Nagios Log Server に関するご質問

よくあるご質問

Nagios Log Serverに関してよく寄せられるご質問とその回答を掲載しております。
ご不明な点等ございましたら、お手数ですが、こちらよりお問合せ下さい。

1. ログインエラーに関する質問

1.1 管理者ユーザ(nagiosadmin)のパスワードを忘れてしまい、ログインできません。

パスワードリセットスクリプトを実行して、nagiosadminユーザのパスワードをリセットしてください。
# /usr/local/nagioslogserver/scripts/reset_nagiosadmin_password.sh
Enter a new password:        ※新しいパスワードを入力しEnter
The password has been set for nagiosadmin user.

1.2 ログイン画面が表示されません。Elasticsearchサービスの再起動が要求されます。

システムの負荷が高くメモリが不足するとElasticsearchサービスが停止してしまします。
ターミナルからElasticsearchサービスを開始してください。
#service elasticsearch start この現象が頻発する場合は、メモリの増設またはクラスタノードの追加をご検討ください。

Nagios Log Server FAQトップへ↑

 

2. ログ受信に関する質問

2.1 ログが表示されません。ログがNagios Log Serverに到達しているか調査する方法を教えてください。

OSレベルでトラフィックを受信しているかどうかはtcpdumpで確認できます。
例:
tcpdump -n host 192.168.x.x and dst port 5544 OSおよびネットワーク経路上のFW設定でログ送信ポートが拒否されていないかご確認ください。

2.2 UDP 514でsyslogを受信したいです。 Web UIで514ポート用のインプット定義を追加したのにUDP 514からのログを受信できません。

ログのインプット処理に使用されるlogstashサービスはデフォルトでは、nagiosユーザで起動しまされています。このため1024以下のwell knownポートを使用することができません。
well knowポートでログ受信を行うには、「特権ポートでのログ受信」を参照してlogstashサービスの実行ユーザを変更してください。

2.3 UDP 162でSNMP Trapを受信したいです。 Web UIで162ポート用のインプット定義を追加したのにUDP 162からのSNMP Trapを受信できません。

ログのインプット処理に使用されるlogstashサービスはデフォルトでは、nagiosユーザで起動しまされています。このため1024以下のwell knownポートを使用することができません。
well knowポートでログ受信を行うには、「特権ポートでのログ受信」を参照してlogstashサービスの実行ユーザを変更してください。

snmptrapインプット定義内でcommunityが正しく設定されていることを確認してください。

2.4 nxlogをWindowsサーバにインストールしてconfigファイルを差し替えましたが、すべてのイベントログが送信されてしまいます。特定のイベントログのみを送信したいのですが、可能でしょうか?

はい、nxlog.confファイルの定義を変更することで可能です。

例えば、securityログのEventIDが4663、4656、4658のみをNagios Log Serverへ送信したい場合はnxlog.confファイルのWindows Event Log 設定セクションを以下の内容に書き換えてください。
# Windows Event Log
<Input eventlog>
# Uncomment im_msvistalog for Windows Vista/2008 and later
Module im_msvistalog

Query <QueryList>\
<Query Id="0">\
<Select Path='Security'>*[System[(EventID='4663') ]]</Select>\
<Select Path='Security'>*[System[(EventID='4656') ]]</Select>\
<Select Path='Security'>*[System[(EventID='4658') ]]</Select>\
</Query>\
</QueryList>

# Uncomment im_mseventlog for Windows XP/2000/2003
# Module im_mseventlog
</Input>
ファイルの変更が完了したら、nxlogサービスを再起動してください。
詳しくは、nxlogマニュアル を御参照ください。

2.5 Nagios Log Serverで表示される@timstampはログをNagios Log Serverがログを受信(処理)した日時でしょうか?それともログメッセージ内の日時でしょうか?

受信処理に使用するLogstashのインプットプラグインの実装に依存します。
例えば、syslogインプットを使用した場合、日時データの解析に成功した場合はログメッセージ内の日付情報が@timestampに使用されます。tcp,udpプラグインを使用した場合やsyslogプラグインで日時データの解析に失敗した場合はNagios Log Serverがログを受信した日時が@timestampに設定されます。

'@timestampをNagios Log Serverがログを受信した日時に統一したい場合は、デフォルトのsyslogインプットではなく、tcpまたはudpインプットプラグインでsyslogを受信されることをお勧めします。

2.6 ログを受信していません。logstashサービスが停止してしまっているようです。
logstashサービスを再起動させる方法を教えてください

logstashサービスは、Nagios Log Server上で「管理 -> システムステータス -> Logstashコレクタ -> 開始(/再起動)」から開始(再起動)できます。

サーバコンソールから開始(/再起動)する場合は、"service logstash start(/restart)" を実行してください。

Logstashコンフィグファイルの構成にエラーがある場合、サービスが自動で停止する場合があります。/var/log/logstash.log をご確認ください。

サポートが必要な場合は、カスタマーポータルよりお問い合わせください。
その際、以下の情報も合わせてご提供ください。
 ・ /var/log/logstash.log
 ・ cat /usr/local/nagioslogserver/logstash/etc/conf.d/* コマンドの出力結果

2.7 Linuxサーバ上のログファイルをNagios Log Server へ送信したいのですが、ログファイル名が固定ではありません(ファイル名に本日日付が含まれています)。どうすればよいのでしょうか?

■syslog-ngの場合:
syslog-ng PE (商用版)であれば、ファイル名のワイルドカード指定が可能です。
ライセンスをお持ちであれば、syslog-ng PEをご利用ください。

「The syslog-ng Premium Edition Administrator Guide
Chapter 6. Collecting log messages — sources and source drivers」
をご参照ください。

■rsyslogの場合:
rsyslog v8.5.0 以上であれば ファイル名の指定にワイルドカードを使用できるようです。
rsyslogを v8.5.0 以上にアップグレードし、inotifyモードでログファイルをNagios Log Serverへ送信してください。

注記: Nagios Log Server上の 「+ログソース -> Linuxファイル -> スクリプト(/_手動)」タブページで説明されている定義内容は利用できません。rsyslogのマニュア ル「rsyslog 8.x documentation -> imfile: Text File Input Module」をご参照ください。

コンフィグファイルのサンプルを希望いただく場合は、カスタマーポータルよりお問い合わせください。

Nagios Log Server FAQトップへ↑

 

3. ログ解析に関する問題

3.1 カスタムフィルタを追加したのですが、数値も文字列型で処理されてしまいます。

logstashは型の指定がない場合、文字列として処理します。数値型で保存する場合は、型を指定するか、変換する必要があります。
(例1)型を指定: 
       %{NUMBER:rcvd:int}

(例2)型を変換:
   mutate {
      convert => ['rcvd', 'integer']
   }

Nagios Log Server FAQトップへ↑

 

4. ログ出力に関する質問

4.1 ログをテキストファイルに出力することは可能ですか?

ログは標準では内部DB(Elasticsearch)にのみ出力(保存)されますが、アウトプット定義を追加することでテキストファイルに出力することも可能です。(機能的には可能ですが、処理能力についてはお使いのマシンスペックやログ処理量に依存します。)

例:
file {
  path => "/tmp/dailylogs-%{+YYYY-MM-dd}.txt"
}
詳しくは、以下を御参照ください。
https://www.elastic.co/guide/en/logstash/current/plugins-outputs-file.html#_synopsis_57

Nagios Log Server FAQトップへ↑

 

5. 表示やデータ更新に関する質問

5.1 ダッシュボードページの家アイコンをクリックすると404エラーページに遷移します。

この問題はバージョン1.3.0で修正されました。(2015R2.2以前のバージョンでIEを使用する場合この問題が発生します)。最新バージョンにアップグレードしていただくか、ブラウザにFirefoxまたはGoogle Chromeを御利用ください(開発元はFirefox, Google Chromeで動作検証を行っています)。

5.2 ダッシュボードページに受信されているはずのログが表示されません。

・ システムタイムゾーンが正しく設定されているか(「管理 -> 一般 -> グローバル設定」「クラスタタイムゾーン」にタイムゾーンが正しく設定されていること(例:「(UTC+09:00) Tokyo」)を確認してください。

・ダッシュボードの「期間フィルタ」(画面上部の「a day ago to a few seconds ago」リンク)を切り替えて表示期間を更新してみてください。

Nagios Log Server FAQトップへ↑

 

6. 仮想マシンイメージに関する質問

6.1 仮想マシンイメージのディスクサイズを増やしたいです。可能でしょうか?

はい、可能です。
手順については、「Nagios Log Server – VMディスクサイズの変更」ガイドを御参照ください。

Nagios Log Server FAQトップへ↑

 

7. 運用全般に関する質問

7.1 インデックスを手動でクローズ/オープンする方法を教えてください。

■インデックスを手動でクローズする場合は、以下のコマンドを実行してください:
curl -XPOST 'localhost:9200/<インデックスファイル名>/_close'
例: 2016年 1月のすべてのインデックスをクローズする
curl -XPOST 'localhost:9200/logstash-2016.01.*/_close' ※ この例では、アスタリスク(*)をワイルドカードとして使用しています。

■インデックスを手動でオープンする場合は、以下のコマンドを実行してください:
curl -XPOST 'localhost:9200/<インデックスファイル名>/_open'
例: 2016年 1月のすべてのインデックスをオープンする
curl -XPOST 'localhost:9200/logstash-2016.01.*/_open' ※ この例では、アスタリスク(*)をワイルドカードとして使用しています。

7.2 PHPメールが届きません。

Nagios Log Serverサーバーでメールサーバーを名前解決できていない可能性があります。DNSサーバを使用できない場合は、/etc/hostsファイルに使用するメールサーバーのホスト定義を追加してください。

7.3 Nagios Log Server サーバーにウィルス対策ソフトをインストールします。スキャンを除外すべきディレクトリを教えてください。

以下のディレクトリをスキャン除外対象に指定してください:
/usr/local/nagioslogserver/elasticsearch/data (*)
/var/log/logstash
/var/log/elasticsearch
/store/backups/nagioslogserver
(*) /usr/local/nagioslogserver/elasticsearch/data はデフォルトのデータ保管パスです。保管場所を変更している場合は、そのパスをスキャン除外対象としてください。

Nagios Log Server FAQトップへ↑

 

8. その他の質問

8.1 Nagios Log Serverを再インストールしたいです。アンインストール手順を教えてください。

以下のコマンドを実行してください。
■Nagios Log Server version 1.3.0の場合:
service logstash stop
service elasticsearch stop
service httpd stop
yum erase httpd
rm -rf /usr/local/nagioslogserver
rm -rf /var/www/html/nagioslogserver
rm /etc/rc.d/init.d/elasticsearch
rm /etc/rc.d/init.d/logstash
rm /etc/rsyslog.d/nagioslogserver.conf
rm /etc/cron.d/nagioslogserver
pip uninstall elasticsearch-curator==1.2.2
service crond restart
■Nagios Log Server version 1.4.0の場合:
service logstash stop service elasticsearch stop
service httpd stop
yum erase httpd
rm -rf /usr/local/nagioslogserver
rm -rf /var/www/html/nagioslogserver
rm /etc/rc.d/init.d/elasticsearch
rm /etc/rc.d/init.d/logstash
rm /etc/rsyslog.d/nagioslogserver.conf
rm /etc/cron.d/nagioslogserver
pip uninstall elasticsearch-curator==3.4.0
service crond restart
「Nagios Log Server 手動インストレーション」ガイドに従って、再インストールを行ってください。
(再インストール目的ではなく)完全にアンインストールしたい場合は、カスタマーポータル よりお問い合わせください。

Nagios Log Server FAQトップへ↑