ログスペース設定画面例 |
螺子です。syslog-ng Store Box(SSB)は受信したログをバイナリおよびテキスト形式で保存することができます。
今回は、各形式に保存する方法と、その違いについて比較してみます。
SSBでは、ログの保存先ファイルをログスペースと呼んでいます。ログスペースを設定するには、[Log]>[Logspaces]で行います。
デフォルトで、”local”および”center”ログスペースが設定されており、”local”ログスペースは、SSB自身の内部ログを保存し、”center”ログスペースは、外部から受信したログを保存します。
- syslog-ng Store Box大活用連載企画第1回「syslog-ng Store Boxを知る」
- syslog-ng Store Box大活用連載企画第2回「syslog-ng Store Boxを仮想環境にインストールする」
- syslog-ng Store Box大活用連載企画第3回「syslog-ng Store Boxで出来ることまとめ」
- syslog-ng Store Box大活用連載企画第4回「Wiresharkでsyslogプロトコルパケットを覗く」
- syslog-ng Store Box大活用連載企画第5回「ciscoスイッチ、fortigateファイアウォールログをSSBで受信!よりログを検索しやすく」
- syslog-ng Store Box大活用連載企画第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」
- syslog-ng Store Box大活用連載企画第7回「Active Directoryと連携して、Active Directoryユーザー認証!」
- syslog-ng Store Box大活用連載企画第8回「SSBをHA(High Availability)構成で構築してみる!」
バイナリ形式設定
ログを保存する形式を指定するには、[Type]セクションで”LogStore”または”Text file”を選びます。”LogStore”はバイナリ形式で保存され、”Text file”はテキスト形式で保存されます。
受信したログをバイナリ形式で保存するには、[Type]セクションで、”LogStore”を選択します。
図1. [Type]セクション、”LogStore”設定例 |
バイナリ形式で保存したログを圧縮するには、”Compressed logstore”オプションをチェックします。
また、証明書を使用してログファイルを暗号化するには、”Encryption certificate”オプションで暗号化に使用する証明書をアップロードします。詳細については、過去記事「そのログ暗号化していますか? syslog-ng Store Box (SSB) 」を参照してください。
検索用のインデックスを指定するには、[Indexer]セクションで、”Enabled”を有効にします。
※ログ検索ページで、ログを閲覧・検索するには、ログ保存ファイルをバイナリ形式にしてインデックスを有効にする必要があります。
図2. [Indexer]セクション設定例 |
※バイナリ形式では、[Filename template]セクションで、保存ファイル名を指定することができません。”All messages in one file”以外を指定した場合、以下のメッセージが出力され、コンフィグレーションは保存されません。
図3. 説明を追加 |
テキスト形式設定
受信したログをテキスト形式で保存するには、[Type]セクションで、”Text file”を選択します。
図4. [Type]セクション、”Text file”設定例 |
テキスト形式では、[Filename template]セクションで、保存ファイル名を指定することができます。”Custom”を選択すると、テンプレートを使用して任意のファイル名を設定できます。詳細については、「syslog-ng Premium Edition Administration Guide」(英文)を参照してください。
保存ファイル名
バイナリ形式の保存では、ファイル名は”messages.store”にログが保存されます。その他は、インデックスなどの情報が保存されているファイルになります。
図5. バイナリ保存ファイル名例 |
テキスト形式の保存では、[Filename template]セクションで設定したファイル名で保存されます。
・Per host例
図6. “Per host”のログ保存ファイル名例 |
・Per application例
図7. “Per application”のログ保存ファイル名例 |
・”Per host and application”例
図8. “Per host and application”のログ保存ファイル名例 |
ログファイルの内容
テキストで保存されたログファイルは、もちろん、テキストエディタ―などで閲覧することが可能です。grepコマンドや正規表現などを利用して、ログを検索することができます。また、SIEMへ転送してログを解析することも可能です。ただし、SSBの検索ページでは、閲覧・検索はできません。
SSBのローカルディスクに保存されたログファイルを抽出する方法については、以降の連載記事にアップする予定です。
図9. ログのテキスト表示例 |
バイナリで保存されたファイルは、以下のようにエディターなどで閲覧できません。
図10. バイナリ出力 |
参考資料
詳細については、syslog-ng Store Box6 LTS管理者ガイドの「8 メッセージの保存」の各セクションをご覧ください。
比較まとめ
最後に、バイナリ形式とテキスト形式の違いを、以下の表にまとめましたので参考にしてください。それでは、次回の連載記事をお楽しみに!
機能 | バイナリ形式 | テキスト形式 |
---|---|---|
SSBで閲覧・検索 | 〇 | × |
圧縮 | 〇(圧縮率約50%) | × |
暗号化 | 〇 | × |
保存ファイル名指定 | × | 〇 |
エディタで閲覧・検索 | × | 〇 |
SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。