LogicMonitor が Catchpoint を買収し、LM Envision にインターネットとデジタル エクスペリエンスの洞察を追加しました。

続きを読む
Platform
解決策
業種
職種
結果はありません。

LMコレクターを使用したSyslogログの取り込み

最終更新日 - 11年2025月XNUMX日

お断り: Collector設定ファイルの変更は、従来のSyslogログ取り込み方法の一つですが、Collectorバージョン35.200以前でのみ使用してください。新規ユーザーまたは新規設定の場合は、LogSourceによるSyslogログ取り込みを推奨します。詳細については、以下をご覧ください。 Syslog ログソース構成.

LM Collector の設定ファイルを変更することで、Syslog ログを取り込むことができます。この従来の方法では、以下のことが可能になります。

  • 日付とタイムスタンプの解析— 形式に関係なく、受信した syslog メッセージの日付とタイムスタンプを解釈します。
  • リソースマッピングを構成する— 事前定義されたルールまたは構成に基づいて、受信した syslog ログを特定のカテゴリにマップします。

手動 Syslog ログ取り込みのリソース マッピング

Collector が Syslog ログを受信すると、ログは既存の監視対象リソースにマッピングされ、その後ログ取り込み API に転送されます。ログが LM 監視対象リソースにマッピングできない場合でも、「_resource.id=0」でログを表示および検索できます。

注意: LogSourceをSyslogログの取り込みに使用する主な利点の一つは、リソースマッピングが合理化されており、ログ分類プロセスを簡素化できることです。詳細については、以下をご覧ください。 Syslog ログソース構成.

次の表は、デバイスマッピングで編集できるプロパティの一覧です。 agent.conf コレクターから送信された syslog ログのファイル:

プロパティ 詳細説明 デフォルト
lmlogs.syslog.property.nameデバイス マッピングに使用するリソース プロパティ。システムのホスト名
lmlogs.syslog.hostname.formatlmlogs.syslog.property.name で指定されたリソースプロパティの想定される形式。可能な値は IP、FQDN、HOSTNAME です。

IP、HOSTNAME、または FQDN に設定すると、syslog メッセージは DNS クエリを実行して解決されます。 		IP
lmlogs.syslog.UseHostNameFromMessagesメッセージからホスト名を使用するプロパティ。false
lmlogs.syslog.UseSocketAddressIfhostNameisInvalidホスト名が有効でない場合は、デバイス マッピングにソケット アドレスを使用できます。true
lmlogs.logsource.syslog.unmapped.resourceリソース マッピングが失敗した場合は、バックアップ リソースを使用してログを関連付けることができます。

コレクターごとにXNUMXつのバックアップリソースを定義でき、何らかの理由でそのリソースにマップできないすべてのログは、このバックアップリソースにマップされます。

グローバルバックアップリソースを構成する場合、次のような任意のリソースプロパティを選択できます。 system.displayname その後にコロンと LogicMonitor プロパティの値が続きます。
たとえば、「collector_syslog」をバックアップリソースとして設定するには、次のようにします。

lmlogs.logsource.syslog.unmapped.resource=system.displayname:collector_syslog		無し

の値が system.hostname 監視対象のリソースがSyslogイベントで報告されたIPと一致しない場合、これらのデフォルト設定は機能せず、デバイスマッピングは失敗します。 この場合、変更する必要があります lmlogs.syslog.property.name の値に一致するプロパティに lmlogs.syslog.hostname.format 設定。

これらの値に一致する既存のLogicMonitorプロパティがない場合は、PropertySourceを作成して環境全体に属性を追加するか、手動でプロパティを設定することができます。詳細については、 PropertySourcesの作成.

注意: CiscoデバイスからSyslogログを転送する場合、LM CollectorはIPアドレスまたはホスト名が利用できない場合、ソケットアドレスの使用を試みます。この動作が機能するには、ログを受信するCollectorが、ログを送信するCiscoデバイスを監視している必要があります。

Syslog ログを手動で取り込むための要件

LM Collector を手動で構成して syslog ログを取り込むには、次のものが必要です。

  • LMコレクター—Syslog ログの取り込みには、マシンに Collector がインストールされている必要があります。
  • ポート514(UDP)—コレクターをホストするマシンとファイアウォールの両方でオープンかつアクセス可能である必要があります。このため、SyslogのUDPを無効にする必要がある場合があります。

LM コレクターを手動で構成して Syslog ログを取り込む

v35.200以前からアップグレードしたコレクターをインストールし、ログを収集したことがない場合は、 agent.conf LM ログとコレクターが syslog を取り込めるようにするには、ファイルを編集する必要があります。

推奨事項: パフォーマンスとセキュリティの向上を活かすために、常に最新のCollectorバージョンを使用してください。詳細については、 コレクターバージョン.

  1. LogicMonitorで、次の場所に移動します 設定 > コレクター.
  2. を選択 コレクター タブを選択 コレクターグループ あなたは構成したいと思う。  
  3. 選択する  コレクターの横にある コレクター構成.
    ソフトウェア設定ページで、下図のように コレクター構成 ページの下の設定 エージェント構成 タブが表示されます。
  4. 次のプロパティのコメントを解除し、値を true に設定します。
    # Enable LM Logs
    lmlogs.syslog.enabled=true

    # Enable the Collector to ingest syslogs
    eventcollector.syslog.enable=true
    プロパティが存在しない場合は追加できます。
  5. 現在存在しないフィルターまたはプロパティを追加する場合は、 agent.conf ファイルに、上記のフィルターとリソース マッピング テーブルからパラメーターを追加します。 
  6. 選択する 保存して再起動します コレクタを再起動して変更を適用します。

14日間フルアクセス LogicMonitor プラットフォーム