サポートセンターホーム


Syslogモニタリング

概要

LogicMonitorは、アラートの目的でCollectorにプッシュされたsyslogメッセージを監視できますが、syslogの表示または検索ツールとしては意図されていません。 したがって、アラートは、警告、エラー、クリティカル、アラート、または緊急の重大度が割り当てられたsyslogメッセージに対してのみ生成できます。 (デバッグ、情報、および通知メッセージは破棄されます。)

Syslogモニタリングの設定

Syslog監視用にシステムをセットアップするには、次の手順を実行します。

  1. Syslogコレクターを構成します
  2. Syslogメッセージソースを設定します
  3. SyslogEventSourceを作成します

ステップ1:Syslogコレクターを構成する

デフォルトでは、コレクターはポートUDP / 514でリッスンして着信syslogメッセージを受信します。 コレクターが別のポートでリッスンするようにしたい場合は、 eventcollector.syslog.port コレクターのagent.confファイルにあるプロパティ。 (コレクターの構成を編集する手順については、を参照してください。 コレクター構成ファイルの編集.)

ステップ2:Syslogメッセージソースを設定する

XNUMXつの典型的な構成シナリオがあります。

  • Syslogデーモンの構成。 SyslogメッセージをCollectorに転送するように、監視対象デバイスで実行されているsyslogデーモンを構成します。
  • 中央syslogサーバーの構成。 中央のsyslogサーバーがある場合は、syslogメッセージをコレクターに転送するようにサーバーを構成します。 通常の状況では、コレクターはホスト名のsyslogメッセージを解析し、監視対象のリソースにイベントを割り当てます。 そのリソースプロパティがメッセージ内に見つからない場合は、代わりにイベントを集中ログサーバーに関連付けます(LogicMonitorに追加されていると想定)。

次の例では、重大度errのすべてのsyslogメッセージをCollectorが実行されているデバイス172.16.0.12に転送するようにUNIXsyslogデーモンを構成します。

* .err @ 172.16.0.12

メッセージ転送の設定方法については、syslogサーバー/デーモンのマニュアルを参照してください。

ステップ3:SyslogEventSourceを作成する

を選択して、新しいEventSourceを作成できます。 設定| LogicModules | EventSources | 追加| EventSource。 次に示すように、必ず「タイプ」フィールドを「SysLog」に設定してください。 これにより、適切なフィルターオプションが表示されます。

SyslogEventSourceの構成

上の図は、デバイス172.16.19.185に適用される「SyslogTest」というタイトルのsyslogEventSourceを作成します。 構成されたXNUMXつのフィルターすべてを満たすsyslogメッセージのみがLogicMonitorデータベースに保存され、アラートがトリガーされます。

  • 重大度| MoreUrgentThan | 警告。 リストされている最初のフィルターは、重大度フィルタータイプです。 メッセージの重大度は、警告よりも重大である必要があります(つまり、エラー、クリティカル、アラート、または緊急)。 syslogは重大度レベルに数値を割り当て、値が小さいほど緊急性が高いことを示していることに注意してください。
  • 施設| 等しい| ローカル使用0(local0)。 リストされている0番目のフィルターは、ファシリティフィルタータイプです。 受け入れられたメッセージのファシリティが「local16」(syslogがファシリティコードXNUMXで識別する)と等しい必要があります。
  • メッセージ| RegexMatch | 15031 | 15033 | 15035。 リストされている15031番目のフィルターは、メッセージフィルタータイプです。 Syslogメッセージには、「15033」、「15035」、または「XNUMX」のいずれかの部分文字列が含まれている必要があります。 RegexMatch比較演算子を効果的に使用して、XNUMXつ以上の部分文字列値が存在する場合にTRUEを返すORステートメントを作成できます。
  • メッセージ| 含む| 攻撃。 リストされているXNUMX番目のフィルターもメッセージフィルタータイプです。 部分文字列「attack」を含むsyslogメッセージが必要です。 包含比較演算子は大文字と小文字を区別しないことに注意してください。

注意: Syslog EventSourceのアラートが無効になっている場合(またはデバイスやグループなどの上位レベルで無効になっている場合)、syslogイベントは表示されません。

SyslogとLogicMonitorのアラート重大度間のマッピング

Syslogの重大度

LogicMonitorアラートの重大度

0-緊急事態 クリティカル
1-クリティカル クリティカル
2-アラート クリティカル
3-エラー エラー
4-警告 警告
5-通知する 無視されます(使用されません)
6-情報 無視されます(使用されません)
7-デバッグ 無視されます(使用されません)

高可用性Syslogアラート

SyslogモニタリングアラートはLogicMonitorを使用できます バックアップコレクター Syslogイベントの高可用性アラート用。 これを行うには、プライマリコレクターとバックアップコレクターの両方にsyslogメッセージを送信するようにデバイスを構成します。 LogicMonitorコレクターは、現在監視しているデバイスからのsyslogメッセージについてのみアラートを出します。 したがって、バックアップコレクターは、syslogデバイスを監視していない間はすべてのsyslogメッセージを無視しますが、コレクターのフェイルオーバーが発生した場合はアラートを開始します。

記事上で