Forrester Total Economic Impact™の調査によると、Edwin AIは複合組織において313%の投資対効果(ROI)を実現したことが判明しました。

続きを読む
Platform
解決策
業種
職種
結果はありません。

ログソースの構成

最終更新日 - 13年2026月XNUMX日

LogSource は、ログを有効にし、LM ログによる取り込み用のログ データの送信を構成するためのテンプレートを提供する LM LogicModule です。 LogSource は、どのログを取得するか、どこで取得するか、どのフィールドを解析対象として考慮する必要があるかなどの詳細を構成するのに役立ちます。

注意: 以下に、LogSource を追加および構成するための一般的な手順を説明します。 特定のタイプの LogSource の構成パラメータについては、を参照してください。 各タイプの構成情報。 LogSource の概念の詳細については、次を参照してください。 ログソースの概要.

LogSource構成の要件

  • LogSource と LM Collector を併用する場合、インフラストラクチャにインストールされている LM Collector のバージョンは EA 31.200 以降である必要があります。
    コレクターのアップグレード方法については、以下を参照してください。 コレクターの管理.
  • リソース マッピングの優先順位付け機能にアクセスするには、マシンに EA Collector 36.400 以降がインストールされている必要があります。
  • Portal バージョン 187 以降では、LogSource は Filter、LogFieldTag、および ResourceMapping セクションで RE2 互換の正規表現パターンのみをサポートします。
  • EA Collector 34.100以降は、RE2Jを使用したログソースの処理をサポートしています。
  • コレクターは、R​​E2互換ではないJava互換の正規表現パターンを使用する既存のログソースとの下位互換性をサポートしています。

LogSourceを追加する

新しい LogSource を追加するには、次の手順を実行します。

  1. LogicMonitorで、次の場所に移動します オーバーフローアイコン その他モジュール.
  2. My Module Toolbox から、 アイコンを追加 追加.
  3. [追加] ウィンドウで、 ログソース。 「新しいログソースの追加」ウィンドウが表示されます。

    新しいログソースページを追加
  4. 引き続き、次の手順に従って LogSource を構成します。

注意: 次のステップで選択した LogSource のタイプに応じて、情報を入力するためのさまざまなセクションが表示されます。 たとえば、除外フィルター、包含フィルター、ログ フィールドなどです。 上部のタブを使用すると、さまざまなセクションにすばやくアクセスできます。

LogSourceの設定

基本情報

LogSource に関する一般的な情報を提供し、ログ データの発信元に応じてタイプを選択します。

 インフォ セクションで、次の操作を行います。

  1. 名前 このフィールドに、分かりやすい名前を追加してください。これはログソースの一覧に表示されます。
  2. 詳細説明 フィールドに、Syslogログのソースの説明を入力します。この説明は、ログソースの目的、機能、または設定の詳細を、自分や他のユーザーが理解するのに役立つ追加のコンテキストを提供します。
  3. タグ フィールドで、ログ ソースに割り当てるタグ (ログ フィールドとも呼ばれます) を検索します。
    お願いタグは、フィルタリング、グループ化、自動化に使用されるメタデータフィールドです。タグの詳細については、「ログフィールド」表を参照してください。
  4. グループ フィールドで、ログソースを最も適切に分類するグループを1つ以上選択します。グループは通常、ログソースの機能、場所、または環境を反映します。 
  5. テクニカルノート トラブルシューティングやメンテナンスに役立つ詳細な参照情報を提供するフィールドです。
  6. トグル レンダリングされた技術ノートのプレビューを表示 スイッチを切り替えると、マークダウン形式のコンテンツがレンダリング時にどのように表示されるかが表示されます。
  7. LogSource の種類を選択するには、 タイプ ドロップダウンメニュー。

    新しいログソースの追加ページの情報タブ

に適用されます

LogSourceを使用するリソースを設定します。 

 に適用されます セクションで、次の操作を行います。

  1. LogSource が適用されるリソースを入力します。
  2. 必要に応じて、 IDEの起動 資料選定に関するガイダンスについては、こちらをご覧ください。
  3. 選択する クリックします 構成を保存します。

    新しいログソースの追加ページのAppliesToオプション
  4. 必要に応じて、 テスト適用先 アイコンをクリックしてリソースの選択をテストし、必要に応じて基準を調整します。

フィルタ

ログソースを設定する際に、フィルターを追加してイベントを含めるか除外することができます。フィルターを追加すると、イベントはフィルターの条件を満たしている場合にのみ検出され、アラートが送信されます。利用可能なフィルタリングオプションは、選択したログソースの種類によって異なります。 AND or OR フィルタロジックを適用する演算子。

包含フィルターを使用すると、処理するイベントを指定できます。定義された条件に一致するイベントのみが含まれます。除外フィルターを使用すると、他の条件に一致する場合でも、特定のイベントを処理から除外できます。

注意: フィルターが指定されていない場合、デフォルトですべてのログイベントが含まれます。

追加するには フィルタ、 以下をせよ:

  1. 選択する AND or OR オペレータ。
  2. 選択する フィルターを追加これにより、フィルターの詳細を追加するためのモーダルウィンドウが開きます。
  3. からオプションを選択してください 属性 ドロップダウンメニューを使用して、フィルタリングする項目を定義します。利用可能なオプションは、ログソースの種類によって異なります。たとえば、Windowsイベントログタイプのログソースの場合は、「レベル」を選択します。
  4. ノーザンダイバー社の フィルタの種類 ドロップダウンメニューから、いずれかを選択してください。 含める or 除外する.
  5. 属性値がどのように評価されるかを定義する比較演算子を選択します。 比較演算子例えば、「Equal」は完全一致の値に一致し、「RegexMatch」は属性の種類に応じてパターンを評価します。
  6. フィールドに、選択した属性と比較演算子に基づいて値を入力します。たとえば、「警告」と入力します。
  7. (オプション) コメント フィールドに説明を入力します。
  8. 選択する 保存 Save.
    フィルターは、定義された構成と選択されたオペレーターに基づいて追加および適用されます。
    フィルター追加モーダル
    フィルターの追加ウィンドウ

着信ログ メッセージに含める重大度レベルを定義する場合、パイプ セパレータで指定された複数のレベルを含めることができます。 エラーには 1、警告には 2、情報には 3 などのレベル番号を使用することもできます。

フィルターを定義する際に、 テスト適用先 テストを実行して、意図したとおりにイベントがフィルタリングおよびキャプチャされることを確認します。 デバイスからすべてのメッセージを返すためにフィルタを定義する前にテスト機能を使用し、この情報を使用してパラメータ値を調整することもできます。 

ログフィールド

ログフィールドを設定することで、ログとともに送信される追加のメタデータを含めることができます。また、LogicMonitorリソースのプロパティをログメタデータとして追加することも可能です。

 ログフィールド セクションで、次の操作を行います。

  1. 選択する ログフィールドの追加.
  2. 『Brooklyn Galaxy』のために、倪氏はブルックリン美術館のコレクションからXNUMX点の名品を選び、そのイメージを極めて詳細に描き込みました。これらの作品は、彼の作品とともに中国ギャラリーに展示されています。彼はXNUMX年にこの作品の制作を開始しましたが、最初の硬貨には、当館が所蔵する 方法メタデータを収集する方法を追加します。オプションは LogSource のタイプによって異なります。
    例えば、LogSource という Windows イベントログタイプの「Windows イベント属性」などです。
  3. 入力します キー、たとえば「ソース」。
  4. 加える 、たとえば「ソース名」。
  5. オプションを追加する コメント.
  6. 選択する 保存 Saveログフィールドが追加されました。

例: メタデータ用に構成されたログ フィールド。

ログフィールドリスト

リソースマッピング

これは一部のLogSourceタイプで必須であり、ログをどのリソースにマッピングするかに関する情報を提供します。これは、コレクターがデータを収集する監視対象リソースにログをマッピングするために使用されるリソースプロパティを定義します。
詳細は agent.confコレクター設定.

OR演算子またはAND演算子のいずれかを使用して、リソースを識別およびマッピングできます。

リソースマッピングにおけるAND演算子の動作

リソースマッピングにAND演算子を使用する場合、LogicMonitorは指定されたすべての条件をまとめて評価し、すべての条件が満たされた場合にのみリソースを識別します。このアプローチにより、厳密なマッチング基準が適用されます。
マルチテナント環境でAND演算子を使用するには、以下を考慮してください。

  • AND演算子は、リソースを識別するためにすべての属性が一致している必要がある。
  • この方法は、複数の識別特性を組み合わせる際の精度を向上させる。
  • 条件が単一のリソースに解決されない場合、マッピングはログをどのリソースにも関連付けません。

例えば、取り込まれたログには、リソースマッピングに基づいて以下の3つのリソース属性が含まれます。

AND演算子の動作
  • キー: system.hostname、値: syslog送信デバイスのDNS解決済みホスト名
  • キー: system.sysname、値: syslog送信デバイスのDNS解決済みFQDN
  • キー: system.ips、値: syslog送信デバイスのDNS解決済みIPアドレス。

AND演算子を使用すると、ログは3つのリソース属性すべてを持つリソースにマッピングされます。

リソースマッピングにおけるOR演算子の動作

リソースマッピングにOR演算子を使用する場合、LogicMonitorは複数の条件を個別に評価し、いずれかの条件が満たされた場合に一致するリソースを選択します。
マルチテナント環境では、以下の点を考慮してください。

  • OR演算子により、複数の属性間で柔軟なマッチングが可能になります。
  • 最初のマッチング条件が満たされた時点で評価は停止します。, また、その後の病状は評価されません。
  • 複数のリソースが条件を満たす場合、マッピングはログをどのリソースにも関連付けません。
  • このアプローチの有効性は、選択された属性の独自性に依存する。

例えば、取り込まれたログには、リソースマッピングに基づいて以下の3つのリソース属性が含まれます。

OR オペレーターの動作
  • キー: system.deviceId、値: リソースが監視されている場合のデバイスID。syslog送信デバイスが監視されていない場合、この属性は存在しません。
  • キー: system.sysname、値: syslog送信デバイスのDNS解決ホスト名
  • キー: system.hostname、値: cortex-01 (ハードコードされた値)

「OR」演算子を使用した場合、最初のリソースマッピングに一致するリソースが見つかった場合は、ログはそのリソースにマッピングされます。そうでない場合は、LogicMonitor は順番に次のリソースマッピングを評価します。ログは、少なくとも 1 つのリソース属性に一致するリソースにマッピングされます。

Syslog および SNMP トラップの取り込みが有効になっている場合 agent.conf (lmlogs.syslog.enabled=true and lmlogs.snmptrap.enabled=trueLogicMonitorは、OR演算子を使用してデフォルトのリソースマッピングシーケンスを適用します。

SyslogおよびSNMPトラップのログソースの場合、デフォルトのマッピングはログソース作成ページに表示されます。

リソースマッピングにおける重要な考慮事項

複数のLogicMonitorアカウントにサービスを提供する環境にリソースマッピングを追加するには、以下を検討してください。

  • IPアドレスなどの識別子とテナント固有のプロパティを組み合わせることで、一意性を向上させる。
  • テナント間での識別を強化するために、複数の属性を使用してください。
  • 取り込み方法に関わらず、常に利用可能な属性を選択してください。
  • 属性の組み合わせが、取り込みイベント全体を通して同じリソースを確実に識別できるようにする。
  • 条件が単一のリソースに解決されない場合、ログはどのリソースにもマッピングされず、リソースレスとみなされます。

リソースマッピングを設定するには、次の手順を実行します。

  1. 選択する リソースマッピングを追加するs.
  2. 方法 フィールドを選択し、マッピング方法を選択します(例:「IP」)。 
  3. キー フィールドにマッピングキー(例:「system.hostname」)を入力します。
  4. フィールドに、選択した方法に基づいて値を入力してください。
  5. (オプション) の中に コメント フィールドに説明を入力します。
  6. 選択する Save
    リソースのマッピングは表に表示されます。
  7. どちらかを選択 いずれかの条件に一致する(または) or すべての条件に一致する(AND).

注意: ORが有効になっている場合、[ドラッグして並べ替え]列を使用して、リソース識別のためのリソースを識別するための好みに基づいて、リソースマッピングの順序を並べ替えることができます。

リソースマッピングセクションを追加する

例: 次のリソース マッピングは、このコレクタ構成と同等です。

  • lmlogs.syslog.hostname.format=IP
  • lmlogs.syslog.property.name=system.hostname
リソースマッピングの例

ログソースの有効化

すべてのセクションの設定が完了したら、 Save LogSource を有効にします (または既存の LogSource を更新します)。 

優先コレクターの有効化

注意: この手順は、リソースを監視しているコレクターとは異なるコレクターにログが送信される場合にのみ必要です。 ログが同じ監視に送信される場合、優先ログ コレクターを構成する必要はありません。

以下では、リソースまたはリソース グループごとにログ コレクター グループと優先ログ コレクターを定義する方法について説明します。

警告: LogSource 構成はコレクター構成よりも優先されます。 たとえば、従来のログ収集方法を使用してログをコレクタ A リソースに送信するとします。 次に、そのリソースに適用する新しい LogSource を構成します。 この場合、LogSource 構成が適用されるため、リソース マッピングの競合が発生する可能性があります。

リソースでの有効化

リソース ページの Logsource リソース
  1. MFAデバイスに移動する  資料 をクリックして、目的のリソースを選択します。
  2. リソースごとに、 プロパティを管理する アイコンを開く リソースの管理 ビュー。
  3. トグル LM ログを有効にする 上に。
  4. 希望するものを選択してください コレクターグループ (オプション) および推奨 ログコレクター (必須) ドロップダウンからフィールドに入力して、利用可能なオプションを表示します。 
  5. 選択する Save.
  6. ログ収集を有効にするリソースごとに手順を繰り返します。

リソースグループでの有効化

注意: 優先ログ コレクター構成は、リソース グループ レベルでは保存されません。 つまり、初期構成後に新しいリソースがグループに追加された場合は、優先コレクターをリソース グループに再適用するか、新しいリソース自体に対してこれを手動で構成する必要があります。

  1. LogicMonitorで、次の場所に移動します 資料 目的の静的リソース グループを選択します。
  2. まず ログ タブ、次に選択 優先ログ コレクタの設定.
    リソース グループでのログ ソース構成の有効化
  3. 次のオプションのいずれかを選択します。
    • すべてのグループメンバーのログコレクターを削除する – リソース グループからログ コレクターを削除する場合に選択します。デフォルトでは、このオプションが選択されています。
    • リストからコレクターを選択 - 選択 コレクターグループ (オプション) and コレクタ (必須) ドロップダウンリストから選択します。
  4. 選択する 求人情報検索 構成を更新します。

タイプ固有の構成パラメータ

特定の種類の LogSource の構成パラメータについては、次を参照してください。

14日間フルアクセス LogicMonitor プラットフォーム