ログソースの構成
最終更新日: 03 年 2025 月 XNUMX 日LogSource は、ログを有効にし、LM ログによる取り込み用のログ データの送信を構成するためのテンプレートを提供する LM LogicModule です。 LogSource は、どのログを取得するか、どこで取得するか、どのフィールドを解析対象として考慮する必要があるかなどの詳細を構成するのに役立ちます。
Note: 以下に、LogSource を追加および構成するための一般的な手順を説明します。 特定のタイプの LogSource の構成パラメータについては、を参照してください。 各タイプの構成情報。 LogSource の概念の詳細については、次を参照してください。 ログソースの概要.
要件
- LogSource で LM Collector を使用する場合、インフラストラクチャにインストールされている LM Collector は次のとおりである必要があります。 バージョン EA 31.200 以降. コレクタをアップグレードする方法については、次を参照してください。 コレクターの管理.
- リソース マッピングの優先順位付け機能にアクセスするには、マシンに EA Collector 36.400 以降がインストールされている必要があります。
ステップ 1. ログソースの追加
新しい LogSource を追加するには、次の手順を実行します。
- LogicMonitor のナビゲーション メニューで、 モジュール.
- My Module Toolbox から、 Add
. - [追加] ウィンドウで、 ログソース。 「新しいログソースの追加」ウィンドウが表示されます。
- 引き続き、次の手順に従って LogSource を構成します。
Note: 次のステップで選択した LogSource のタイプに応じて、情報を入力するためのさまざまなセクションが表示されます。 たとえば、除外フィルター、包含フィルター、ログ フィールドなどです。 上部のタブを使用すると、さまざまなセクションにすばやくアクセスできます。
ステップ 2. ログソースの構成
基本情報
LogSource に関する一般的な情報を提供し、ログ データの発信元に応じてタイプを選択します。
インフォ セクションで、次の操作を行います。
- お名前 (必須) - わかりやすい名前を追加します。これはログソースのリストに表示されます。
- 説明 と テクニカルノート- LogSource に関するオプションの情報。
- グループ- LogSource が存在するグループ。 LogSource グループを選択するか、新しいグループを作成します。 グループが指定されていない場合、LogSource は「@ungrouped」に配置されます。
- モジュール内でマークダウンがどのように表示されるかをプレビューする—これを切り替えると、テクニカル ノートの情報がどのように表示されるかを確認できます。
- タイプ (必須) - LogSource が適用されるリソースのタイプを選択し、以下で説明するように、該当する残りのセクションの構成を続行します。
に適用されます
LogSource を使用するリソースを構成します。
に適用されます セクションで、次の操作を行います。
- LogSource が適用されるリソースを入力します。
- 必要に応じて、 IDEの起動 リソースの選択に関するガイドとして。 選択する クリックします 構成を保存します。
- 必要に応じて、 テスト適用先 アイコンをクリックしてリソースの選択をテストし、必要に応じて基準を調整します。
除外フィルターと包含フィルター
必要に応じて、イベントを除外または含めるためのフィルターを追加できます。 フィルターを追加する場合、イベントが検出されてアラートされるには、フィルター基準を満たしている必要があります。 使用可能なフィルタリング オプションは、選択した LogSource タイプによって異なります。 フィルタが指定されていない場合は、デフォルトですべてのログ イベントが含まれます。 複数のフィルターを追加した場合は追加されます (AND 条件)。
除外する と 含める フィルタ セクションでは、次の手順を実行します。
- 選択する 除外フィルターを追加または インクルードフィルターの追加.
- 属性、フィルタリングする項目のタイプを追加します。オプションは LogSource のタイプによって異なります。 例: LogSource の Windows イベント ログ タイプの場合は「レベル」。
- ドロップダウンリストから 比較演算子属性のタイプに応じて、「Equal」または「RegexMatch」など。
- 加える 値、たとえば「警告」など、属性と比較演算子によって異なります。
- オプションを追加する コメント.
- 現在地に最も近い 投稿 アイコンをクリックしてフィルターを追加します。
着信ログ メッセージに含める重大度レベルを定義する場合、パイプ セパレータで指定された複数のレベルを含めることができます。 エラーには 1、警告には 2、情報には 3 などのレベル番号を使用することもできます。
例: エラーと警告のログ メッセージのみを含める場合は、属性「Level」、比較演算子「In」、値「1 | 2」を使用してフィルタを設定できます。 XNUMX」。
フィルタを定義するときに、次を選択できます テスト適用先 テストを実行して、意図したとおりにイベントがフィルタリングおよびキャプチャされることを確認します。 デバイスからすべてのメッセージを返すためにフィルタを定義する前にテスト機能を使用し、この情報を使用してパラメータ値を調整することもできます。
ログフィールド
オプションで、ログとともに送信される追加のメタデータを含めるようにログ フィールド (タグ) を構成できます。 LogicMonitor リソースのプロパティをログ メタデータとして追加することもできます。
ログフィールド セクションで、次の操作を行います。
- 選択する ログフィールドの追加.
- 方法、メタデータを収集するためのメソッドを追加します。オプションは LogSource のタイプによって異なります。 例: LogSource の Windows イベント ログ タイプの「Windows イベント属性」。
- 入力します キー、たとえば「ソース」。
- 加える 値、たとえば「ソース名」。
- オプションを追加する コメント.
- 現在地に最も近い 投稿 アイコンをクリックしてログフィールドを追加します。
例: メタデータ用に構成されたログ フィールド。
リソースマッピング
これは一部の LogSource タイプに必要であり、ログをマップする必要があるリソースに関する情報を提供します。 この設定では、コレクター デバイス マッピングに使用するリソース プロパティを定義します。 詳細については、を参照してください。 agent.confコレクター設定.
ポータル内の単一の設定を使用して、AND演算子の代わりにOR演算子を使用してリソースを識別およびマッピングできます。たとえば、システムは最初のキーに基づいてリソースを識別します。この場合は、 system.hostname IP メソッドに一致するリソースがない場合、 IP この方法では、リソースは2番目のキーを使用して識別されます system.hostname ホスト名 方法など。
OR演算子を使用してリソースを識別してマップするには、 ANDの代わりにORを使用する スイッチ。
この設定はデフォルトで有効になっています。
スイッチが無効になっている場合、すべてのリソースは AND 演算子を使用して識別され、マッピングされます。
有効にすると、 ドラッグして並べ替え 列では、リソースを識別するための好みに基づいて、リソース マッピングの順序を並べ替えることができます。
SyslogとSNMPトラップが エージェント.conf 設定(つまり、 lmlogs.syslog.enabled=true と lmlogs.snmptrap.enabled=true エージェントの.conf設定で、リソース属性は、以下のデフォルトのリソースマッピングシーケンスに基づいて、取り込まれたSyslogおよびSNMPトラップに追加されます。 OR 演算子。事前に設定されたデフォルトのリソース マッピングは、Syslog および SNMP トラップ タイプの LogSource に対してのみ LogSource 作成ページに表示されます。
リソースマッピング設定では、方法に関係なく、リソースを識別するときに重複キーを考慮します。たとえば、システムは最初のキーに基づいてリソースを識別します( system.hostname IP 方法)、キーと方法に一致するリソースがない場合、システムは2番目の重複キー( system.hostname ホスト名 テーブルに指定されたキーとメソッドを使用してすべてのリソースが一致するまで、この方法で識別が続行されます。
Note: リソース マッピングの優先順位付けは、LogicMonitor ポータルの LogSource 作成ページでリソース マッピングが利用できるすべてのタイプの LogSource に適用されます。
リソースマッピング セクションで、次の操作を行います。
- 選択する リソースマッピングの追加.
- 方法、「IP」などのマッピング方法を追加します。
- マッピングを追加する キー、たとえば「system.hostname」。
- を追加 値、選択した方法によって異なります。
- オプションを追加する コメント.
- 選択する 投稿リソース マッピングがテーブルに追加されます。
- トグル ANDの代わりにORを使用する スイッチ。 ザ・ ドラッグして並べ替え という欄が表示されます。
- リソースを識別するための好みに応じて、リソース マッピングの順序をドラッグして並べ替えます。
例: 次のリソース マッピングは、このコレクタ構成と同等です。
lmlogs.syslog.hostname.format=IPlmlogs.syslog.property.name=system.hostname
Note:
Portal バージョン 187 以降では、LogSource は Filter/LogFieldTag/ResourceMapping セクションに保存されている RE2 互換の正規表現パターンのみをサポートします。 既存の LogSource を更新するときにも同じ検証が適用されます。
EA Collector 34.100 以降のバージョンは、RE2J を使用した LogSource の処理をサポートします。 Collector は、Java 互換の有効な正規表現パターンを持つが RE2 と互換性のない既存の LogSource との下位互換性をサポートします。
ログソースの有効化
さまざまなセクションに情報を追加したら、 投稿 LogSource を有効にします (または既存の LogSource を更新します)。
ステップ 3. 優先コレクターの有効化
Note: この手順は、リソースを監視しているコレクターとは異なるコレクターにログが送信される場合にのみ必要です。 ログが同じ監視に送信される場合、優先ログ コレクターを構成する必要はありません。
以下では、リソースまたはリソース グループごとにログ コレクター グループと優先ログ コレクターを定義する方法について説明します。
警告: LogSource 構成はコレクター構成よりも優先されます。 たとえば、従来のログ収集方法を使用してログをコレクタ A リソースに送信するとします。 次に、そのリソースに適用する新しい LogSource を構成します。 この場合、LogSource 構成が適用されるため、リソース マッピングの競合が発生する可能性があります。
リソースでの有効化
- MFAデバイスに移動する その他 をクリックして、目的のリソースを選択します。
- リソースごとに、 プロパティを管理する アイコンを開く リソースの管理 ビュー。
- トグル LM ログを有効にする 上に。
- 希望するものを選択してください コレクターグループ (オプション) および推奨 ログコレクター (必須) ドロップダウンからフィールドに入力して、利用可能なオプションを表示します。
- 選択する 投稿.
- ログ収集を有効にするリソースごとに手順を繰り返します。
リソースグループでの有効化
Note: 優先ログ コレクター構成は、リソース グループ レベルでは保存されません。 つまり、初期構成後に新しいリソースがグループに追加された場合は、優先コレクターをリソース グループに再適用するか、新しいリソース自体に対してこれを手動で構成する必要があります。
- LogicMonitorで、次の場所に移動します その他 目的の静的リソース グループを選択します。
- 現在地に最も近い ログ タブ、次に選択 優先ログ コレクタの設定.
- 次のオプションのいずれかを選択します。
- すべてのグループメンバーのログコレクターを削除する – リソース グループからログ コレクターを削除する場合に選択します。デフォルトでは、このオプションが選択されています。
- リストからコレクターを選択 - 選択 コレクターグループ (オプション) と コレクタ (必須) ドロップダウンリストから選択します。
- 選択する 求人情報検索 構成を更新します。
タイプ固有の構成パラメータ
特定の種類の LogSource の構成パラメータについては、次を参照してください。