Syslogモニタリング
最終更新日: 26 年 2024 月 XNUMX 日使い方 Syslog EventSource、LogicMonitorは、アラート目的のみでコレクターにプッシュされたsyslogメッセージを監視できます。Syslog EventSourceは、syslogの表示や検索ツールとして意図されていません。Syslogの表示と検索には、 LMログ。 見る Syslogログの収集と転送.
Syslogモニタリングの設定
Syslog監視用にシステムをセットアップするには、次の手順を実行します。
- Syslogコレクターを構成します
- Syslogメッセージソースを設定します
- SyslogEventSourceを作成します
ステップ1:Syslogコレクターを構成する
デフォルトでは、コレクターはポートUDP / 514でリッスンして着信syslogメッセージを受信します。 コレクターが別のポートでリッスンするようにしたい場合は、 eventcollector.syslog.udp.port
コレクターのagent.confファイルにあるプロパティ。 (コレクターの構成を編集する手順については、を参照してください。 コレクター構成ファイルの編集.)
ステップ2:Syslogメッセージソースを設定する
XNUMXつの典型的な構成シナリオがあります。
- Syslogデーモンの構成。 SyslogメッセージをCollectorに転送するように、監視対象デバイスで実行されているsyslogデーモンを構成します。
- 中央syslogサーバーの構成。 中央のsyslogサーバーがある場合は、syslogメッセージをコレクターに転送するようにサーバーを構成します。 通常の状況では、コレクターはホスト名のsyslogメッセージを解析し、監視対象のリソースにイベントを割り当てます。 そのリソースプロパティがメッセージ内に見つからない場合は、代わりにイベントを集中ログサーバーに関連付けます(LogicMonitorに追加されていると想定)。
次の例では、重大度errのすべてのsyslogメッセージをCollectorが実行されているデバイス172.16.0.12に転送するようにUNIXsyslogデーモンを構成します。
* .err @ 172.16.0.12
メッセージ転送の設定方法については、syslogサーバー/デーモンのマニュアルを参照してください。
ステップ3:SyslogEventSourceを作成する
を選択して、新しいEventSourceを作成できます。 設定| LogicModules | EventSources | 追加| EventSource。 次に示すように、必ず「タイプ」フィールドを「SysLog」に設定してください。 これにより、適切なフィルターオプションが表示されます。
上の図は、デバイス172.16.19.185に適用される「SyslogTest」というタイトルのsyslogEventSourceを作成します。 構成されたXNUMXつのフィルターすべてを満たすsyslogメッセージのみがLogicMonitorデータベースに保存され、アラートがトリガーされます。
- 重大度| MoreUrgentThan | 警告。 リストされている最初のフィルターは、重大度フィルタータイプです。 メッセージの重大度は、警告よりも重大である必要があります(つまり、エラー、クリティカル、アラート、または緊急)。 syslogは重大度レベルに数値を割り当て、値が小さいほど緊急性が高いことを示していることに注意してください。
- 施設| 等しい| ローカル使用0(local0)。 リストされている0番目のフィルターは、ファシリティフィルタータイプです。 受け入れられたメッセージのファシリティが「local16」(syslogがファシリティコードXNUMXで識別する)と等しい必要があります。
- メッセージ| RegexMatch | 15031 | 15033 | 15035。 リストされている15031番目のフィルターは、メッセージフィルタータイプです。 Syslogメッセージには、「15033」、「15035」、または「XNUMX」のいずれかの部分文字列が含まれている必要があります。 RegexMatch比較演算子を効果的に使用して、XNUMXつ以上の部分文字列値が存在する場合にTRUEを返すORステートメントを作成できます。
- メッセージ| 含む| 攻撃。 リストされているXNUMX番目のフィルターもメッセージフィルタータイプです。 部分文字列「attack」を含むsyslogメッセージが必要です。 包含比較演算子は大文字と小文字を区別しないことに注意してください。
ご注意: Syslog EventSourceのアラートが無効になっている場合(またはデバイスやグループなどの上位レベルで無効になっている場合)、syslogイベントは表示されません。
SyslogとLogicMonitorのアラート重大度間のマッピング
高可用性Syslogアラート
SyslogモニタリングアラートはLogicMonitorを使用できます バックアップコレクター Syslogイベントの高可用性アラート用。 これを行うには、プライマリコレクターとバックアップコレクターの両方にsyslogメッセージを送信するようにデバイスを構成します。 LogicMonitorコレクターは、現在監視しているデバイスからのsyslogメッセージについてのみアラートを出します。 したがって、バックアップコレクターは、syslogデバイスを監視していない間はすべてのsyslogメッセージを無視しますが、コレクターのフェイルオーバーが発生した場合はアラートを開始します。