ログソースの構成

LogSource は、ログを有効にし、LM ログによる取り込み用のログ データの送信を構成するためのテンプレートを提供する LM LogicModule です。 LogSource は、どのログを取得するか、どこで取得するか、どのフィールドを解析対象として考慮する必要があるかなどの詳細を構成するのに役立ちます。

要件

LogSource で LM Collector を使用する場合、インフラストラクチャにインストールされている LM Collector は次のとおりである必要があります。 バージョン EA 31.200 以降. コレクタをアップグレードする方法については、次を参照してください。 コレクターの管理.

ステップ 1. ログソースの追加

新しい LogSource を追加するには、次の手順を実行します。

1. LogicMonitor のナビゲーション メニューで、 モジュール.
2. My Module Toolbox から、 Add .
3. [追加] ウィンドウで、 ログソース。 「新しいログソースの追加」ウィンドウが表示されます。
   
   
   
4. 引き続き、次の手順に従って LogSource を構成します。

ステップ 2. ログソースの構成

基本情報

LogSource に関する一般的な情報を提供し、ログ データの発信元に応じてタイプを選択します。

 インフォ セクションで、次の操作を行います。

1. 名前  (必須) - わかりやすい名前を追加します。これはログソースのリストに表示されます。
2. 説明 & テクニカルノート- LogSource に関するオプションの情報。
3. グループ- LogSource が存在するグループ。 LogSource グループを選択するか、新しいグループを作成します。 グループが指定されていない場合、LogSource は「@ungrouped」に配置されます。
4. モジュール内でマークダウンがどのように表示されるかをプレビューする—これを切り替えると、テクニカル ノートの情報がどのように表示されるかを確認できます。
5.  (必須) - LogSource が適用されるリソースのタイプを選択し、以下で説明するように、該当する残りのセクションの構成を続行します。
   
   

に適用されます

LogSource を使用するリソースを構成します。 

 に適用されます セクションで、次の操作を行います。

1. LogSource が適用されるリソースを入力します。
2. 必要に応じて、 IDEの起動 リソースの選択に関するガイドとして。 選択する クリックします 構成を保存します。
   
   
3. 必要に応じて、 テスト適用先 アイコンをクリックしてリソースの選択をテストし、必要に応じて基準を調整します。

除外フィルターと包含フィルター

必要に応じて、イベントを除外または含めるためのフィルターを追加できます。 フィルターを追加する場合、イベントが検出されてアラートされるには、フィルター基準を満たしている必要があります。 使用可能なフィルタリング オプションは、選択した LogSource タイプによって異なります。 フィルタが指定されていない場合は、デフォルトですべてのログ イベントが含まれます。 複数のフィルターを追加した場合は追加されます (AND 条件)。

 除外する & 含める フィルタ セクションでは、次の手順を実行します。

1. 選択 除外フィルターを追加または インクルードフィルターの追加.
2. 属性、フィルタリングする項目のタイプを追加します。オプションは LogSource のタイプによって異なります。 例: LogSource の Windows イベント ログ タイプの場合は「レベル」。
3. ドロップダウンリストから 比較演算子属性のタイプに応じて、「Equal」または「RegexMatch」など。
4. 加える 値、たとえば「警告」など、属性と比較演算子によって異なります。
5. オプションを追加する コメント.
6. 現在地に最も近い Save アイコンをクリックしてフィルターを追加します。

着信ログ メッセージに含める重大度レベルを定義する場合、パイプ セパレータで指定された複数のレベルを含めることができます。 エラーには 1、警告には 2、情報には 3 などのレベル番号を使用することもできます。

例： エラーと警告のログ メッセージのみを含める場合は、属性「Level」、比較演算子「In」、値「1 | 2」を使用してフィルタを設定できます。 XNUMX」。

フィルタを定義するときに、次を選択できます テスト適用先 テストを実行して、意図したとおりにイベントがフィルタリングおよびキャプチャされることを確認します。 デバイスからすべてのメッセージを返すためにフィルタを定義する前にテスト機能を使用し、この情報を使用してパラメータ値を調整することもできます。 

ログフィールド

オプションで、ログとともに送信される追加のメタデータを含めるようにログ フィールド (タグ) を構成できます。 LogicMonitor リソースのプロパティをログ メタデータとして追加することもできます。

 ログフィールド セクションで、次の操作を行います。

1. 選択 ログフィールドの追加.
2. 方法、メタデータを収集するためのメソッドを追加します。オプションは LogSource のタイプによって異なります。 例: LogSource の Windows イベント ログ タイプの「Windows イベント属性」。
3. 入力します キー、たとえば「ソース」。
4. 加える 値、たとえば「ソース名」。
5. オプションを追加する コメント.
6. 現在地に最も近い Save アイコンをクリックしてログフィールドを追加します。

例： メタデータ用に構成されたログ フィールド。

リソースマッピング

これは一部の LogSource タイプに必要であり、ログをマップする必要があるリソースに関する情報を提供します。 この設定では、コレクター デバイス マッピングに使用するリソース プロパティを定義します。 詳細については、を参照してください。 agent.confコレクター設定.

 リソースマッピング セクションで、次の操作を行います。

1. 選択 リソースマッピングの追加.
2. 方法、「IP」などのマッピング方法を追加します。 
3. マッピングを追加する キー、たとえば「system.hostname」。
4. を追加 値、選択した方法によって異なります。
5. オプションを追加する コメント.
6. 現在地に最も近い Save アイコンをクリックしてリソース マッピングを追加します。

例： 次のリソース マッピングは、このコレクタ構成と同等です。

• lmlogs.syslog.hostname.format=IP
• lmlogs.syslog.property.name=system.hostname

ログソースの有効化

さまざまなセクションに情報を追加したら、 Save LogSource を有効にします (または既存の LogSource を更新します)。 

ステップ 3. 優先コレクターの有効化

以下では、リソースまたはリソース グループごとにログ コレクター グループと優先ログ コレクターを定義する方法について説明します。

リソースでの有効化

1. MFAデバイスに移動する  リソース をクリックして、目的のリソースを選択します。
2. リソースごとに、 プロパティを管理する アイコンを開く リソースの管理 ビュー。
3. トグル LM ログを有効にする 上に。
4. 希望するものを選択してください コレクターグループ (オプション) および推奨 ログコレクター (必須) ドロップダウンからフィールドに入力して、利用可能なオプションを表示します。 
5. 選択 Save.
6. ログ収集を有効にするリソースごとに手順を繰り返します。

リソースグループでの有効化

1. MFAデバイスに移動する  リソース をクリックして、目的のリソース グループを選択します。
2. 選択 優先ログ コレクタの設定 右上隅のオプションメニューから。
3. 希望するものを選択してください コレクターグループ (オプション) および推奨 ログコレクター (必須) ドロップダウンからフィールドに入力して、利用可能なオプションを表示します。
4. 選択 申し込む 構成を更新します。

タイプ固有の構成パラメータ

特定の種類の LogSource の構成パラメータについては、次を参照してください。

• Kubernetes イベント ログの LogSource 構成
• Kubernetes ポッドのログソース構成
• ログファイルのログソース構成
• スクリプトログのログソース構成
• Syslog ログソース構成
• Windows イベント ログのログソース構成