はじめに
本記事では、Windows用 Syslogサーバー「WinSyslog」を用いて、特定のイベントが発生した場合に管理者へ通知する設定をご紹介します。
#4までの記事でご紹介したとおり、ルールの設定(条件の設定)+アクションの設定(動作の設定)を応用したものとなります。Syslogメッセージ内に、”Link Down”の文字列が含まれていた場合にメール送信を行うケースを例に、設定手順をご案内します。
設定手順
手順1: フィルタ設定を追加
①WinSyslog 設定クライアントを起動します。
デフォルトでは、左ペインのツリーには以下のサービスとルールセットが設定されています。
②「ルールセット」>「Default RuleSet」>「Default Rule」>「フィルタ」をクリックします。
右ペインが表示されます。デフォルトでは何も設定されていません。
③「全体の条件」をクリックすると、「全体の設定」というオプションが表示されます。
この例では、何も設定しませんが、この欄を使用する際は参考ください。
「全体の条件」とは、ルール全体に適用される条件です。「フィルタの条件」ツリーの条件と共に、理論的な「AND」と組み合わせることができます。
例えば、「発生時のみ稼働」を設定すると、指定した時間内に、指定した回数のイベントが発生することでルールが稼動されるようになります。
④次に、「日付の条件」をクリックすると、「Date Conditions」というオプションが表示されます。
「日付の条件」は、デフォルトで「常にルールを処理」が選択されています。
特定の日に処理を実施させたい場合にはこのタブの設定を変更してください。
この例では、デフォルト設定のままにします。
ゆえに、「フィルタ条件」にマッチしたログを受信した時点でルールを処理します。
⑤「フィルタ条件」ツリー下の「AND」上にカーソルを置き、右クリックし、「フィルタの追加」>「一般」>「メッセージ」を選択します。
「AND」ツリーの下に条件が追加されます。
⑥追加された「EVAL」 Property: %msg% contains “”の部分をクリックすると、画面下部に条件設定用のタブが3 つ表示されます。
まず「詳細」タブ内を設定します。
「プロパティ名:」 は、msg のままにします。
「比較のオペレーション:」 のプルダウンには contains, does not contain, contains within range, is equal, is not equal があります。それぞれの意味は次のとおりです。
| contains | シスログメッセージに「プロパティ値を設定」に入力した文字列が含まれる |
|---|---|
| does not contain | シスログメッセージに「プロパティ値を設定」に入力した文字列が含まれない |
| contains within range | シスログメッセージに「プロパティ値を設定」に入力した文字列の範囲内の値が含まれる |
| is equal | シスログメッセージが「プロパティ値を設定」に入力した文字列と一致する |
| is not equal | シスログメッセージが「プロパティ値を設定」に入力した文字列と一致しない |
今回はデフォルトの contains のままにします。
今回は、Syslogメッセージ内に”Link Down”の文字列を含むことが条件なので、「プロパティ値を設定:」には、Link Down と入力します。
※ここで入力するテキストは、大文字小文字を区別しますので、注意が必要です。
「コメント」「高度な設定」タブ内は何も変更せず、そのままにします。
⑦右ペイン上部の「確認」をクリックします。
クリック後、問題が無ければ「確認」がグレーアウトします。
これで、メッセージ内に Link Down の文字列を含む Syslog に対してアクションが実行されます。
フィルタ設定については、Adiscon 製品のフィルタ設定もご参照ください。
手順2: 「メール送信」アクションを追加
①左ペインの「ルールセット」>「Default RuleSet」>「ForwardSyslog」>「Actions」上で右クリックし、「アクションを作成」>「メール送信」をクリックします。
すると、左ペインの「Actions」ツリー下に「メール送信」が追加されます。
右ペインには以下の「メールサーバーオプション」「メールフォーマット オプション」タブがあります。
②次に、右ペインの「メールサーバーオプション」タブを設定します。
次を参考に、適切な設定を行ってください。
各オプションの詳細は次のとおりです。
メールサーバー
メールサーバー名か IP アドレスを IPv4 または IPv6 で指定します。
受信者にメール配信ができるサーバーを設定してください。WinSyslog は、標準の SMTP メールサーバーとの接続を前提としています。
ポート番号
メール送信に使用するポート番号を指定します。デフォルトは 25 です。
メインのメールサーバーに接続できない時、下記のサーバーを使用
このオプションを有効にすると、メインのメールサーバーへの接続に失敗した場合に、バックアップとして設定された別のメールサーバーへの接続されるようになります。
SMTP 認証を使用
メールサーバーで SMTP 認証が必要な場合にこのオプションを有効にします。
下のテキストボックスに SMTP ユーザー名と SMTP パスワードを入力して下さい。
セッションタイムアウト
これは、複数のイベントメッセージを1つの Eメールのメッセージに統合するためのオプションです。 設定されたタイムアウト値に達するまで、サーバーの SMTP セッションはオープン状態で保持されます。
セッションタイムアウトの時間内に受信したイベントは 1つの Eメールにまとめられます。 プルダウンに記載の値から選択する、または、「– Custom –」を選択して数値を入力して指定します。数値入力時の単位は、ミリ秒単位です。
このフィールドに入力可能な値は、最小値:1 最大値:2147483646 です(WinSyslog 13.2 ~)。
メールサーバーに SSL で接続する
このオプションを有効にすると、SSL で保護されたトラフィックでメールサーバーへ接続します。このオプションが働くのは、受信メールサーバーが SSL で保護されたトラフィックをサポートしている場合だけですので注意してください。
STARTTLS SMTP Extension を使用
このオプションの選択で、STARTTLS SMTP 拡張機能(暗号化)を有効にします。
日付 ヘッダに UTC を使用
このオプションの選択で、日付ヘッダに UTC 時刻を使用します。
③次に、右ペインにて「メールフォーマット オプション」タブを設定します。
各オプションの詳細は次のとおりです。
メール送信元
メール送信者の Eメールアドレスを指定します。
SMTP サーバーが受信できる、有効なアドレスを指定して下さい。
メール送信先
受信者の Eメールアドレスを指定します。
複数の宛先へメール送信する場合は、このフィールドに Eメールアドレスを、スペース、コンマまたはセミコロンで区切って入力します。
メールタイトル(subject)にレガシーの変数を使用
このオプションを有効にすると、メールタイトルに旧式の変数を使用することができます。
詳しくは、以下のマニュアル(英語)をご参照ください。
http://www.winsyslog.com/en/manual/current/mailoptions.htm
メールタイトル
ここにはメールタイトルを入力します。
予め Email for you と入力されていますが、任意の件名に変更可能です。
例えば、送信元の情報(IPアドレスまたはホスト名)を追加したい場合は、「挿入」ボタンで、「一般」>「ソース」を選択し、%source%プロパティ値を挿入します。
例: Email for you from %source%
メールの優先度
デフォルトは、中です。他の選択肢として、低、高 があります。
メール本文
デフォルトでは、以下の設定です。
Event message:
Facility: %syslogfacility%
Priority: %syslogpriority%
Source: %source%
Message:
%msg%⇒ 受信メール本文例:
Event message:
Facility:1
Priority: 4
Source: 192.168.30.83
Message:
unix:ABC123:Link Down - cable problem?
例: Syslog ファシリティと Syslog プライオリティを数ではなく文字で出力したい場合は、
「挿入」ボタンから、「Syslog」>「ファシリティタイプ」(%syslogfacility_text%)、「Syslog」>「プライオリティテキスト」(%syslogpriority_text%)を追加すると、User, Warning が出力されます。
Event message:
Facility: %syslogfacility% %syslogfacility_text%
Priority: %syslogpriority% %syslogpriority_text%
Source: %source%
Message:
%msg%⇒ 受信メール本文例:
Event message:
Facility:1 User
Priority: 4 Warning
Source: 192.168.30.83
Message:
unix:ABC123:Link Down - cable problem?
出力エンコード
メール本文の出力エンコードを設定します。デフォルトはシステムデフォルトです。
※メールタイトル(件名)やメール本文に日本語を入れてカスタマイズする場合は、「出力エンコード」をシステムデフォルトからUnicode(UTF8) に設定変更してください。
メッセージに XML を出力
有効にすると、受信したイベントは XML フォーマットでメールに含まれます。
④設定した後は、「確認」ボタンをクリックします。
クリック後、問題なければ以下のようにグレーアウト表示になります。
最後に、保存ボタンをクリックし、設定を反映させます。
参考情報
- メール送信設定の基本情報
https://www.jtc-i.co.jp/product/winsyslog/send-email.html - フィルタ設定例「受信したログを任意の条件でフィルタする」
https://blog.jtc-i.co.jp/2024/08/winsyslog-guide-3.html - WinSyslogで使用可能なアクション一覧
https://www.jtc-i.co.jp/product/winsyslog/action.html
製品情報・お問い合わせ
WinSyslogの製品情報はこちらをご覧ください。
評価版では30日間すべての機能をお試しいただけます。
