
        client_credential_path:
        update:
        project:
          id: project-id-12345
        auditlog:
          topic_name: auditlog.topic_name
          subscription_name: auditlog.subscription_name
        findings:
          topic_name: findings.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy.topic_name
            subscription_name: iampolicy.subscription_name
          resource:
            topic_name: resource.topic_name
            subscription_name: resource.subscription_name
      – id: 12345678911
        client_credential_path:
        update:
        project:
          id: project-id-12346
        auditlog:
          topic_name: auditlog2.topic_name
          subscription_name: auditlog2.subscription_name
        findings:
          topic_name: findings2.topic_name
          start_date: 2021-05-01T12:00:00+05:30
          subscription_name: findings1.subscription_name
        asset:
          iampolicy:
            topic_name: iampolicy2.topic_name
            subscription_name: iampolicy2.subscription_name
          resource:
            topic_name: resource2.topic_name
            subscription_name: resource2.subscription_name
    
  4. 次のコマンドを実行して Docker イメージをインストールし、GoApp モジュールを構成します。

    chmod +x install
    ./install
    

    GoApp モジュールが Docker イメージをダウンロードしてインストールし、コンテナをセットアップします。

  5. プロセスが完了したら、インストールの出力から WriterIdentity サービス アカウントのメールアドレスをコピーします。

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    

    作業ディレクトリの構造は次のようになります。

      ├── config.yml
      ├── dashboards.ndjson
      ├── docker-compose.yml
      ├── install
      ├── templates
          ├── filebeat.tmpl
          ├── logstash.tmpl
          ├── docker.tmpl
      └── main
          ├── client_secret.json
          ├── filebeat
          │          └── config
          │                   └── filebeat.yml
          ├── GoApp
          │       └── .env
          └── logstash
                     └── pipeline
                                └── logstash.conf
    

監査ログの権限を更新する

監査ログが SIEM に送信されるように権限を更新するには:

  1. Pub/Sub トピックページに移動します。

    [Pub/Sub] に移動

  2. Pub/Sub トピックを含むプロジェクトを選択します。

  3. 監査ログ用に作成した Pub/Sub トピックを選択します。

  4. [権限] で、新しいプリンシパルとして WriterIdentity サービス アカウント(インストール手順の手順 4 でコピーしたもの)を追加し、Pub/Sub パブリッシャー ロールを割り当てます。監査ログポリシーが更新されます。

Docker と Elastic Stack の構成が完了しました。これで、Kibana を設定できます。

Docker ログを表示する

  1. ターミナルを開き、次のコマンドを実行して、コンテナ ID などのコンテナ情報を表示します。Elastic Stack がインストールされているコンテナの ID をメモします。

    docker container ls
    
  2. コンテナを起動してログを表示するには、次のコマンドを実行します。

    docker exec -it CONTAINER_ID /bin/bash
    cat go.log
    

    CONTAINER_ID は、Elastic Stack がインストールされているコンテナの ID に置き換えます。

Kibana を設定する

Docker コンテナを初めてインストールする場合は、以下の手順を行います。

  1. テキスト エディタで kibana.yml を開きます。

    sudo vim KIBANA_DIRECTORY/config/kibana.yml
    

    KIBANA_DIRECTORY は、Kibana インストール フォルダのパスに置き換えます。

  2. 次の変数を更新します。

    • server.port: Kibana のバックエンド サーバーに使用するポート(デフォルトは 5601)
    • server.host: Kibana サーバーをバインドする IP アドレスまたはホスト名
    • elasticsearch.hosts: クエリに使用する Elasticsearch インスタンスの IP アドレスとポート
    • server.maxPayloadBytes: 受信サーバー リクエストの最大ペイロード サイズ(バイト単位、デフォルトは 1,048,576)
    • url_drilldown.enabled: Kibana ダッシュボードから内部または外部 URL に移動する機能を制御するブール値(デフォルトは true

    完成した構成は次のようになります。

      server.port: PORT
      server.host: "HOST"
      elasticsearch.hosts: ["http://ELASTIC_IP_ADDRESS:ELASTIC_PORT"]
      server.maxPayloadBytes: 5242880
      url_drilldown.enabled: true
    

Kibana ダッシュボードをインポートする

  1. Kibana アプリケーションを開きます。
  2. ナビゲーション メニューで、[Stack Management] に移動し、[Saved Objects] をクリックします。
  3. [Import] をクリックして作業ディレクトリに移動し、dashboards.ndjson を選択します。ダッシュボードがインポートされ、インデックス パターンが作成されます。

Docker コンテナをアップグレードする

以前のバージョンの GoApp モジュールをデプロイした場合は、新しいバージョンにアップグレードできます。Docker コンテナを新しいバージョンにアップグレードするときに、既存のサービス アカウントの設定、Pub/Sub トピック、ElasticSearch コンポーネントを維持できます。

Docker コンテナを使用していない統合からアップグレードする場合は、最新リリースにアップグレードするをご覧ください。

  1. v1 からアップグレードする場合は、次の手順を完了します。

    1. サービス アカウントにログ構成書き込みroles/logging.configWriter)のロールを追加します。

    2. 監査ログ用の Pub/Sub トピックを作成します。

  2. 別のクラウドに Docker コンテナをインストールする場合は、Workload Identity 連携を構成して、認証情報の構成ファイルをダウンロードします。

  3. 必要に応じて、新しいダッシュボードをインポートする際の問題を避けるために、Kibana から既存のダッシュボードを削除します。

    1. Kibana アプリケーションを開きます。
    2. ナビゲーション メニューで、[Stack Management] に移動し、[Saved Objects] をクリックします。
    3. Google SCC を検索します。
    4. 削除するダッシュボードをすべて選択します。
    5. [削除] をクリックします。
  4. 既存の Docker コンテナを削除します。

    1. ターミナルを開いてコンテナを停止します。

      docker stop CONTAINER_ID
      

      CONTAINER_ID は、Elastic Stack がインストールされているコンテナの ID に置き換えます。

    2. Docker コンテナを削除します。

      docker rm CONTAINER_ID
      

      必要に応じて、コンテナ ID の前に -f を追加して、コンテナを強制的に削除します。

  5. GoApp モジュールをダウンロードするの手順 1~7 を完了します。

  6. 以前のインストールから既存の config.env ファイルを \update ディレクトリに移動します。

  7. 必要に応じて、./update を実行する実行権限を付与します。

    chmod +x ./update
    ./update
    
  8. ./update を実行して config.envconfig.yml に変換します。

  9. config.yml ファイルに既存の構成が含まれていることを確認します。実行されていない場合は、./update を再実行します。

  10. 複数の Google Cloud 組織をサポートするには、config.yml ファイルに別の組織構成を追加します。

  11. config.yml ファイルを install のある作業ディレクトリに移動します。

  12. Docker のインストールの手順を完了します。

  13. 監査ログの権限を更新するの手順を完了します。

  14. Kibana ダッシュボードのインポートの説明に沿って、新しいダッシュボードをインポートします。これにより、既存の Kibana ダッシュボードが上書きされます。

Kibana ダッシュボードの表示と編集

Elastic Stack のカスタム ダッシュボードを使用すると、検出結果、アセット、セキュリティ ソースを可視化して分析できます。ダッシュボードには重要な検出結果が示され、セキュリティ チームが修正の優先順位を決めるのに役立ちます。

[Overview] ダッシュボード

[Overview] ダッシュボードには、重要度レベル、カテゴリ、状態別に、Google Cloud 組織で見つかった検出結果の合計数を表示する一連のグラフが表示されます。検出結果は、Security Command Center の組み込みサービス(Security Health AnalyticsWeb Security ScannerEvent Threat DetectionContainer Threat Detection など)と、有効にした統合サービスから編集されます。

構成ミスや脆弱性などの条件でコンテンツをフィルタするには、[Finding class] を選択します。

追加のグラフには、最も多くの検出結果を生成したカテゴリ、プロジェクト、アセットが表示されます。

[Assets] ダッシュボード

[Assets] ダッシュボードには、Google Cloud アセットを示すテーブルが表示されます。テーブルには、アセットのオーナー、リソースタイプとプロジェクトごとのアセット数、最近追加または更新されたアセットが表示されます。

アセットデータを組織、アセット名、アセットタイプ、親でフィルタして、特定のアセットの検出結果にすばやくドリルダウンできます。アセット名をクリックすると、Google Cloud コンソールの Security Command Center の [アセット] ページにリダイレクトされ、選択したアセットの詳細が表示されます。

[Audit logs] ダッシュボード

[Audit logs] ダッシュボードには、監査ログ情報を示す一連のグラフとテーブルが表示されます。ダッシュボードに含まれる監査ログは、管理者のアクティビティ、データアクセス、システム イベント、ポリシーで拒否された監査ログです。テーブルには、時間、重大度、ログタイプ、ログ名、サービス名、リソース名、リソースタイプが含まれます。

組織、ソース(プロジェクトなど)、重大度、ログタイプ、リソースタイプでデータをフィルタできます。

[Findings] ダッシュボード

[Findings] ダッシュボードには、最新の検出結果を示すグラフが表示されます。グラフには、検出結果の数、重大度、カテゴリ、状態に関する情報が表示されます。アクティブな検出結果や、検出結果が最も多いプロジェクトやリソースを表示することもできます。

組織や検出クラスでデータをフィルタできます。

検出結果の名前をクリックすると、Google Cloud コンソールの Security Command Center の [検出結果] ページにリダイレクトされ、選択した検出結果の詳細が表示されます。

[Sources] ダッシュボード

[Sources] ダッシュボードには、検出結果とセキュリティ ソースの総数、検出結果の数(ソース名別)、すべてのセキュリティ ソースを含むテーブルが表示されます。テーブルの列には、名前、表示名、説明が含まれています。

列を追加する

  1. ダッシュボードに移動します。
  2. [Edit] をクリックし、[Edit visualization] をクリックします。
  3. [Add sub-bucket] で、[Split rows] を選択します。
  4. リストから期間集計を選択します。
  5. [Descending] プルダウン メニューで、昇順または降順を選択します。[Size] フィールドにテーブルの最大行数を入力します。
  6. 追加する列を選択し、[更新] をクリックします。
  7. 変更を保存します。

列の非表示または削除

  1. ダッシュボードに移動します。
  2. [編集] をクリックします。
  3. 列を非表示にするには、列名の横にある表示アイコン(目のアイコン)をクリックします。
  4. 列を削除するには、列名の横にある [X] または削除アイコンをクリックします。

Elasticsearch との統合をアンインストールする

Security Command Center と Elasticsearch の統合を削除するには、次のセクションを完了します。

ダッシュボード、インデックス、インデックス パターンを削除する

このソリューションをアンインストールする場合は、ダッシュボードを削除します。

  1. ダッシュボードに移動します。

  2. 「Google SCC」を検索し、すべてのダッシュボードを選択します。

  3. [ダッシュボードを削除] をクリックします。

  4. [Stack Management] > [Index Management] に移動します。

  5. 次のインデックスを閉じます。

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs
  6. [Stack Management] > [Index Patterns] に移動します。

  7. 次のパターンを閉じます。

    • gccassets
    • gccfindings
    • gccsources
    • gccauditlogs

Docker をアンインストールする

  1. Pub/Sub の NotificationConfig を削除します。NotificationConfig の名前を確認するには、次のコマンドを実行します。

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat NotificationConf_}}HashId{{
    
  2. アセット、検出結果、IAM ポリシー、監査ログの Pub/Sub フィードを削除します。 フィードの名前を確認するには、次のコマンドを実行します。

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Feed_}}HashId{{
    
  3. 監査ログのシンクを削除します。シンクの名前を確認するには、次のコマンドを実行します。

    docker exec googlescc_elk ls
    docker exec googlescc_elk cat Sink_}}HashId{{
    
  4. コンテナ ID などのコンテナ情報を表示するには、ターミナルを開いて次のコマンドを実行します。

    docker container ls
    
  5. コンテナを停止します。

    docker stop CONTAINER_ID
    

    CONTAINER_ID は、Elastic Stack がインストールされているコンテナの ID に置き換えます。

  6. Docker コンテナを削除します。

    docker rm CONTAINER_ID
    

    必要に応じて、コンテナ ID の前に -f を追加して、コンテナを強制的に削除します。

  7. Docker イメージを削除します。

    docker rmi us.gcr.io/security-center-gcr-host/googlescc_elk_v3:latest
    
  8. 作業ディレクトリと docker-compose.yml ファイルを削除します。

    rm -rf ./main docker-compose.yml
    

次のステップ