Syslog ログソース構成
最終更新日 - 06年2026月XNUMX日
推奨事項: LogSourceはSyslogログの取り込みに推奨される方法です。詳細については、 ログソースの概要.
LogSource は、LM ログに取り込まれる Syslog ログと、それらをリソースにマッピングする方法を設定できるロジックモジュールです。Syslog LogSource を Collector 自体に適用して Syslog 処理を広範に制御することも、個々のリソースに適用してより詳細な制御を行うこともできます。
すべてのLM Collectorには、Syslog取り込み用のデフォルトのLogSourceがあらかじめ設定されています。このLogSourceは、シンプルなセットアップ、検索可能なログビューとアラート、容易なフィルタリング、そして追加ソースのライセンスやエージェントが不要なため、Syslog取り込みに最適な、すぐに使えるソリューションです。
コレクターSyslog処理
LogSource をコレクタに適用すると、コレクタは次の方法で Syslog を処理できます。
- コレクターが受信した Syslog イベントを取り込むことが要件の場合は、コレクターの Agent.conf プロパティ「lmlogs.syslog.enabled」を有効にできます。このプロパティは、オンにすることによっても有効にすることができます。 Syslog と SNMP のログ収集を有効にする トラップ オプション コレクターを追加 ページ。このプロパティを有効にすると、コレクターはフィルターやリソース マッピングなどのカスタマイズを行わずに、すべての Syslog イベントを取り込みます。
- 一部の Syslog イベントのフィルタリングやリソース マッピングの別のメソッドの追加など、カスタマイズを追加する必要がある場合は、LogSource を作成し、Syslog 受信コレクタに適用できます。 コレクターに申し込む LogSource のオプション。
- 特定の LogSource 定義を使用してデバイスからの Syslog イベントを処理することが要件の場合、Syslog イベントをコレクタに転送するデバイスに通常の LogSource を適用できます。
デバイスに適用される通常の LogSource は、syslog を処理するコレクタに適用される LogSource よりも優先されます。
コレクタに適用される LogSource は、syslog を処理するためにコレクタのagent.conf プロパティ「lmlogs.syslog.enabled」よりも優先されます。
次のシナリオは、syslog を受信するコレクターによる syslog 処理の優先設定を理解するために参照できます。
| シナリオ | デバイスはコレクターによって監視されていますか* | デバイスに適用される通常の LogSource です | LogSourceはコレクターに適用されています コレクターに申し込む スイッチ | コレクターのagent.confプロパティです lmlogs.syslog.enabled trueに設定 | 結果 |
| 1 | あり | あり | 任意 (はい/いいえ) | 任意 (はい/いいえ) | Syslog は、Syslog を転送するデバイスに適用される通常の LogSource を使用して処理されます。 |
| 2 | あり | いいえ | あり | 任意 (はい/いいえ) | Syslog は、Syslog を受信するコレクターに適用される LogSource を使用して処理されます。 |
| 3 | いいえ | 任意 (はい/いいえ) | あり | 任意 (はい/いいえ) | Syslog は、Syslog を受信するコレクターに適用される LogSource を使用して処理されます。 |
| 4 | いいえ | 任意 (はい/いいえ) | いいえ | あり | Syslog は、Syslog を受信するコレクターの Agent.conf プロパティ (「lmlogs.syslog.enabled」) を使用して処理されます。 |
*次の場合、デバイスはコレクターによって監視されていると言われます。
- コレクターは次のように割り当てられます。 優先コレクター on リソースの管理 ページ
- または - - コレクタは、次を使用してログ コレクタとして割り当てられます。 LM ログ コレクターの設定 オプションオン リソースの管理 ページ
Syslogログを処理するためにLogSourceにCollectorを適用する方法の詳細については、以下を参照してください。 LogSource をコレクターに適用する.
フィルタを含める
アプリケーションなど、特定の種類のリソースを含めるためのフィルターを追加できます。フィルター条件に一致する出力は、ログ取り込みプロセスに転送されます。
次の表に、使用可能なパラメータの詳細を示します。
| Attributes | 比較演算子 | 値の例 | 詳細説明 |
| 用途 | 等しい、等しくない、含む、含まない、存在する、存在しない、RegexMatch、RegexNotMatch。 | nginx、apache | Syslogメッセージを生成したアプリケーション名に基づいてフィルタリングするために使用されます。このフィルタは、アプリケーションメタデータ(Syslogメッセージ内のAPP-NAMEなど)の存在に依存します。 syslog のバージョンまたはソースの構成によっては、この情報が常に存在するとは限らないため、syslog ソースにこの情報が含まれていることを確認してください。 |
| 施設 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist、GreaterThan、GreaterEqual、LessThan、LessEqual。 | 「カーネルメッセージ」、「システムデーモン」、「ログアラート」などの定義済みオプション | ログ メッセージを生成するシステム プロセスのタイプまたはソースを指定するために使用される分類タグ。 |
| お問い合わせ内容 | Equal、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。 | 「アラート失敗」 | メッセージの内容に基づいて syslog ログを含めるか除外します。 |
| 重大度 | Equal、MoreUrgentThan。 | 緊急、警告、重大、警告、通知、情報、デバッグ | イベントの重要度を、Syslog プロトコルで定義されている 0 (緊急) から 7 (デバッグ) までのレベルで示します。 |
ログフィールド
ログフィールド(タグ)を設定することで、ログに追加のメタデータを送信できます。利用可能なパラメータは以下の表のとおりです。
| 方法 | 主な例 | 値の例 | 詳細説明 |
| 静的 | "お客様" | 「顧客_XYZ」 | ログ ソースによって処理されるすべてのログに固定のキーと値のペアを添付し、すべてのログ エントリにわたって一貫したメタデータのタグ付けを保証します。 |
| ダイナミック(REGEX) | "ホスト" | 「ホスト=*」 | クエリはメッセージ フィールドで実行されます。 |
| LM プロパティ(トークン) | "端末" | 「##system.deviceId##」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID 値。 |
| シスログ属性 | 「アプリケーション、ファシリティ、ログレベル」 | アプリケーション、ファシリティ、重大度。 | 特定の syslog メタデータ フィールドを LM ログのログ フィールドに直接マップします。 |
| 動的グループ正規表現 | 「スキーム、ログイン」 | 「(https*):\/\/([]az]+)」 | クエリはメッセージ フィールドに対して実行され、正規表現から最初のグループ値を取得します。動的グループ正規表現のキーはカンマ区切りのリストとして追加でき、値は同じ数のグループから読み取られます。 この表に示されているキーと値の例では、正規表現によってキーと値のメタデータ (Scheme と Login) が生成されます。 具体的な例を挙げますと、以下の通りです。 スキーム=https ログイン= お願い注:ログ フィールドの動的グループ正規表現メソッドは、LM コレクター バージョン 34.200 以降で使用できます。 |
リソースマッピング
監視対象リソースに合わせてLMログプロパティを設定します。使用可能なパラメータは以下の表のとおりです。
| 方法 | 主な例 | 値の例 | 詳細説明 |
| 静的 | "顧客ID" | "1921" | リソース プロパティに対応する事前に決定されたキーと値のペアを照合することにより、ログ メッセージを特定の監視対象リソースにマップします。 |
| IP | 「システム.ips」 | "10.20.30.40" | syslog ホスト フィールド情報を使用して、IP に解決します (たとえば、「10.20.30.40」)。 の 値 この方法を選択すると、フィールドは無効になり、 キー. |
| FQDN | 「システム.ホスト名」 | 「application.service.example.com」 | syslog メッセージまたはソケット アドレスから受信したホスト名の DNS 解決による完全修飾ドメイン名。 |
| ホスト名 | 「システム.ホスト名」 | 「host1.example.com」 | その 値 この方法を選択すると、フィールドは無効になり、 キー. |
| DNS なしのホスト | 「システム.ホスト名」 | 「ホスト1」 | その 値 この方法を選択すると、フィールドは無効になり、 キー. |
| ダイナミック(REGEX) | 「システム.サービス名」 | 「サービス=*」 | クエリはメッセージ フィールドで実行されます。 |
| LM プロパティ(トークン) | 「token.resourceMap」 | 「syslog_test_collector」 | LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。 |
| 動的グループ正規表現 | 「スキーム、ログイン」 | 「(https*):\/\/([]az]+)」 | クエリはメッセージ フィールドに対して実行され、正規表現から最初のグループ値を取得します。動的グループ正規表現のキーはカンマ区切りのリストとして追加でき、値は同じ数のグループから読み取られます。 この表に示されているキーと値の例では、正規表現によりキーと値のメタデータ、つまりスキームとログインが生成されます。例えば: スキーム=https ログイン= お願い: リソース マッピングの動的正規表現グループ メソッドは、LM コレクター バージョン 35.200 以降で使用できます。 |
以下は、LMプロパティ(トークン)方式を用いたリソースマッピングの例です。この例では、LMポータル内の監視対象デバイスの1つにマッピングするプロパティを指定します。LMプロパティのキーは次のとおりです。 token.resourceMap そしてその値は syslog_test_collector.
LogSourceがデバイスに適用されると、リソースマッピングはLM_propertyで次のように処理されます。 token.resourceMap、ソースとして LM Property解析メソッドは Token、そしてその値は、 ##、 といった ##token.resourceMap##.
コレクターはフィードからホストエントリを受信し、 ##token.resourceMap## LM_propertyに対して受け取った値 token.resourceMap その特定のホスト(例えば、 syslog_test_collector).
ログソースが適用されるリソースが複数ある場合、 LM_property 一意である必要があります。一意でない場合、Ingest API はリソースにマッピングしません。
以下の画像は、 syslog_test_collector 例。
次の画像は、LogSourceのリソースマッピングからのものです。 syslog_test_collector 例。
この LogSource の Collector 側のリソース マッピングは次のとおりです。
'{"metadata":{"logSource_id":"2249","logsource_name":"syslog_test_token"},"Severity":"3: Error","Host":"localhost","epochWhenAddedInQueue":1633501246808,"Facility":"1: user-level messages","message":"<11>Just a message with metadata test_md1 !!\u0000","_lm.resourceId":{"token.resourceMap":"syslog_test_collector"},"timestamp":1633501246808,"_lm.collectorId":"48"}', raw:'<11>Example message with metadata test_md1 !!'Syslog ログソースの設定要件
Syslogログを取り込むマシンにLM Collectorがインストールされている必要があります。詳細については、 LogicMonitorコレクターについて.
Syslog ログソースの設定
- LogicMonitorで、次の場所に移動します モジュール > 私のモジュールツールボックス。
- 選択する
. - 追加 モーダル、選択 ログソース.
- 名 フィールドに、syslog ログのソースを説明する一意の名前を入力します。
- 詳細説明 フィールドに、Syslogログのソースの説明を入力します。この説明は、ログソースの目的、機能、または設定の詳細を、自分や他のユーザーが理解するのに役立つ追加のコンテキストを提供します。
- タグ フィールドで、ログ ソースに割り当てるタグ (ログ フィールドとも呼ばれます) を検索します。
注意: タグは、フィルタリング、グループ化、自動化に使用されるメタデータフィールドです。タグの詳細については、上記のログフィールドの表をご覧ください。 - グループ フィールドで、ログソースを最も適切に分類するグループを1つ以上選択します。グループは通常、ログソースの機能、場所、または環境を反映します。
- テクニカルノート トラブルシューティングやメンテナンスに役立つ詳細な参照情報を提供するフィールドです。
- トグル レンダリングされた技術ノートのプレビューを表示 スイッチを切り替えると、マークダウン形式のコンテンツがレンダリング時にどのように表示されるかが表示されます。
- をセットする タイプ ドロップダウンメニュー LM ログ: SysLog.
- トグル ログスタンプの代わりに受信時刻を使用する syslog メッセージに埋め込まれたタイムスタンプではなく、LogicMonitor が syslog メッセージを受信した時点に基づいてタイムスタンプを使用するように切り替えます。
- 追加 アクセスグループ ログを表示、管理、操作できるユーザーを有効にします。
- に適用されます フィールドで、このLogSourceを適用するリソースを定義します。例えば、以下のように、指定したグループ、タグ、またはコレクター内のデバイスにのみLogSourceを適用できます。
isInDeviceGroup("Network Devices") *Applies the logsource only to devices in the "Network Devices" group. system.env == "prod" *Applies to devices tagged with env:prod. collectorId == 27 *Applies only to devices using a specific Collector. - 追加 フィルタ 上記の利用可能なパラメータを使用します。
- デフォルトを確認する ログフィールド 必要に応じて編集します。
- デフォルトを確認する リソースマッピング 必要に応じて編集します。
- 選択する Save.
LogSource をコレクターに適用する
コレクタバージョンEA-35.200では、「コレクタに適用」オプションを使用して、LogSourceをコレクタに直接適用できます。また、「適用先」オプションを使用してLogSourceをデバイスに適用することもできます。ただし、EA-35.200より前のバージョンのコレクタを使用している場合は、「適用先」オプションを使用してのみLogSourceをデバイスに適用できます。
LogSource をコレクタに適用すると、次のシナリオで役立ちます。
- Syslog をコレクタに転送しているデバイスは、コレクタによって監視されません。
- Syslog をコレクタに転送しているデバイスは、LogicMonitor ではまったく監視されません。
LogSource をコレクターに適用するには:
- LogSource の作成中に、 に適用されます タブ、トグル コレクターに申し込む スイッチ。
- コレクターのマッピング選択 コレクターの追加.
注意:
- あなたが コレクターに申し込む スイッチをオンにすると、「適用先」フィールドは使用できなくなります。両方のオプションを同時に使用することはできません。
- [コレクター マッピング] フィールドには、最小バージョンが EA-35.200 である自己監視コレクターのみが表示されます。
- 自己監視コレクタには、Syslog タイプの LogSource を 1 つだけ適用できます。
- Syslog を受信するコレクタによってデバイスが監視されている場合、デバイスに適用される LogSource がコレクタに適用される LogSource よりも優先されます。詳細については、「Syslog 処理設定」を参照してください。
- LogSourceでは、 コレクターに申請する スイッチが有効になっている場合、スムーズな動作を確保するには、自動バランスコレクター グループ (ABCG) に含まれないコレクターを選択する必要があります。
