Kiwi Syslog Server活用のコツ 第2回「アラートメール数を制限」

アラートメール数を制限したい

Kiwi Syslog Serverで、エラーなどの重要なSyslogメッセージを受信した時に管理者へアラートメールを発報する設定はよく利用されています。

例:ネットワークデバイスから接続の切断を意味する「link down」を含むメッセージを受信した場合にアラートメールを発報する設定。

しかし、「インターフェースがリンクダウン/アップを繰り返す状態」に陥るような異常が発生すると、同じ内容のアラートメールが大量に発報され、他のメールが紛れてしまうことが懸念されます。

そのような事態に、アラートメール数を制限する方法がKiwi Syslog Serverには用意されています。

アラートメールとは

「異常が発生しました」「サービスが止まっています」のような警告的なお知らせメールをアラートメールと呼びます。

link down(リンクダウン)とは

コンピュータや通信機器(および内部のポートやコネクタ、アダプタ)が別の装置と接続できず、通信できない状態になること。また、そのような状態をリンクダウンと呼びます。
注意:リンクダウン状態を通知する文字列はデバイスにより異なります。この記事では「link down」で説明しますが、ご利用のデバイスがどのような文字列を利用しているかは各デバイスのマニュアル等でご確認ください。

Time interval (タイムインターバル) フィルター設定

フィルターに「Time interval (タイムインターバル)」設定を追加すると、指定の時間の間は同じ条件のログメッセージを受信しても、アクションを実施しないので、アラートメール数を制限したい場合に設定します。

アラートメール設定例

Time interval (タイムインターバル) フィルターを含むアラートメール設定例を紹介します。

設定の概要

ある特定のホスト「central-router.company.com」から「link down」を含むメッセージログを受信した場合にアラートメールを発報するが、1度アラートメールを発報すると、そのホストから「link down」を含むメッセージログを受信しても、15分間はアラートメールを発報しない。

設定内容

Rule: LinkDown_E-mail
Filters(フィルター設定)
①ホスト”central-router.company.com”から文字列”link down”を含むメッセージログをフィルターする設定例

Filter: Field=Hostname, Filter Type=Simple
Include: “central-router.company.com” [S]

Filter: Field=Message Text, Filter Type=Simple
Include: “link down” [S]

②Time interval (タイムインターバル) フィルター設定例

Filter: Field=Flags/Counters, Filter Type=Time interval
Fire this event once, then wait for 15 minutes before firing again.
注意:「Filter: Field=Flags/Counters」は必ずフィルター設定内で最後に配置してください。

Actions(アクション設定)
③E-mail message送信設定例

Action: E-mail message
E-mail Subject: Syslog message from %MsgHost
The link has gone down, please call the helpdesk.
Alert:
%MsgText

ルール解説

ホスト「central-router.company.com」から文字列「link down」を含むメッセージ ログを受信すると、①の2つのフィルターが真になります。
次に②のタイムインターバルフィルター が処理されます。

最初に、ホスト 「central-router.company.com」から、 「link down」を含むメッセージ を受信するとタイムインターバルフィルターは真となり、設定されているアク ションが実行され、指定された時間のカウントダウンが始まります。上の例では 15 分です。

同じホストから 「link down」を含むメッセージを受信すると①の1つ目と2つ目のフィルターが 再び真になりますが、カウントダウンタイマーがまだゼロになっていなければ②のタイムインターバルフィルターは偽になるので、③のアラートメール送信のアクションは実行されません。

カウントダウンタイマーがゼロになってから、ホスト「central-router.company.com」から 「link down」を含むメッセージ を受信すると②のフィルターが真になるので、③のアクションであるアラートメールが発報されます。

アラートメール設定をまずはお試し

Kiwi Syslog Server は、評価版で14日間お使いいただけます。
ダウンロード・お問合せは↓

ダウンロードはこちら
お問い合わせはこちら

Kiwi Syslog Serverについて詳しくは↓

Kiwi Syslog Server製品ページ

こんな記事も読まれています

最新記事

おすすめ記事

  1. 「リモートデスクトップの操作が遅い!」の原因を高速特定!ntopngによる輻輳原因の究明アプローチを実例でご紹介

  2. フリーWi-Fiに潜む悪魔の双子(エビルツイン)とは。加害者・被害者にならないために知るべきこと

  3. 「疑わしい」Windowsイベントログを抽出して、イベントログを活用する

製品カテゴリー

NetFlow ntop sFlow SNMP SSB Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワークモニター ネットワーク監視 ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや

JTC IT用語集
TOP