Syslog ログ取り込みのトラブルシューティング

コレクターで Syslog ログ転送が有効になっているにもかかわらず、ログ ページにログが表示されない場合は、次の手順を実行して問題をトラブルシューティングできます。

コレクター使用時のログ取り込みの問題

コレクターの設定に問題がある可能性があり、ログの欠落や遅延、マッピングされていない（デバイスレスな）ログ、あるいはログメッセージが不完全または不完全な状態になることがあります。一般的な例としては、以下のようなものがあります。

• LMログタブには、予想される時間枠のログエントリがゼロと表示されます。
• 追跡されたクエリまたはログボリュームダッシュボードがゼロに減少
• LMログに部分的なログメッセージが表示される
• ログは収集されますが、次のように表示されます 「マップされていない　 または「デバイスレス」ログ
• 摂取が滞ったり不規則になったりする
• コレクターのメトリクスにCPU/メモリまたはログ取り込みバックログの高負荷が表示されている
• ログの解析に失敗するか、ログフィールドの抽出に失敗する
• 解析されたフィールド内の予期しない値またはNULL値 event.code, hostname等
• ログは実際のイベント時間の数分後に届きます

トラブルシューティングを行うには、フィルタ、マッピングエラー、タイムゾーン、コレクタのバージョンとサイズ、LMログのグラフとメトリクス、 wrapper.log ファイル、および LM ログが有効になっているかどうか。

コレクターで LM ログが有効になっていることを確認する

従来の方法でsyslog取り込みを設定する場合は、 agent.conf 特定のコレクターのファイルを確認するには、 agent.conf ファイルに含まれています lmlogs.syslog.enabled=true そして、 lmlogs.syslog.property.name および lmlogs.syslog.hostname.format マッチ。 lmlogs.syslog.property.name パラメータはLogicMonitorの任意のプロパティに設定できます。デフォルトのパラメータは system.hostname、しかし、 system.sysname or system.displayname 命名とデバイス構成が一致していない場合。

レビューするには agent.conf ファイル、参照 コレクター構成プロファイルの編集.

フィルターの確認

従来の方法でsyslog取り込みを設定する場合は、 agent.conf 特定のコレクターのファイルで、適用したフィルタによって表示したいログが除外されていないことを確認してください。Syslogログフィルタを確認するには、 マイ モジュール ツールボックス、syslogを取り込んでいるモジュールを選択し、 フィルタ タブ。フィルターの詳細については、 ログを削除するためのフィルターの構成. 

マッピングエラーの確認

syslog LogSourceを使用してsyslogログを取り込む場合は、 リソースマッピング.

Collector ファイルを変更して syslog ログを取り込む場合は、次の手順を実行します。

• 以下のスクリーンショットに示すように、ジョブタイプを lmlogs.syslog.property.name および lmlogs.syslog.hostname.format Syslog イベントからの情報が LogicMonitor プロパティ値にマッピングされるようにするパラメータ。
• インサート lmlogs.syslog.hostname.format=DO_NOTHING に agent.conf ホスト名が既に解決されている場合にDNSをバイパスするためのファイル。これはデフォルトでは設定ファイルに記載されていません。
• 一部のリソースタイプでは、syslogメタデータにホスト名が渡されませんが、ホスト名はメッセージフィールドに含まれています。 lmlogs.syslog.UseHostNameFromMessages=true に agent.conf ファイルを使用して、メッセージのホスト名を使用します。
• ホスト名が有効でない場合、LogicMonitorはデフォルトでソケットアドレスをデバイスマッピングに使用します。 lmlogs.syslog.UseSocketAddressIfhostNameisInvalid=true の中に agent.conf ファイルにソフトウェアを指定する必要があります。 

タイムゾーンの確認

LMログは、コレクターのタイムゾーンと3時間以上異なるタイムゾーンで記録されたログを受け入れません。この問題を回避するには、次のいずれかの方法で、タイムスタンプをコレクターがログイベントを受信した時刻に設定してください。

• syslog LogSourceを使用してsyslogログを取り込んでいる場合は、 ログスタンプの代わりに受信時刻を使用する LogSource 構成のスイッチ。
• コレクター設定ファイルを変更してsyslogログを取り込む場合は、以下を挿入します。 lmlogs.syslog.useTimestampWhenCollectorReceivedLogs=true に agent.conf ファイルにソフトウェアを指定する必要があります。

コレクターのバージョンとサイズの確認

コレクターが処理できるデータ量、負荷、容量を確認してください。詳細については、 コレクター容量。 必要に応じて、他のリソースを管理していないスタンドアロンの LM ログ コレクターを実装します。

コレクターLMログのグラフとメトリックを確認する

LogicMonitorで、 その他情報 ページでログを転送するコレクターを特定します。 コレクターリソース > コレクターデータソースグループ > コレクターLMログデータソース。

• コレクターデータソースからのキューが増大している場合は、サイズを調整します。 lmlogs.thread.count.for.ingest.api.communication=10 会場は agent.conf ファイル。サイズをさらに大きくする前に、デフォルトのサイズである 10 を 2 倍にしてグラフで結果を確認することをお勧めします。
• 受信イベントの数、ドロップされたログ、マッピング エラー、フィルターによって無視されたイベントなどの他のグラフを確認することもできます。

のレビュー wrapper.log デバッグログを使用するファイル

コレクターのログレベルを調整して デバッグ を確認します wrapper.log ファイルにソフトウェアを指定する必要があります。

1. LogicMonitorで、次の場所に移動します 設定>コレクター>ログ>管理ログレベルを設定する eventcollector.syslog コンポーネントに デバッグ（デフォルトのログレベルは インフォ.)
2. In マネージャーコレクター、 サポート ドロップダウンして選択します ログの送信先 LogicMonitor確認する wrapper.log のファイル 歳入録 指定されたコレクターのタブ。
3. In コレクターの管理、 サポート ドロップダウンして選択します デバッグコマンドを実行する.
4. 最後の500行を表示するには、次のように入力します。 wrapper.log ファイル：  !tail ..\logs\wrapper.log 500 syslog.

Windows コレクターの Syslog ログに関する UDP ポート 514 とファイアウォールの問題

受信ファイアウォール ルールにより、syslog ログがポート 514 でリッスンするコレクターに到達しない可能性があります。Windows ファイアウォール、セキュリティ ソフトウェア、およびポート 514 でリッスンするその他のプロセスを確認することで、ログがコレクターに到達していないかどうかを確認できます。

Windowsファイアウォールが有効になっているかどうかを確認する

PowerShell で次のコマンドを実行して、Windows ファイアウォールが有効になっているかどうかを確認します。

$firewallStatus = Get-NetFirewallProfile | Select-Object -ExpandProperty Enabled; if($firewallStatus -eq "True") { Write-Host "Windows Firewall is Enabled" } else { Write-Host "Windows Firewall is Disabled" }

• Windows ファイアウォールが有効になっている場合は、リモート ホストからの syslog ログが Windows マシンに到達できるように受信ファイアウォール ルールが追加されているかどうかを確認します。
• 受信ルールが追加されていない場合は、それぞれのリモート ホストに追加します。

あるいは、トラブルシューティングのために Windows ファイアウォールを一時的に無効にすることもできます。

セキュリティソフトウェアが実行中かどうかを確認する

Windows マシンで、ポート 514 の着信トラフィックを拒否するように設定されたセキュリティ ソフトウェアまたはウイルス対策ソフトウェアが実行されている可能性があります。PowerShell で、次のコマンドを使用して、Windows マシン上のすべてのプロセスを確認します。

Get-Process | Select-Object Name

出力には、Windowsマシンで実行されているプロセスの名前が表示されます。セキュリティソフトウェアまたはウイルス対策ソフトウェアが実行中の場合は、対象のIPアドレスからのポート514へのトラフィックを許可するように設定できます。

次のいずれかの一般的な方法を使用してコレクター ホストからパケット キャプチャを実行することにより、syslog メッセージがコレクターに到達しているかどうかを確認できます。

• Windows Collectorでは、ネットワークトラフィックをリアルタイムでキャプチャして分析できるグラフィカルネットワークプロトコルアナライザーであるWiresharkを使用できます。詳細については、 ライブネットワークデータのキャプチャ Wireshark から。
• Linuxコレクターでは、ネットワークトラフィックをリアルタイムでキャプチャして表示するコマンドラインパケットアナライザーであるtcpdumpを使用できます。詳細については、 Linux コマンドラインでの tcpdump の使い方の紹介 Red Hat から。

別のプロセスがポート514でリッスンしているかどうかを確認する

ポートがすでに別のアプリケーションまたはサービスによって使用されている場合、Windows および Linux コレクターはポート 514 にアクセスできません。

Windows コレクターを使用している場合は、PowerShell で次のコマンドを実行して、ポート 514 で syslog にアクセスしているプロセス ID を確認します。

netstat -ano | findstr 514

Linuxコレクターを使用している場合、ターミナルでプロセスを確認するコマンドは、既にインストールされているパッケージによって異なります。NetToolsがインストールされていない場合は、次のコマンドを使用してください。

sudo ss -tulnp | grep ':514'

NetTools がインストールされている場合は、次のコマンドを使用します。

sudo netstat -tulnp | grep ':514'

別のアプリケーションまたはサービスがある場合は、そのプロセスを停止し、コレクターを再起動します。