「syslog-ng Store Boxで出来ることまとめ」syslog-ng Store Box活用連載企画vol.3

ジュピターテクノロジー株式会社のブログへようこそ!本連載記事の担当をしている楊枝(ヨウジ)です。
本連載企画は、わたくし楊枝と螺子(ネジ)2名で全20回に渡ってsyslog-ng Store Box及びその最新周辺技術を紹介、読者の皆様と一緒に勉強・検証していくスキルアップブログを目指しております。

これまで2つの連載記事を公開してきましたが、過去記事は読んでいただけましたでしょうか?未だ読んでいない方は、本記事を読む前に是非以下のリンクを確認してみてください!

さて、前回の第2回記事で実際に皆様の環境にsyslog-ng Store Boxをセットアップして頂きました。如何でしたでしょうか?比較的簡単にセットアップ完了したと思います。今回は、早速その検証環境を使って、集中ログ管理を設定!っといきたいところですが、ここでコーヒーブレーク。syslog-ng Store Boxって結局何が出来て何が出来ないの?という疑問が読者の皆さんの頭の中に沸いている頃だと思いますので、今回の記事では、そのあたりを奇麗さっぱりまとめてスッキリして頂きたいと思います。

先ずは、syslog-ng Store Boxのログイン画面から改めてご紹介します。第2回記事でセットアップした環境がある方は、ご自身の実機で確認してみてください。virtualBoxからsyslog-ng Store Box(以降、SSB)仮想マシンを起動して、FirefoxからSSBにアクセスしてください。図1のログイン画面が表示されます。ユーザ名:adminと設定したパスワードでSSBにログインしてください。

図1 SSBログイン画面

ログイン完了しましたら、図2のSSBの検索画面が表示されると思います。左メニューの”Search”→”Logspaces”が選択されている状態ですね。図2は、Logspaceに”Allsearch”といった楊枝が作った”Multiple Logspaces”が選択されておりますが、こちらは皆様の環境にはございませんので、前回の説明の通り”local”をプルダウンメニューで選択してログを表示してください。

図2 SSBログイン後画面

本記事では、図3の左メニューを使ってSSBが出来ることを説明します。図3のメニューですが、それぞれの項目、例えば”Basic Settings”をマウスで左クリックをすると詳細メニューが展開できますので、すべて展開してみましょう。展開すると、図4の通り表示されます。

図3 SSB左メニュー
図4 SSB左メニューの展開

SSBはアプライアンス製品ですので、ベースとなるOSにCUIでログインして設定することは非常に稀です。つまり、WEB GUI上の左メニューで出来ることをおさえてしまえば、SSBで出来ることをだいたい把握したと考えて問題ないでしょう。ただし、左メニューをすべて順を追って説明するとかなりの長文となってしまいますので、ここではプライオリティの高い設定のみ表1で紹介したいと思います。

表1. SSB 5LTS で出来ることまとめ
No 分類 項目 備考
1 信頼性 HAの実装※Tシリーズのみ 2ノードのフェイルオーバクラスタリング
2 AAA 認証とアカウントのアクセス権限設定 Radius,Ldap,Ad連携
3 運用 ssh設定管理 ssh設定メニューの無効化
4 運用 送信ホストリスト管理 ログ送信ホストの制限設定
5 運用 SSBログスペースのファイル共有(CIFS/NFS) SSBのログスペースを他ノードから共有可能
6 運用 外部リソースへのバックアップ・アーカイブ設定 ログスペース、設定ファイルをバックアップ、アーカイブ設定可能
7 運用 アラートメール及びSnmp Trap設定 SSBのシステムエラー、ヘルスチェック、syslog-ngプロセスのアラート設定
8 ログ機能 Snmp Trap受信 Snmpトラップを受信。MIB OIDのシンボル変換なし
9 ログ機能 SQLのfetch 設定したSQLサーバからレコード取得が可能
10 ログ機能 Sources設定(受信設定) プロトコル(TCP,UDP,TLS,RLTP)、受信ポート、文字エンコードなど設定
11 ログ機能 Logspaces(ログ保管スペース設定) ログの保存形式(バイナリ、テキスト)、暗号化、バックアップなどの設定
12 ログ機能 仮想ログスペース ・他ノードSSBのログスペース表示設定
・複数のログスペースの表示を可能とするエイリアス設定
13 ログ機能 Destinations(ログ転送設定) Splunk、Sqlサーバ、Snmp他外部ノードへのログ転送設定
14 ログ機能 SourcesとDestinationsの紐づけ設定
#10で設定したSources#13 Destinations#11 Logspace含む)との紐づけ設定。フィルター、カスタムフィルター、パーサーを紐づける

15 ログ機能 パーサー設定 メッセージパーサの設定
16 ログ機能 パターンデータベース ログ分類の為のパターン設定
17 検索 ログスペース検索 論理式を用いてのログスペースを検索
18 検索 コンテンツベースアラート ログ内容に応じたアラートメール設定
19 検索 Sql宛先管理 宛先Sqlサーバの設定
20 検索 設定変更履歴 設定変更履歴の表示
21 検索 ログアラート アラート送信履歴
22 検索 アーカイブ、クリーンアップ履歴 アーカイブ、クリーンナップ履歴を表示
23 レポート レポート設定 レポート設定
24 レポート レポート生成 カスタムレポート作成

表1をざっと確認いただけましたでしょうか?SSBの主要機能はやはり集中ログ管理機能ですので、ネットワークや運用設定といった基本的な設定が完了すれば、重要な項目は表1の分類列、”ログ機能”、”検索”、”レポート”が主要な要素になってきます。

図4や表1で、”Logspaces”、”Sources”、”Destinations”、”Paths”といった見慣れない用語が出てきました。これらの用語は、syslog-ng Store Box及びsyslog-ng関連製品を理解・活用する上で外せない用語となりますで、こちらで詳しく説明します。

図5を拡大表示して確認してください。こちらが、syslog-ng Store Boxのログ受信設定を理解するのに一番容易な図となります。

図5 SSBログ受信設定概要

例えば、ログの送信元をSwitchとしましょう。ログ送信設定で送信先IPアドレスをSSBに設定します。SSBでログを収集するためには、図5の通り、②Source->③Logspace->④Pathsの順番で設定を設計してあげる必要があります。では、実際にSSBの設定画面を見てみましょう。図4の”Log”→”Paths”をクリックしてください。

図6がPathsの設定となります。左から、”Source”を設定し、次に”Destination”を選択し最後に”commit”ボタンを押す。これで”Paths”が設定されたことになり”Source”から受け取ったログを”Destination”である”Logspace”に保存/転送するといった設定になるのです。

図6 Paths設定

ここで前回の記事で紹介した表2を再び参照してみましょう。

表2 デフォルトDestinationとSource
項番 Destination
※ログ保管先スペース名
Source
※ログ受信設定
Sourceの説明
1
local
local SSBの内部ログ
2 internal syslog-ngのログ
3
center
legacy UDP 514ポートでのBSD形式 syslog受信
4 tcp TCP 601ポートでのIETF形式 syslog受信
5 tls TLSプロトコルでのIETF形式 syslog受信
6 snmp snmpトラップ
7 tcp_legacy TCP 514ポートでのBSD形式 syslog受信

デフォルトの”center”設定のおかげで、既に外部から5つのプロトコルに対応した受信設定が施されております。受信元を絞るフィルター設定を施していないことから、全てのホストからログを受信することが出来ます。つまり、デフォルトインストールで既に集中ログ管理を実現できる状態ということですね。

如何でしたでしょうか?syslog-ng Store Boxのログ受信の設定の仕組みを理解出来ましたでしょうか?この”Source”、”Logspace”、”Destination”、”Paths”の考え方は、これからも繰り返し出てきますので、本記事で理解しておいてくださいね。次回連載記事は、syslog-ng Store Box大活用連載企画第4回「Wiresharkでsyslogプロトコルパケットを覗く」となります。こちらで、実際にお手持ちの検証環境にてクライアントからのログ受信を設定、送受信してみることになります。次回連載記事をお楽しみに!


SSBは、高信頼ログ管理アプライアンスです。様々なデバイスおよびアプリケーションからログメッセージを収集、分類、フィルタリング、正規化して安全に保存可能です。ログデータの信頼性を担保し、膨大なログが発生する高負荷環境、あるいはログロストが許されない企業・組織のログ管理に最適です。


syslog-ng Store Boxについての詳細は、製品紹介ページ・製品ガイドをご参照ください。

評価版のダウンロード

問合わせ

-->

こんな記事も読まれています

最新記事

おすすめ記事

  1. 産業スパイを発見し、防ぐ方法とは

  2. Flexible NetFlowとは?を5分で理解する

  3. WinSyslog 使い方ガイド#2 受信時刻とデバイスタイムスタンプ両方を出力する

製品カテゴリー

JTC IT用語集
TOP