【SSB】新サーチページのログ閲覧・検索

過去の記事では、SSBバージョン5 LTSのサーチページの使い方を説明しました。その後、SSBは6 LTSから7 LTSへバージョンアップされ、サーチページも機能改善などリニューアルしています。本記事では、「【SSB】新サーチページのログ閲覧・検索」と題して、SSBバージョン7 LTSでのサーチページの使い方と連携機能について説明します。

サーチページの概略

SSBのログの閲覧・検索は、通常お使いのブラウザからWebインターフェースを使用して行えます。そのため、特別なViewerソフト等は不要です。 SSBでログを閲覧・検索するには、メインメニューから[Search]>[Logspaces]ページを開きます。 上段には時系列で受信ログ量をグラフ表示し、下段にはログの一覧がリストされます。

図1. サーチページの概略

バージョン5 LTSからの主な変更点は以下になります。

  • 検索の実行をまたはを選択できるようになりました(7 LTS)。
  • [Action bar]に検索リンクやCSVエクスポート機能が集約され、コンテンツベースアラート設定が追加されました(6 LTS)。
  • ルックアンドフィールがより使いやすく洗練されました(6および7 LTS)。

ログの検索方法

サーチページは、デフォルトで直近の15分間のログが出力されます。必要に応じて期間や検索式を指定してログを出力します。

  • :ログが保存されているログスペースを選択します。
  • :検索式を入力します。ワイルドカードとブール式が使用できます。をクリックして検索式をクリアします。
  • または:検索を実行します。
  • :グラフの表示/非表示を切り替えます。グラフを非表示にするとログの検索結果の表示までの時間を短縮できます。

※”Search”は、グラフィカルなグラフ(タイムライン)生成およびログの検索結果数の計算を省略することにより、”Search with timeline”よりも高速に検索結果を表示することができます。”Search”と”Search with timeline”のパフォーマンスの違い(指標など)について、メーカーからの情報はありません(ログ量やシステムリソースなどの要因によって異なります)。

  • :クリックすると、検索に関するドキュメントウィンドウが表示されます。
図2. 検索に関するドキュメントウィンドウ例

期間指定とグラフ(Overview)

ログの出力期間を指定するには、以下の方法があります。

  • :日時を直接入力するか、カレンダーを表示して日時を指定します。
図3. カレンダー例
  • :出力期間をズームイン/ズームアウトします。
  • :出力期間を”15分”、”1時間”、”6時間”、”1日”および”1週間”を選択できます。
  •  :矢印を使用して出力期間の時間を戻す、進めることができます。
  • 棒グラフを選択して、選択した棒グラフの期間を絞り込むことができます。
図4. 棒グラフ選択例
  • :棒グラフの上にマウスを置くと、棒グラフが示す期間の開始日時と終了日時およびメッセージ数が表示されます。クリックするとその期間のリストが表示されます。
  • :棒グラフの範囲期間を示しています。

Action bar(アクションバー)

Action bar(アクションバー)では、以下を行うことができます。

  • :検索結果の数を表示します。実行の場合、検索結果数は計算されず、と表示されます。
  • :検索クエリーのリンクを取得します。検索結果を共有するのに有益です。
図5. リンク取得画面例
  • :検索結果をCSVファイルにエクスポートします(大量のデータをエクスポートしないでください)。
図6. CSVエクスポート画面例
  • :コンテンツベースアラート設定を行います。検索式に一致したログを受信した場合に管理者にe-mailアラートを通知します。
図7. コンテンツベース設定画面例

ログのリスト表示

  • :リストの表示数(“10″、”20″、”50″、”100”)を変更できます。
  • :リストの最初/最後、一行アップ/ダウン、ページアップ/ダウンができます。
  • :リストに表示するカラムをカスタマイズできます。
図8. カスタマイズカラム設定画面例
  • マウスホイールを使用してリストをスクロールできます。
  • :クリックして、リスト表示のログメッセージ全体表示します。
  • :クリックして、リスト表示に戻します。
図9. ログメッセージ全体表示例
  • :統計情報を表示します。インデックス付けされたメッセージ部(ホスト部やプログラム部)および動的カラム(name-valueペア)を統計表示できます。
図10. 統計情報表示例
  • メッセージの任意の単語をクリックすると、その単語(トークン)を[Search]フィールドにコピーします。検索文字のキー入力の手間を省くことができます。以下の例では、”sudo”という単語をマウスでクリックすると、[Search]フィールドにその単語がコピーされています。
図11. 単語のクリック例
図12. [Search]フィールドへの単語のコピー例

連携機能

以下の連携機能は、バージョン5 LTS以降も引き続き利用できる有益な機能です。

アクセス制限

SSBのユーザーアクセス制御機能により、特定ユーザーのみにサーチページへのアクセス、あるいは特定のログスペースへのアクセスを許可することができます。

  • ページへのアクセス制限:[Search]メニューを制限することにより、[Search]メニューにアクセスできなくしています。

:[Search]メニュー表示。:[Search]メニュー制限。

  • ログスペースへのアクセス制限:すべてのログスペースにアクセス(左側)できるのに対し、特定のログスペース([local])のみにアクセスを制限(右側)しています。

:アクセス制限なし。:アクセス制限あり。

暗号化ログの閲覧

暗号化されたログ(スペース)も、このサーチページでシームレスに閲覧・検索ができます。暗号化されたログ(スペース)は暗号化した鍵の秘密鍵を保持するユーザーのみ閲覧可能です。秘密鍵を保持していないユーザーの閲覧はできません(エラー表示されます)。

図13. 暗号化ログ(スペース)の閲覧不可例

アーカイブログの閲覧

ローカルに保存されたログだけでなく、外部ストレージ(NAS)等にアーカイブされたログに対してもシームレスに閲覧・検索できます。

レポート

統計情報はレポートに含めることができ、管理者に定期的に送信できます。

図14. レポート例

おわりに

いかがでしたでしょうか?

サーチページでは、連携機能によりログの閲覧・検索を有効に利用できることも紹介しました。

SSBの機能

本記事で使用したSSBの機能は以下の通りです。

  • サーチページ(ログの閲覧・検索)

参考資料

サーチページの使い方の詳細については、syslog-ng Store Box 7 LTS管理者ガイドの「12 ログメッセージの検索」を参照してください。

過去連載記事

「SIEMのコスト削減とパフォーマンス向上(誤検知防止)の技」連載記事リスト

「リモートアクセスログを調査」連載記事リスト

「syslog-ng Store Box大活用連載企画」連載記事リスト

SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。

syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

製品紹介ページ
製品ガイド
評価版ダウンロード
お問い合わせ

こんな記事も読まれています

最新記事

おすすめ記事

  1. Splunk Enterpriseへのログ転送「SSBからSplunk Enterpriseへシスログ転送」

  2. デスクトップ仮想化の 4 通りの構成と Windows 11 マルチセッション

  3. 「NetFlowとは?」「フローとは?」を5分で理解する

製品カテゴリー

NetFlow sFlow SNMP SSB syslog Syslogサーバー シスログサーバー セキュリティブログ トラフィック監視 ネットワーク監視 ログサーバー ログ保存 ログ管理 ログ管理ブログ 機器・サーバー監視のへや

JTC IT用語集
TOP