Forrester Total Economic Impact™の調査によると、Edwin AIは複合組織において313%の投資対効果(ROI)を実現したことが判明しました。

続きを読む
Platform
解決策
業種
職種
結果はありません。

Syslog ログソース構成

最終更新日 - 14年2026月XNUMX日

推奨事項: LogSourceはSyslogログの取り込みに推奨される方法です。詳細については、 ログソースの概要.

LogSource は、LM ログに取り込まれる Syslog ログと、それらをリソースにマッピングする方法を設定できるロジックモジュールです。Syslog LogSource を Collector 自体に適用して Syslog 処理を広範に制御することも、個々のリソースに適用してより詳細な制御を行うこともできます。 

すべてのLM Collectorには、Syslog取り込み用のデフォルトのLogSourceがあらかじめ設定されています。このLogSourceは、シンプルなセットアップ、検索可能なログビューとアラート、容易なフィルタリング、そして追加ソースのライセンスやエージェントが不要なため、Syslog取り込みに最適な、すぐに使えるソリューションです。 

コレクターSyslog処理

LogSource をコレクタに適用すると、コレクタは次の方法で Syslog を処理できます。

  • コレクターが受信した Syslog イベントを取り込むことが要件の場合は、コレクターの Agent.conf プロパティ「lmlogs.syslog.enabled」を有効にできます。このプロパティは、オンにすることによっても有効にすることができます。 Syslog と SNMP のログ収集を有効にする トラップ オプション コレクターを追加 ページ。このプロパティを有効にすると、コレクターはフィルタ、リソースマッピングなどのカスタマイズなしに、すべてのSyslogイベントを取り込みます。
  • 一部の Syslog イベントのフィルタリングやリソース マッピングの別のメソッドの追加など、カスタマイズを追加する必要がある場合は、LogSource を作成し、Syslog 受信コレクタに適用できます。 コレクターに申し込む LogSource のオプション。
  • 特定の LogSource 定義を使用してデバイスからの Syslog イベントを処理することが要件の場合、Syslog イベントをコレクタに転送するデバイスに通常の LogSource を適用できます。 

syslogを処理する際には、コレクターに適用されるLogSourceよりも、デバイスに適用される通常のLogSourceの方が望ましい。

syslog を処理するには、コレクターの agent.conf プロパティ「lmlogs.syslog.enabled」よりも、コレクターに適用された LogSource を使用する方が優先されます。

Syslong処理図

次のシナリオは、syslog を受信するコレクターによる syslog 処理の優先設定を理解するために参照できます。

シナリオデバイスはコレクターによって監視されていますか*デバイスに適用される通常の LogSource ですLogSourceはコレクターに適用されています コレクターに申し込む スイッチコレクターのagent.confプロパティです lmlogs.syslog.enabled trueに設定結果
1ありあり任意 (はい/いいえ)任意 (はい/いいえ)Syslog は、Syslog を転送するデバイスに適用される通常の LogSource を使用して処理されます。
2ありいいえあり任意 (はい/いいえ)Syslog は、Syslog を受信するコレクターに適用される LogSource を使用して処理されます。
3いいえ任意 (はい/いいえ)あり任意 (はい/いいえ)Syslog は、Syslog を受信するコレクターに適用される LogSource を使用して処理されます。
4いいえ任意 (はい/いいえ)いいえありSyslog は、Syslog を受信するコレクターの Agent.conf プロパティ (「lmlogs.syslog.enabled」) を使用して処理されます。

*次の場合、デバイスはコレクターによって監視されていると言われます。

  • コレクターは次のように割り当てられます。 優先コレクター on リソースの管理 ページ
    - または -
  • コレクタは、次を使用してログ コレクタとして割り当てられます。 LM ログ コレクターの設定 オプションオン リソースの管理 ページ

Syslogログを処理するためにLogSourceにCollectorを適用する方法の詳細については、以下を参照してください。 LogSource をコレクターに適用する.

フィルタ

Syslogログソースを設定する際に、フィルターを追加してイベントを含めるか除外するかを選択できます。含めるフィルターを使用すると、特定の条件を満たすイベントのみを処理でき、除外フィルターを使用すると、使用目的に関係のないイベントを除外できます。

また、AND演算子またはOR演算子を使用して複数のフィルタ条件を組み合わせることで、正確なマッチングロジックでイベント選択を絞り込んだり、より柔軟なフィルタリングのために条件を広げたりすることができます。フィルタの詳細については、以下を参照してください。 ログソースの構成 .

次の表に、使用可能なパラメータの詳細を示します。

Attributesフィルタの種類比較演算子値の例 詳細説明
用途含める、除外する等しい、等しくない、含む、含まない、存在する、存在しない、RegexMatch、RegexNotMatch。nginx、apacheSyslogメッセージを生成したアプリケーション名に基づいてフィルタリングするために使用されます。このフィルタは、アプリケーションメタデータ(Syslogメッセージ内のAPP-NAMEなど)の存在に依存します。
syslog のバージョンまたはソースの構成によっては、この情報が常に存在するとは限らないため、syslog ソースにこの情報が含まれていることを確認してください。
施設含める、除外するEqual、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist、GreaterThan、GreaterEqual、LessThan、LessEqual。「カーネルメッセージ」、「システムデーモン」、「ログアラート」などの定義済みオプション ログ メッセージを生成するシステム プロセスのタイプまたはソースを指定するために使用される分類タグ。
メッセージ含める、除外するEqual、NotEqual、Contain、NotContain、RegexMatch、RegexNotMatch、Exist、NotExist。「アラート失敗」メッセージの内容に基づいて syslog ログを含めるか除外します。
重大度含める、除外するEqual、MoreUrgentThan。緊急、警告、重大、警告、通知、情報、デバッグイベントの重要度を、Syslog プロトコルで定義されている 0 (緊急) から 7 (デバッグ) までのレベルで示します。

注意: 包含フィルターと除外フィルターを設定する際には、以下のガイドラインが適用されます。

  • AND演算子を使用する場合、包含フィルターまたは除外フィルターのいずれか一方のみを設定できますが、両方を同時に設定することはできません。
  • OR演算子を使用する場合、含めるフィルターと除外するフィルターの両方を設定できます。フィルターの順序は、ドラッグ&ドロップで変更できます。フィルターは、ログソースで指定された順序で評価されます。イベントがフィルターの条件を満たす場合、フィルターの種類に基づいて対応するアクション(取り込みまたは破棄)が適用されます。
  • 除外フィルターは、Collectorバージョン39.200以降でサポートされています。

ログフィールド

ログフィールド(タグ)を設定することで、ログに追加のメタデータを送信できます。利用可能なパラメータは以下の表のとおりです。

方法主な例値の例 詳細説明
静的"お客様"「顧客_XYZ」ログ ソースによって処理されるすべてのログに固定のキーと値のペアを添付し、すべてのログ エントリにわたって一貫したメタデータのタグ付けを保証します。
ダイナミック(REGEX)"ホスト"「ホスト=*」クエリはメッセージフィールドに対して実行されます。
LM プロパティ(トークン)"端末"「##system.deviceId##」LogicMonitor の既存のデバイス プロパティから抽出された DeviceID 値。
シスログ属性 「アプリケーション、ファシリティ、ログレベル」アプリケーション、ファシリティ、重大度。特定の syslog メタデータ フィールドを LM ログのログ フィールドに直接マップします。
動的グループ正規表現「スキーム、ログイン」「(https*):\/\/([]az]+)」クエリはメッセージ フィールドに対して実行され、正規表現から最初のグループ値を取得します。動的グループ正規表現のキーはカンマ区切りのリストとして追加でき、値は同じ数のグループから読み取られます。
この表に示されているキーと値の例では、正規表現によってキーと値のメタデータ (Scheme と Login) が生成されます。 
具体的な例を挙げますと、以下の通りです。
スキーム=https
ログイン=
お願い注:ログ フィールドの動的グループ正規表現メソッドは、LM コレクター バージョン 34.200 以降で使用できます。

リソースマッピング

OR演算子またはAND演算子のいずれかを使用してリソースを識別およびマッピングできます。リソースマッピングでのAND演算子とOR演算子の使用方法の詳細については、以下を参照してください。 LogSource構成におけるリソースマッピング.

監視対象リソースに合わせてLMログプロパティを設定します。使用可能なパラメータは以下の表のとおりです。

方法主な例値の例 詳細説明
静的"顧客ID""1921"リソース プロパティに対応する事前に決定されたキーと値のペアを照合することにより、ログ メッセージを特定の監視対象リソースにマップします。
IP「システム.ips」"10.20.30.40"syslog ホスト フィールド情報を使用して、IP に解決します (たとえば、「10.20.30.40」)。 の  この方法を選択すると、フィールドは無効になり、 キー.
FQDN「システム.ホスト名」「application.service.example.com」syslog メッセージまたはソケット アドレスから受信したホスト名の DNS 解決による完全修飾ドメイン名。 
ホスト名「システム.ホスト名」「host1.example.com」その  この方法を選択すると、フィールドは無効になり、 キー.
DNS なしのホスト「システム.ホスト名」「ホスト1」その  この方法を選択すると、フィールドは無効になり、 キー.
ダイナミック(REGEX)「システム.サービス名」「サービス=*」クエリはメッセージフィールドに対して実行されます。
LM プロパティ(トークン)「token.resourceMap」「syslog_test_collector」LogicMonitor の既存のデバイス プロパティから抽出された DeviceID。
動的グループ正規表現「スキーム、ログイン」「(https*):\/\/([]az]+)」クエリはメッセージ フィールドに対して実行され、正規表現から最初のグループ値を取得します。動的グループ正規表現のキーはカンマ区切りのリストとして追加でき、値は同じ数のグループから読み取られます。
この表に示されているキーと値の例では、正規表現によりキーと値のメタデータ、つまりスキームとログインが生成されます。例えば:
スキーム=https
ログイン=
お願い: リソース マッピングの動的正規表現グループ メソッドは、LM コレクター バージョン 35.200 以降で使用できます。

以下は、LMプロパティ(トークン)方式を用いたリソースマッピングの例です。この例では、LMポータル内の監視対象デバイスの1つにマッピングするプロパティを指定します。LMプロパティのキーは次のとおりです。 token.resourceMap そしてその値は syslog_test_collector.

LogSourceがデバイスに適用されると、リソースマッピングはLM_propertyで次のように処理されます。 token.resourceMap、ソースとして LM Property解析メソッドは Token、そしてその値は、 ##、 といった ##token.resourceMap##.

コレクターはフィードからホストエントリを受信し、 ##token.resourceMap## LM_propertyに対して受け取った値 token.resourceMap その特定のホスト(例えば、 syslog_test_collector).

ログソースが適用されるリソースが複数ある場合、 LM_property 一意である必要があります。一意でない場合、Ingest API はリソースにマッピングしません。

以下の画像は、 syslog_test_collector 例。  

カスタムプロパティページ

次の画像は、LogSourceのリソースマッピングからのものです。 syslog_test_collector 例。

リソース マッピング ページ

この LogSource の Collector 側のリソース マッピングは次のとおりです。

'{"metadata":{"logSource_id":"2249","logsource_name":"syslog_test_token"},"Severity":"3: Error","Host":"localhost","epochWhenAddedInQueue":1633501246808,"Facility":"1: user-level messages","message":"<11>Just a message with metadata test_md1 !!\u0000","_lm.resourceId":{"token.resourceMap":"syslog_test_collector"},"timestamp":1633501246808,"_lm.collectorId":"48"}', raw:'<11>Example message with metadata test_md1 !!'

Syslog ログソースの設定要件

Syslogログソースを設定するには、以下のものが必要です。

  • syslogログを取り込むマシンにLogicMonitor Collectorがインストールされていること。
    詳細については、を参照してください。 LogicMonitorコレクターについて.
  • OR演算子を使用するには、コレクターバージョン37.300以降が必要です。

Syslog ログソースの設定

  1. LogicMonitorで、次の場所に移動します モジュール > 私のモジュールツールボックス。
  2. 選択する モーダルを追加 追加 > ログソース.
  3. 名前 このフィールドに、Syslogログのソースを示す分かりやすい名前を入力してください。
  4. 詳細説明 このフィールドには、ログソースに関する追加のコンテキスト情報が含まれます。
  5. タグ フィールドで、ログ ソースに割り当てるタグ (ログ フィールドとも呼ばれます) を検索します。
    お願いタグは、フィルタリング、グループ化、自動化に使用されるメタデータフィールドです。タグの詳細については、「ログフィールド」表を参照してください。
  6. グループ フィールドで、ログソースを最も適切に分類するグループを1つ以上選択します。グループは通常、ログソースの機能、場所、または環境を反映します。 
  7. テクニカルノート トラブルシューティングやメンテナンスに役立つ詳細な参考情報を提供するためのフィールド。
  8. トグル レンダリングされた技術ノートのプレビューを表示 スイッチを切り替えると、マークダウン形式のコンテンツがレンダリング時にどのように表示されるかが表示されます。
  9. 「LM Logs: SysLog」を選択してください。 タイプ ドロップダウンメニュー。
  10. トグル ログのタイムスタンプの代わりに受信時刻を使用する syslog メッセージに埋め込まれたタイムスタンプではなく、LogicMonitor が syslog メッセージを受信した時点に基づいてタイムスタンプを使用するように切り替えます。
  11. 追加 アクセスグループ ログの表示、管理、操作を可能にするには、アクセス グループの設定方法の詳細を参照してください。 モジュールのアクセスグループ
  12.  に適用されます 要件に基づいて、セクションに任意のAppliesToスクリプトメソッドを追加します。 
  13. これは、モジュールが適用されるリソースを決定します。詳細については、以下を参照してください。 AppliesTo関数のスクリプトの概要.
    例えば、以下に示すように、LogSource を特定のグループ、タグ、またはコレクター内のデバイスにのみ適用することができます。
    isInDeviceGroup("Network Devices")  *Applies the logsource only to devices in the "Network Devices" group.   system.env == "prod" *Applies to devices tagged with env:prod. collectorId == 27 *Applies only to devices using a specific Collector.
  14. (オプション) フィルター 属性ベースのフィルターを追加し、必要に応じて演算子と値を指定することで、検索結果を絞り込むためのセクションです。
  15. デフォルトを確認する ログフィールド 必要に応じて編集します。
    Syslog LogSource ログフィールドセクション
  16. デフォルトを確認する リソースマッピング 必要に応じて編集します。
    Syslog LogSource リソース マッピング セクション
  17. 選択する 保存 Save.

LogSourceが作成され、LogicMonitorポータルで使用できるようになります。

LogSource をコレクターに適用する

コレクタバージョンEA-35.200では、「コレクタに適用」オプションを使用して、LogSourceをコレクタに直接適用できます。また、「適用先」オプションを使用してLogSourceをデバイスに適用することもできます。ただし、EA-35.200より前のバージョンのコレクタを使用している場合は、「適用先」オプションを使用してのみLogSourceをデバイスに適用できます。

LogSource をコレクタに適用すると、次のシナリオで役立ちます。

  • Syslog をコレクタに転送しているデバイスは、コレクタによって監視されません。
  • Syslog をコレクタに転送しているデバイスは、LogicMonitor ではまったく監視されません。

LogSource をコレクターに適用するには:

  1. LogSource の作成中に、 に適用されます タブ、トグル コレクターに申し込む スイッチ。
  2.  コレクターのマッピング選択 コレクターの追加.
コレクターパネルに新しい LogSource を追加する

注意:

  • あなたが コレクターに申し込む スイッチをオンにすると、「適用先」フィールドは使用できなくなります。両方のオプションを同時に使用することはできません。
  • [コレクター マッピング] フィールドには、最小バージョンが EA-35.200 である自己監視コレクターのみが表示されます。
  • 自己監視コレクタには、Syslog タイプの LogSource を 1 つだけ適用できます。
  • Syslog を受信するコレクタによってデバイスが監視されている場合、デバイスに適用される LogSource がコレクタに適用される LogSource よりも優先されます。詳細については、「Syslog 処理設定」を参照してください。
  • LogSourceでは、 コレクターに申請する スイッチが有効になっている場合、スムーズな動作を確保するには、自動バランスコレクター グループ (ABCG) に含まれないコレクターを選択する必要があります。

14日間フルアクセス LogicMonitor プラットフォーム