この記事では、Syslogサーバーから特定のSyslogメッセージのみをネットワーク監視ソフトウェア「PRTG Network Monitor」に転送して監視する方法について紹介します。
文:ジュピターテクノロジー やすだ
※この記事に掲載されている商品またはサービスの名称等は、各社の商標または商標登録です。
はじめに:Syslog監視の重要性
Syslogの監視は、ITインフラの健全性とセキュリティを維持するために不可欠です。
Syslogサーバーにログを保存し、詳細なトラブルシューティングと監査を可能にします。
重要なSyslogメッセージにアラートや通知を設定することで、システム障害の迅速な対応とセキュリティインシデントの未然防止が実現できます。
Syslogサーバーとネットワーク監視ソフトの連携
Syslogサーバーとネットワーク監視ソフトを連携させることで、効果的なSyslog監視を実現できます:
- Syslogサーバーですべての機器からのSyslogメッセージを受信し、長期保存
- 重要なメッセージはネットワーク監視ソフトへ転送
- ネットワーク監視ソフトは転送されたメッセージを活用してアラートと通知を実行
この連携により、次のメリットが得られます:
- ネットワーク監視ソフトでSyslog監視とその他の監視、そしてアラート管理と通知を一元化
- 限られたSyslogメッセージのみを受信することでネットワーク監視ソフトのパフォーマンス低下やディスク容量不足を回避
「PRTG」とSyslogサーバーの連携
使いやすさに定評のあるネットワーク監視ソフト「PRTG Network Monitor(以降、PRTGと記載)」とSyslogサーバーを連携させて、効果的なSyslog監視を実現しましょう。次の章からは具体的な設定方法を見ていきます。
Syslogサーバーでの設定
はじめに、Syslogサーバーで次の検討、設定を行います。
監視すべきSyslogメッセージの検討
特定の送信元機器やPriority、Severity、メッセージ内の特定文字列の有無など、PRTGサーバーへ転送するメッセージを決定します。
PRTGへの転送設定
- Syslogサーバーで転送機能を有効化
- Syslogメッセージをフィルタリングして転送ルールを設定
- 必要に応じて、転送メッセージを加工して情報を補完
SyslogメッセージがPRTGに転送される際に、ヘッダーのHostnameフィールドがオリジナルのSyslog送信元機器のIPアドレスになるように設定 - 転送先としてPRTGサーバーを指定
これで、SyslogサーバーからPRTGへSyslogメッセージが転送されるようになりました。
※PRTGのデフォルトのSyslog受信ポートはUDP514です。
※PRTGはTCPでのSyslog受信に対応していません。
当社取扱いのSyslogサーバーでの詳細な設定方法は今後別の記事で紹介予定です。
PRTGでの設定
「Syslog レシーバー」センサーを追加
PRTGはSyslogを「Syslog レシーバー」センサーで監視します。
PRTGの「プローブデバイス」に「Syslog レシーバー」センサーを追加します。
PRTGのWebインターフェイスで操作していきます。
- プローブデバイスの[センサー追加]をクリック
- 「センサーの追加」画面の検索バーに「syslog」を入力
- 候補として表示された「Syslog レシーバー」センサーをクリック
- [作成]をクリック
「Syslog レシーバー」センサーが追加されました。作成後すばらくするとセンサーが緑色になります。これでSyslogを受信して監視する準備ができました。
PRTGでSyslogメッセージとアラートを確認する
Syslogメッセージをセンサーで確認
センサーをクリックし、さらに[メッセージ]タブをクリックするとメッセージを確認できます。
「Source」がSyslogサーバーのIPアドレスです。「Hostname」がオリジナルのSyslog送信元機器のIPです。
その他、Message内容、Severity、Facilityなどを確認できます。
アラート条件
センサーは受信したSyslogメッセージの「Severity」に応じてセンサーステータスを変化します。
デフォルトでは、Severityが「4」:黄色の「警告」ステータス、Severityが「0~3」:赤の「ダウン」ステータスに変化します。
ステータス変化はPRTGの画面上でアラートとして確認できます。
注意:「Syslog レシーバー」センサーは、デフォルトで1分ごとにSyslogメッセージの受信をチェックし、アラート条件に一致するメッセージを受信した場合にステータスを変化させます。ステータスが変化した後、次のチェック時に条件に一致するメッセージを受信していない場合は、センサーのステータスは緑の「アップ」に戻ります。
参考:アラート条件の詳細、変更についてはセンサー紹介資料をご参照ください。「Syslog レシーバー」センサー紹介資料
通知メールの設定
センサーが赤の「ダウン」ステータスになった場合に、メール通知を実行する設定を行います。
メールサーバーへのリレー方法など、メール通知配信の基本的な設定については、簡易マニュアルをご参照ください。
デフォルトでは「600秒以上」センサーの「ダウン」が継続した場合のみにメール通知が実行されます。
ここでは、Syslogセンサーがダウンした場合に即座にメール通知を実行する設定を追加します。
- センサーをクリック、[通知トリガー]タブをクリック
- 「+」ボタン|「ステータストリガーの追加」をクリック
- 「継続して< 0 >秒以上、センサーのステータスが< ダウン >の場合、< 管理者にメール通知やプッシュ通知を送信する >を実行する」に設定
- 「✓(トリガーを保存)」ボタンをクリック
これで、センサーがダウンした場合に即メール通知が実行されるようになりました。
高度な設定
「Syslog レシーバー」センサーを複数作成し、それぞれに個別のフィルタールールや通知を設定することができます。例えば、転送されたSyslogメッセージのうち、特定のホスト名やメッセージ文字列を持つものだけを受信し、アラートや通知を実行するセンサーを作成できます。これにより、受信したSyslogメッセージに応じて通知先や通知方法を使い分けることができます。
参考:フィルター、アラート条件の詳細、変更についてはセンサー紹介資料(再掲)をご参照ください。「Syslog レシーバー」センサー紹介資料
まとめ
SyslogサーバーとPRTGを連携することで以下のことが実現できました:
SyslogサーバーではすべてのSyslogメッセージの受信と長期保存を行いつつ、ネットワーク監視ソフト「PRTG」では監視負荷やディスク容量を軽減しつつ、Syslog監視およびその他の監視に関するアラートと通知を一元化できました。
PRTGには他にもさまざまなセンサーがあり、必要に応じて選んで追加することで監視を拡張できます。リソース、トラフィック、ベンダー専用センサー、カスタムセンサーなど、さまざまな種類のセンサーが用意されています。Syslog監視にとどまらず、ネットワーク全体を統合的に監視することが可能です。
トライアル版、フリー版もございます。オールインワンネットワーク監視PRTGをぜひお試しください。
