この記事では、Syslogサーバーから特定のSyslogメッセージだけをネットワーク監視ソフトウェア「Checkmk」に転送して監視する方法についてご紹介します。
文:ジュピターテクノロジー とぐち
※この記事に掲載されている商品またはサービスの名称は、各社の商標または商標登録です。
はじめに:Syslog監視の重要性
Syslogの監視はITインフラの健全性とセキュリティを維持するために不可欠です。Syslogサーバーにログを保存し、詳細なトラブルシューティングと監査を可能にします。
重要なSyslogメッセージにアラートや通知を設定することで、システム障害の迅速な対応とセキュリティインシデントの未然防止が実現できます。
Syslogサーバーとネットワーク監視ソフトの連携
Syslogサーバーとネットワーク監視ソフトを連携させることで、効果的なSyslog監視を実現できます。
- Syslogサーバーですべての機器からのSyslogを受信し、長期保存
- 重要なメッセージはネットワーク監視ソフトへ転送
- ネットワーク監視ソフトは転送されたメッセージを活用してアラートと通知を実行
この連携により、次のメリットが得られます。
- ネットワーク監視ソフトでSyslogの監視と他の監視、そしてアラート管理と通知を一元化
- 限られたSyslogメッセージのみを受信することでネットワーク監視ソフトのパフォーマンス低下やディスク容量不足を回避
「Checkmk」とSyslogサーバーの連携
様々なフィルタリング機能、アラート機能を備えたネットワーク監視ソフト「Checkmk」とSyslogサーバーを連携させ、効果的なSyslog監視を実現できます。
次の章からは具体的な設定方法を見ていきます。
Syslogサーバーでの設定
Syslogサーバーで次の検討・設定を行います。:
監視すべきSyslogメッセージの検討
- 特定の機器やPriority、Severity、メッセージ内の特定の文字列の有無など、Checkmkサーバーへ転送するメッセージを決定します。
Checkmkへの転送設定
- Syslogサーバーで転送機能を有効化
- Syslogメッセージをフィルタリングして転送ルールを設定
- 必要に応じて、転送メッセージを加工して情報を補完
- SyslogメッセージがCheckmkに転送される際に、ヘッダーのHostnameフィールドがオリジナルのSyslog送信元機器のIPアドレスになるように設定
- 転送先としてCheckmkサーバーを指定
Syslogサーバーでの詳細な設定を完了させてください。
Checkmkでの設定
Checkmkでは「イベントコンソールでの受信条件設定」と「通知メールの送信条件設定」を行います。それぞれ順に、画面を見ながら説明していきます。
イベントコンソールで受信条件を設定する
Checkmkサーバーは、受信したSyslogメッセージをイベントコンソールでまとめて表示します。Syslogサーバー側であらかじめ対象のメッセージを絞ってから転送しているため、Checkmk側では受信対象とするサーバーを設定するだけです。
今回は、ホストAが大量のログをSyslogサーバーに送信し、そのSyslogサーバーでフィルタをかけ抽出したSyslogメッセージだけをCheckmkサーバーへ転送する、という状況で設定していきます。
前章にも記載していますが、SyslogサーバーからCheckmkに転送される際に対象のSyslogメッセージのHostnameフィールドが「ホストA」のIPアドレスになるようSyslogサーバー側で設定済であることを確認してください。
セットアップ>”イベント”>イベントコンソール を開き、図1赤枠の「ルールパックを編集する」ボタンをクリックします。
図2赤枠「ルールを追加」ボタンをクリックします。
図3赤枠を設定します。
- ルールID:任意のルールID(日本語不可)
以下は、どちらかを指定してください。※両方指定することはできません。
- ホストと一致する:転送前のSyslogサーバーにSyslogを大量に投げている「ホストA」のアドレスを指定することができます。1つのホストを指定して収集したい場合はこちら。
- 元の送信元IPアドレスと一致する:フィルタリング・転送を行っているSyslogサーバーのIPアドレスを指定することができます。そのSyslogサーバーが複数の機器からのメッセージを受信・転送している場合はこちらを選択し指定すると便利です。
今回は「元の送信元IPアドレスと一致する」を選択して進めます。
- アクション:監視通知を送信する にチェック
以上でイベントコンソールでの受信設定は完了です。正しくメッセージが送られていれば、モニター>”イベントコンソール”>イベント を開くことで受信一覧を確認できます。
次に、イベントコンソールでSyslogを受信した場合にメールが発報されるよう設定していきます。
通知メールの送信条件を指定する
セットアップ>”イベント”>通知 から通知設定画面を開き、図5赤枠「ルールを追加」ボタンをクリックします。
図6の画面が開きます。ここでは通知方法と、通知先を設定します。
- ▼通知方法 :HTML Eメールを選択し、メールに掲載したい必要なパラメーターにチェック、設定をしてください。
- ▼連絡先の選択 :連絡したい対象のユーザーを選択・入力します。
上記図6の設定内容については画面上部の「ヘルプ」>「インラインヘルプを表示」をクリックすると、入力内容例や項目の説明が表示されますので参考にしてください。
最後に、一番したの条件を設定していきます。(図7)
一番下の「イベントコンソールアラート」のチェック有効
- イベントコンソールアラートのみに一致 選択
- ルールID:SyslogWatcher ※イベントコンソール設定(図3)で入力したルールID
以下は任意です。受信メッセージにさらに条件を指定して仕分けしたい場合のみ設定してください。基本的には動作を軽減するためにも、Syslogサーバー側で全て条件を絞り抽出したメッセージのみを転送するように設定することを推奨します。
- Syslogの優先度に一致:任意。優先度で条件指定
- 一致するsyslogファシリティ:任意。ファシリティで条件指定
- マッチイベントコメント:任意。メッセージの文字列で条件指定
以上で設定は完了です。あとはCheckmkのイベントコンソールでSyslogを受信すると、自動的にメールが発報されます。通知が発報されたことは、セットアップ>”イベント”>通知 の設定画面の、「最近の通知(分析用)」という一覧で最新から10件までの新規通知を確認することができます。
まとめ
SyslogサーバーとCheckmkを連携することで以下が実現できました。:
SyslogサーバーではすべてのSyslogメッセージの受信と長期保存を行いつつ、ネットワーク監視ソフト「Checkmk」では監視負荷やディスク容量を軽減しつつ、Syslogおよびその他の監視に関するアラートと通知を一元化できました。
Checkmkには、今回ご紹介した通知設定以外にも、条件を細かく指定して通知を実行したり、Eメール以外の通知機能も設定することが可能です。また、ネットワーク監視ソフトとしての機能も豊富で、オンプレミスからコンテナまで、また小規模から大規模まで、あらゆる環境を監視・統合することができるツールです。評価版もございますので、是非お気軽にお試しください。
弊社取扱いSyslogサーバー:SyslogWatcher, WinSyslog
製品詳細・お問合せ
Checkmkにご興味のある方は、以下のリンクから弊社までお問合せください。
