Syslog ログ取り込みの概要
最終更新日 - 14年2020月XNUMX日
Syslog(syslog、rsyslog、syslog-ngなど)は、エンタープライズ環境における一般的なログデータソースです。Syslogデータはインフラストラクチャ内のデバイスから生成され、ターゲットIPアドレスに転送されます。LMログを使用する場合、このターゲットIPアドレスがLMコレクターとなります。Syslogログを受信するLMコレクターは、リソースを監視しているLMコレクターと同じである必要はありません。
注意: LM Logs は、Linux ディストリビューションに関係なく、rSyslog の syslog 取り込みをサポートします。
Syslog ログは、次の 2 つの方法のいずれかで取り込むことができます。
- デフォルトのLogSourceを使用する—LogSourceは、SyslogをLM Logsに送信する主な方法です。LogSourceを使用すると、ログフィルタリング、カスタムメタデータのタグ付け、信頼性の高いリソースマッピングが可能になります。詳細については、以下をご覧ください。 ログソースの概要.
すべてのLM Collectorには、Syslog取り込み用のデフォルトのLogSourceがあらかじめ設定されています。デフォルトのLogSourceには、取り込み時に自動的に解析されるリソースマッピングとログフィールドの設定グループが含まれています。これらの設定は、より効率的なユーザーエクスペリエンスを実現するために、すぐに使用できる状態で提供されています。リソースマッピングとログフィールドの設定の詳細については、以下を参照してください。 Syslog ログソース構成. - LM Collector への LogSource の適用—LogSourceをLM Collectorに適用することで、Syslogを取り込むこともできます。これにより、リソースに関係なく、LM Collectorに送信されるすべてのSyslogにLogSourceの設定が適用されます。
要件
- LMコレクターのインストール—Syslogログは LMコレクター.
推奨事項: Syslog の取り込みに専用の LM Collector を使用して、大容量環境でのパフォーマンスを最適化し、セキュリティを強化します。
注意: コレクターは、UDP と TCP の両方の syslog を受信できる任意のオペレーティング システムで syslog ログを取り込むことができます。
- ポート514(UDP) — コレクターをホストするマシンとファイアウォールの両方で、ポート514(UDP)が開いていてアクセス可能である必要があります。rsyslogのUDPを無効にする必要がある場合があります。
トラブルシューティング
コレクタで syslog ログ転送を有効にしているにもかかわらず、ログが [ログ] ページに表示されない場合は、次のチェックを実行して問題をトラブルシューティングできます。
コレクター構成
注意: コレクター構成の変更はコレクターで普遍的であり、そのコレクターにログを送信するすべてのデバイスに影響を与える可能性があります。 フラグを変更すると、XNUMXつのデバイスが修正される場合がありますが、他のデバイスに影響を与える可能性があります。 これは通常、すべてのsyslogデバイスの問題を解決するために実行する必要がある変更の組み合わせです。
Collector の構成ファイル (agent.conf) で次のことを確認します。
1. LMログは有効になっていますか?
lmlogs.syslog.enabled=true であること、および lmlogs.syslog.property.name と lmlogs.syslog.hostname.format の値が一致していることを確認してください。
lmlogs.syslog.property.nameは、LogicMonitorの任意のプロパティに設定できます。 デフォルトはsystem.hostnameですが、名前とデバイス構成に一貫性がない場合は、system.sysnameまたはdisplaynameも役立ちます。
2.表示されると予想されるログを除外する原因となる可能性のあるフィルターが定義されていますか?
3. マッピングエラーはありましたか?
コレクターイベントをチェックして、マッピングエラーを特定します。
- lmlogs.syslog.property.nameとlmlogs.syslog.hostname.formatを適切に変更して、syslogイベントからの正しい情報がLogicMonitorプロパティ値に対してマップされていることを確認します。
- ホスト名がすでに解決されている場合は、lmlogs.syslog.hostname.format = DO_NOTHINGを使用してDNSをバイパスします。 これは、デフォルトでは構成ファイルにリストされていません。
- 一部のリソースタイプは、syslogメタデータとともにホスト名を渡しませんが、ホスト名はメッセージフィールドにあります。 メッセージのホスト名を使用するには、lmlogs.syslog.UseHostNameFromMessages = trueを設定します。
- ホスト名が有効でない場合、LogicMonitorはデフォルトでデバイスマッピングにソケットアドレスを使用します。 lmlogs.syslog.UseSocketAddressIfhostNameisInvalid = trueであることを確認してください。
4.ログはコレクターから3時間以上のタイムゾーンにありますか?
LMログは、現在から3時間以上経過したログを受け入れません。 この問題を回避するには、タイムスタンプをlmlogs.syslog.useTimestampWhenCollectorReceivedLogs = trueでコレクターがログイベントを受信する時間に設定できます。
5.コレクターのバージョンとサイズを確認します。
Job Status ページの下部にある Syslogデプロイメントのコレクター容量。 必要に応じて、他のリソースを管理していないスタンドアロンのLM LogsCollectorを実装します。
6.コレクターイベントを確認します。
[コレクターの管理]で、[サポート]ドロップダウンを展開し、[ コレクターイベント。 マッピングエラーを確認し、キーワードを使用して検索できます。
7.コレクターLMログのグラフとメトリックを確認します。
[コレクターリソース]> [コレクターデータソースグループ]> [コレクターデータソースグループ]を展開します コレクターLMログデータソース。
- キューイングの問題が発生していて、デバッグログにもキューサイズの増加が示されている場合は、lmlogs.thread.count.for.ingest.api.communication = 10のサイズを調整します。 サイズをさらに大きくする前に、デフォルトのサイズ(10)をXNUMX倍にして、結果をグラフで表示することをお勧めします。
- その他のグラフには、着信イベントの数、ドロップされたログ、マッピングエラー、フィルターのために無視されたイベントなどが含まれます。
デバッグログ
1. Collectorのログレベルを調整して、wrapper.logをデバッグおよび確認します。
- In 設定>コレクター>ログ>管理で、eventcollector.syslog コンポーネントのログ レベルを debug。 (デフォルトはinfoです。)
- In マネージャーコレクター、 サポート ドロップダウンを選択し、「ログをLogicMonitorに送信」を選択します。 次に、特定のコレクターの[ログ]タブでwrapper.logファイルを確認します。
注意: トラブルシューティングが完了したら、ログ レベルを info に戻すことを忘れないでください。
2.ライブテールラッパーログ。
- In コレクターの管理、 サポート ドロップダウンを選択し、「デバッグコマンドの実行」を選択します。
- 次のように入力して、wrapper.logの最後の500行を表示します。
!tail ..\logs\wrapper.log 500 syslogSyslogをIPアドレスに変更したり、別のキーワードをgrepしたりすることもできます。
Windows Collector 上の Syslog に関する UDP ポート 514 とファイアウォールの問題
受信ファイアウォール ルールにより、Syslog がポート 514 でリッスンする Windows コレクターに到達しない場合があります。そのような場合は、次の手順を使用して問題をトラブルシューティングできます。
1. ファイアウォールが有効になっているかどうかを確認します。
PowerShell で次のコマンドを実行して、ファイアウォールが有効になっているかどうかを確認します。
$firewallStatus = Get-NetFirewallProfile | Select-Object -ExpandProperty Enabled; if($firewallStatus -eq "True") { Write-Host "Windows Firewall is Enabled" } else { Write-Host "Windows Firewall is Disabled" }- Windows ファイアウォールが有効になっている場合は、リモート ホストからの Syslog が Windows マシンに到達できるようにする受信ファイアウォール ルールが追加されているかどうかを確認します。
- 受信ルールが追加されていない場合は、それぞれのリモート ホストに追加します。
あるいは、問題のトラブルシューティングを行うために、Windows ファイアウォールを一時的に無効にすることもできます。
お断り: LogicMonitor では、Windows マシンがネットワーク ベースのセキュリティの脅威に対して脆弱になる可能性があるため、Windows ファイアウォールを無効にすることはお勧めしません。
2. Windows マシンでセキュリティ ソフトウェアまたはウイルス対策ソフトウェアが実行されているかどうかを確認します。
Windows マシンで、ポート 514 のトラフィックを拒否するように構成されたセキュリティ ソフトウェアまたはウイルス対策ソフトウェアが実行されている可能性があります。PowerShell で、Windows マシン上のすべてのプロセスを確認するには、次のコマンドを実行します。
Get-Process | Select-Object Name出力には、Windows マシン上で実行されているプロセスの名前が表示されます。 セキュリティ ソフトウェアまたはウイルス対策ソフトウェアが実行されている場合は、目的の IP からのポート 514 でのトラフィックを許可するように構成を変更できます。
注意: .pcap (パケット キャプチャ) ファイルには、データ リンク層でのみ受信したデータが表示されます。 その結果、.pcap ファイルで使用可能な Syslog パケットだけでは、コレクタがポート 514 で Syslog をリッスンすることを保証するには不十分です。コレクタは、Syslog パケットがアプリケーション層で許可されている場合にのみ Syslog をリッスンできます。
3. Windows マシンでセキュリティ ソフトウェアまたはウイルス対策ソフトウェアが実行されているかどうかを確認します。
ポート 514 がすでに別のアプリケーションまたはサービスによって使用されている場合、Windows コレクターはポート 514 にアクセスできません。 PowerShell で次のコマンドを実行して、ポート XNUMX の Syslog にアクセスしているプロセス ID を確認します。
netstat -ano | findstr 514別のアプリケーションまたはサービスがある場合は、そのプロセスを停止または強制終了し、コレクターを再起動します。
