Syslog ログソース構成
最終更新日: 09 年 2023 月 XNUMX 日免責事項: LogSource LM LogicModule は現在オープン ベータ版です。
LogSource は、LM ログを有効にし、ログ データの収集と転送を構成するのに役立つテンプレートを提供する LogicModule です。 LogSource には、どのログを取得するか、どこで取得するか、およびどのフィールドを解析対象として考慮する必要があるかに関する詳細が含まれています。 LogSource は、ログ データの一般的なソースに使用できます。
Syslog ログソースの構成要件
Syslog LogSource タイプは、 LMコレクター。 LogSource で LM Collector を使用する場合、インフラストラクチャにインストールされている LM Collector のバージョンは EA 31.200 以降である必要があります。 コレクターをアップグレードする方法については、を参照してください。 コレクターの管理.
設定オプション
以下に、 Syslog ログソースのタイプ。 LogSource を追加する方法の一般的な情報については、を参照してください。 LogSource の構成.
注: 大量の Linux syslog メッセージが発生する場合、一部のメッセージがコレクターに到達しない可能性があります。 これを防ぐには、 rmem コレクタがインストールされている Linux インスタンスの値。 以下をせよ:
- Video Cloud Studioで /etc/sysctl.conf file
- 行を追加
net.core.rmem_max=15728640そしてファイルを保存します - 実行する
sysctl --systemcommand
基本情報
時間情報を含まない Syslog イベントがある場合は、 ログのタイムスタンプの代わりに受信時刻を使用する コレクタがログを受信したときのタイムスタンプを使用します。
重要: Collector とデバイスが XNUMX 時間以上オフになっている場合、ログは無視されます。 [ログのタイムスタンプの代わりに受信時刻を使用する] 設定により、コレクタとデバイスの間のタイミングの問題が軽減されます。
フィルタを含める
フィルタを追加して、アプリケーションなどの特定のタイプのリソースを含めることができます。 フィルター条件に一致する出力は、ログ取り込みプロセスに転送されます。
利用可能なパラメータ
| Attributes | 比較演算子 | 値の例 | 説明 |
| 申し込み | 等しい、等しくない、含む、含まない、存在する、存在しない、RegexMatch、RegexNotMatch。 | また, 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
| 施設 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist、GreaterThan、GreaterEqual、LessThan、LessEqual。 | 「カーネル メッセージ」、「システム デーモン」、「ログ アラート」などの事前定義されたオプションが利用可能です。 | また, 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 |
| お問い合わせ内容 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | また, 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
| 重大度 | Equal、MoreUrgentThan。 | 緊急、アラート、クリティカル、警告、通知、情報、デバッグ。 |
ログフィールド
ログフィールド (タグ) を構成して、ログとともに追加のメタデータを送信できます。
利用可能なパラメータ
| 方法 | 主な例 | 値の例 | 説明 |
| 静的 | "お客様" | 「顧客_XYZ」 | |
| ダイナミック(REGEX) | "ホスト" | 「ホスト=*」 | クエリはメッセージ フィールドで実行されます。 |
| LM プロパティ(トークン) | "端末" | 「##system.deviceId##」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID 値。 |
| シスログ属性 | アプリケーション、ファシリティ、重大度。 |
リソースマッピング
監視対象リソースと一致するように LM ログ プロパティを構成します。
利用可能なパラメータ
| 方法 | 主な例 | 値の例 | 説明 |
| 静的 | "顧客ID" | "1921" | |
| IP | 「システム.ips」 | "10.20.30.40" | syslog ホスト フィールド情報を使用して、IP に解決します (たとえば、「10.20.30.40」)。 の 値 この方法を選択すると、フィールドは無効になり、 キー. |
| FQDN | 「システム.ホスト名」 | 「application.service.example.com」 | syslog メッセージまたはソケット アドレスから受信したホスト名の DNS 解決による完全修飾ドメイン名。 |
| ホスト名 | 「システム.ホスト名」 | 「host1.example.com」 | また, 値 この方法を選択すると、フィールドは無効になり、 キー. |
| DNS なしのホスト | 「システム.ホスト名」 | 「ホスト1」 | また, 値 この方法を選択すると、フィールドは無効になり、 キー. |
| ダイナミック(REGEX) | 「システム.サービス名」 | 「サービス=*」 | クエリはメッセージ フィールドで実行されます。 |
| LM プロパティ(トークン) | 「token.resourceMap」 | 「syslog_test_collector」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。 |
例
一般的なセットアップ
基本情報
- お名前: Syslog
- 説明: 監視対象の syslog からのデータのデータ収集テンプレート。
- に適用されます (カスタム クエリ): /*isLinux() || isNetwork()*/
- : LM ログ: Syslog
- グループ: シスログ
リソースマッピング
| 方法 | キー | 値 |
| Next | デバイス | ## system.hostname ## |
リソースマッピング
以下は、を使用したリソース マッピングの例です。 LM プロパティ (トークン) 方法。 LM ポータルで監視対象デバイスの XNUMX つにマップするプロパティを提供するとします。 LM プロパティのキーは「token.resourceMap」で、値は「syslog_test_collector」です。
LogSource がデバイスに適用されると、LM_property を「token.resourceMap」、ソースを「LM Property」、解析メソッドを「Token」、値を「##」で始まるものとしてリソース マッピングが行われます。 ##token.resourceMap##」.
コレクターはフィードから hostEntry を受信し、##token.resourceMap## を、その特定のホストの LM_property「token.resourceMap」に対して受信した値 (「syslog_test_collector」など) に置き換えます。
ログ ソースが適用されるリソースが複数ある場合、LM_property の値は一意である必要があります。 そうしないと、同じマッピングを持つ複数のリソースが存在するため、Ingest API はそれをリソースにマッピングしません。
次の画像は、例「syslog_test_collector」のリソース情報からのものです。
次の画像は、例「syslog_test_collector」の LogSource のリソース マッピングからのものです。
この LogSource のコレクター側のリソース マッピングは次のとおりです。
'{"metadata":{"logSource_id":"2249","logsource_name":"syslog_test_token"},"Severity":"3: Error","Host":"localhost","epochWhenAddedInQueue":1633501246808,"Facility":"1: user-level messages","message":"<11>Just a message with metadata test_md1 !!\u0000","_lm.resourceId":{"token.resourceMap":"syslog_test_collector"},"timestamp":1633501246808,"_lm.collectorId":"48"}', raw:'<11>Example message with metadata test_md1 !!'