Syslog ログソース構成
最終更新日: 26 年 2024 月 XNUMX 日免責事項: LogSource LM LogicModule は現在オープン ベータ版です。
LogSource は、LM ログを有効にし、ログ データの収集と転送を構成するのに役立つテンプレートを提供する LogicModule です。 LogSource には、どのログを取得するか、どこで取得するか、およびどのフィールドを解析対象として考慮する必要があるかに関する詳細が含まれています。 LogSource は、ログ データの一般的なソースに使用できます。
Syslog ログソースの構成要件
Syslog LogSource タイプは、 LMコレクター。 LogSource で LM Collector を使用する場合、インフラストラクチャにインストールされている LM Collector のバージョンは EA 31.200 以降である必要があります。 コレクターをアップグレードする方法については、を参照してください。 コレクターの管理.
設定オプション
以下に、 Syslog ログソースのタイプ。 LogSource を追加する方法の一般的な情報については、を参照してください。 LogSource の構成.
注: 大量の Linux syslog メッセージが発生する場合、一部のメッセージがコレクターに到達しない可能性があります。 これを防ぐには、 rmem
コレクタがインストールされている Linux インスタンスの値。 以下をせよ:
- Video Cloud Studioで /etc/sysctl.conf file
- 行を追加
net.core.rmem_max=15728640
そしてファイルを保存します - 実行する
sysctl --system
command
基本情報
時間情報を含まない Syslog イベントがある場合は、 ログのタイムスタンプの代わりに受信時刻を使用する コレクタがログを受信したときのタイムスタンプを使用します。
重要: Collector とデバイスが XNUMX 時間以上オフになっている場合、ログは無視されます。 [ログのタイムスタンプの代わりに受信時刻を使用する] 設定により、コレクタとデバイスの間のタイミングの問題が軽減されます。
コレクタに LogSource を適用する
コレクター バージョン EA-35.200 では、 コレクターに LogSource を適用する オプション。 ザ· に適用されます LogSource をデバイスに適用するオプションも利用できます。ただし、EA-35.200 より前のバージョンのコレクターを使用している場合は、 に適用されます LogSource をデバイスに適用します。
LogSource をコレクタに適用すると、次のシナリオで役立ちます。
- Syslog をコレクタに転送しているデバイスは、コレクタによって監視されません。
- Syslog をコレクタに転送しているデバイスは、LogicMonitor ではまったく監視されません。
コレクタでの LogSource の適用
LogSource をコレクターに適用するには:
- LogSource の作成中に、 インフォ タブ、トグル コレクタに LogSource を適用する スイッチ。
- コレクターのマッピング選択 コレクターの追加.
注:
- 選択したとき コレクターに LogSource を適用する トグル、 に適用されます フィールドが使用できなくなります。両方のオプションを同時に使用することはできません。
- [コレクター マッピング] フィールドには、最小バージョンが EA-35.200 である自己監視コレクターのみが表示されます。
- 自己監視コレクタには、Syslog タイプの LogSource を 1 つだけ適用できます。
- Syslog を受信するコレクタによってデバイスが監視されている場合、デバイスに適用される LogSource がコレクタに適用される LogSource よりも優先されます。詳細については、「Syslog 処理設定」を参照してください。
Syslog 処理の設定
LogSource をコレクタに適用すると、コレクタは次の方法で Syslog を処理できます。
- コレクターが受信した Syslog イベントを取り込むことが要件の場合は、コレクターの Agent.conf プロパティ「lmlogs.syslog.enabled」を有効にできます。このプロパティは、オンにすることによっても有効にすることができます。 Syslog と SNMP のログ収集を有効にする トラップ オプション コレクターを追加 ページ。このプロパティを有効にすると、コレクターはフィルターやリソース マッピングなどのカスタマイズを行わずに、すべての Syslog イベントを取り込みます。
- 一部の Syslog イベントのフィルタリングやリソース マッピングの別のメソッドの追加など、カスタマイズを追加する必要がある場合は、LogSource を作成し、Syslog 受信コレクタに適用できます。 ログソースを適用します コレクタ LogSource のオプション。
- 特定の LogSource 定義を使用してデバイスからの Syslog イベントを処理することが要件の場合、Syslog イベントをコレクタに転送するデバイスに通常の LogSource を適用できます。
デバイスに適用される通常の LogSource は、syslog を処理するコレクタに適用される LogSource よりも優先されます。
コレクタに適用される LogSource は、syslog を処理するためにコレクタのagent.conf プロパティ「lmlogs.syslog.enabled」よりも優先されます。
次のシナリオは、syslog を受信するコレクターによる syslog 処理の優先設定を理解するために参照できます。
<span class="notranslate">シナリオ</span> | デバイスはコレクターによって監視されていますか* | デバイスに適用される通常の LogSource です | コレクターに適用される LogSource です | コレクターのagent.confプロパティです lmlogs.syslog.enabled trueに設定 | 結果 |
1 | 有り | 有り | 任意 (はい/いいえ) | 任意 (はい/いいえ) | Syslog は、Syslog を転送するデバイスに適用される通常の LogSource を使用して処理されます。 |
2 | 有り | いいえ | 有り | 任意 (はい/いいえ) | Syslog は、Syslog を受信するコレクターに適用される LogSource を使用して処理されます。 |
3 | いいえ | 任意 (はい/いいえ) | 有り | 任意 (はい/いいえ) | Syslog は、Syslog を受信するコレクターに適用される LogSource を使用して処理されます。 |
4 | いいえ | 任意 (はい/いいえ) | いいえ | 有り | Syslog は、Syslog を受信するコレクターの Agent.conf プロパティ (「lmlogs.syslog.enabled」) を使用して処理されます。 |
*次の場合、デバイスはコレクターによって監視されていると言われます。
- コレクターは次のように割り当てられます。 優先コレクター on リソースの管理 ページ
- または - - コレクタは、次を使用してログ コレクタとして割り当てられます。 LM ログ コレクターの設定 オプションオン リソースの管理 ページ
フィルタを含める
フィルタを追加して、アプリケーションなどの特定のタイプのリソースを含めることができます。 フィルター条件に一致する出力は、ログ取り込みプロセスに転送されます。
利用可能なパラメータ
Attributes | 比較演算子 | 値の例 | 説明 |
申し込み | 等しい、等しくない、含む、含まない、存在する、存在しない、RegexMatch、RegexNotMatch。 | 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
施設 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist、GreaterThan、GreaterEqual、LessThan、LessEqual。 | 「カーネル メッセージ」、「システム デーモン」、「ログ アラート」などの事前定義されたオプションが利用可能です。 | 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 |
メッセージ | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | 値 「存在する」または「存在しない」を選択すると、フィールドは無効になります。 | |
重大度 | Equal、MoreUrgentThan。 | 緊急、アラート、クリティカル、警告、通知、情報、デバッグ。 |
ログフィールド
ログフィールド (タグ) を構成して、ログとともに追加のメタデータを送信できます。
利用可能なパラメータ
方法 | 主な例 | 値の例 | 説明 |
静的 | "お客様" | 「顧客_XYZ」 | |
ダイナミック(REGEX) | "ホスト" | 「ホスト=*」 | クエリはメッセージ フィールドで実行されます。 |
LM プロパティ(トークン) | "端末" | 「##system.deviceId##」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID 値。 |
シスログ属性 | アプリケーション、ファシリティ、重大度。 | ||
動的グループ正規表現 | 「スキーム、ログイン」 | 「(https*):\/\/([]az]+)」 | クエリはメッセージ フィールドに対して実行され、正規表現から最初のグループ値を取得します。動的グループ正規表現のキーはカンマ区切りのリストとして追加でき、値は同じ数のグループから読み取られます。 この表に示されているキーと値の例では、正規表現によりキーと値のメタデータ、つまりスキームとログインが生成されます。例えば: スキーム=https ログイン= Note注:ログ フィールドの動的グループ正規表現メソッドは、LM コレクター バージョン 34.200 以降で使用できます。 |
リソースマッピング
監視対象リソースと一致するように LM ログ プロパティを構成します。
利用可能なパラメータ
方法 | 主な例 | 値の例 | 説明 |
静的 | "顧客ID" | "1921" | |
IP | 「システム.ips」 | "10.20.30.40" | syslog ホスト フィールド情報を使用して、IP に解決します (たとえば、「10.20.30.40」)。 の 値 この方法を選択すると、フィールドは無効になり、 キー. |
FQDN | 「システム.ホスト名」 | 「application.service.example.com」 | syslog メッセージまたはソケット アドレスから受信したホスト名の DNS 解決による完全修飾ドメイン名。 |
ホスト名 | 「システム.ホスト名」 | 「host1.example.com」 | 値 この方法を選択すると、フィールドは無効になり、 キー. |
DNS なしのホスト | 「システム.ホスト名」 | 「ホスト1」 | 値 この方法を選択すると、フィールドは無効になり、 キー. |
ダイナミック(REGEX) | 「システム.サービス名」 | 「サービス=*」 | クエリはメッセージ フィールドで実行されます。 |
LM プロパティ(トークン) | 「token.resourceMap」 | 「syslog_test_collector」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。 |
動的グループ正規表現 | 「スキーム、ログイン」 | 「(https*):\/\/([]az]+)」 | クエリはメッセージ フィールドに対して実行され、正規表現から最初のグループ値を取得します。動的グループ正規表現のキーはカンマ区切りのリストとして追加でき、値は同じ数のグループから読み取られます。 この表に示されているキーと値の例では、正規表現によりキーと値のメタデータ、つまりスキームとログインが生成されます。例えば: スキーム=https ログイン= Note: リソース マッピングの動的正規表現グループ メソッドは、LM コレクター バージョン 35.200 以降で使用できます。 |
例
一般的なセットアップ
基本情報
- お名前: Syslog
- 説明: 監視対象の syslog からのデータのデータ収集テンプレート。
- に適用されます (カスタム クエリ): /*isLinux() || isNetwork()*/
- タイプ: LM ログ: Syslog
- グループ: シスログ
リソースマッピング
方法 | キー | 値 |
Next | デバイス | ## system.hostname ## |
リソースマッピング
以下は、を使用したリソース マッピングの例です。 LM プロパティ (トークン) 方法。 LM ポータルで監視対象デバイスの XNUMX つにマップするプロパティを提供するとします。 LM プロパティのキーは「token.resourceMap」で、値は「syslog_test_collector」です。
LogSource がデバイスに適用されると、LM_property を「token.resourceMap」、ソースを「LM Property」、解析メソッドを「Token」、値を「##」で始まるものとしてリソース マッピングが行われます。 ##token.resourceMap##」.
コレクターはフィードから hostEntry を受信し、##token.resourceMap## を、その特定のホストの LM_property「token.resourceMap」に対して受信した値 (「syslog_test_collector」など) に置き換えます。
ログ ソースが適用されるリソースが複数ある場合、LM_property の値は一意である必要があります。 そうしないと、同じマッピングを持つ複数のリソースが存在するため、Ingest API はそれをリソースにマッピングしません。
次の画像は、例「syslog_test_collector」のリソース情報からのものです。
次の画像は、例「syslog_test_collector」の LogSource のリソース マッピングからのものです。
この LogSource のコレクター側のリソース マッピングは次のとおりです。
'{"metadata":{"logSource_id":"2249","logsource_name":"syslog_test_token"},"Severity":"3: Error","Host":"localhost","epochWhenAddedInQueue":1633501246808,"Facility":"1: user-level messages","message":"<11>Just a message with metadata test_md1 !!\u0000","_lm.resourceId":{"token.resourceMap":"syslog_test_collector"},"timestamp":1633501246808,"_lm.collectorId":"48"}', raw:'<11>Example message with metadata test_md1 !!'