このページは 有限会社イハラ Adiscon製品 販売サイト の一部を移設したものです |
|
日本語版 |
||||||||||||||||||||||||||||||||||||||||||||||||
WinSyslogについて | |||||||||||||||||||||||||||||||||||||||||||||||||
WinSyslog は、Windows 上で稼動する Syslog サーバーです。 ネットワーク管理において WinSyslog をご使用頂けば、継続的にシステムを監視することができます。さらに、重要なイベントが発生した場合には、即座に通知を受け取るようにも設定できます。 Syslog は、システム・イベントの集中レポート作成のための標準プロトコルです。そのルーツはUNIX環境にありますが、例えば、Cisco のような最新のデバイスは Syslog プロトコルを使用しています。
それらのデバイスは、重要なイベントやオペレーティングのパラメーター、デバッグのメッセージでさえSyslogでレポートを作成します。残念ながら Microsoft
Windows は syslog サーバーを含んでいません。(Syslog サーバーは「Syslogデーモン」や Syslogd などと呼ばれたりしています) バージョン3.0以前、WinSyslogは「NTSLog」の名で知られていました。最初のバージョンは、Ciscoルータのステータスメッセージを受け取るために1996年に作成されました。 製品は、これまで断続的に開発されています。この製品は、バージョン3で飛躍的に機能性が高まりました。それがバージョン3で製品名を変えるきっかけとなりました。
また WinSyslog は、Adiscon製品の MonitorWare エージェント、EventReporter、ActiveLoggerとともに、Windows のイベントログをトータル的に集中監視するツールとして使うこともできます。WindowsNT/2000/XPの中央モニタリングに関しては、http://www.monitorware.com.
(英語)で詳細を確認できます。
ほとんどのユーザーは Syslog のデバイス(例:ルータ、スイッチ、ファイアーウォールやプリンターなど)から発生したイベントログを集め、それらを持続的に Windows のシステムに保存することなどに WinSyslog を利用しています。
バージョン4で改良されたサービス、ルールによって、WinSyslog の設定はより融通性の高いものになりました。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
機能 | |||||||||||||||||||||||||||||||||||||||||||||||||
■
ログの集中管理
■
使い易さ
■ 効果的なアクション
■ インタラクティブ Syslog ビューア
■ Syslog テストメッセージの送信
■ フリーウェアー・モード
■
標準の互換性
■
Syslog
階層
■ Eメールでの通知
■
継続的メッセージの保存
■
複数のインスタンス
■
完全なログ収集
■
丈夫であるということ
■
最小限のリソース使用
■
ファイアーウォールサポート
■
NTサービス
■
Windows 2000、2003、XPへの完全対応
■
複数の言語対応のクライアント
■
親しみやすく、カスタマイズも可能なユーザーインターフェイス
■
ローメモリへの対応 |
|||||||||||||||||||||||||||||||||||||||||||||||||
構成 | |||||||||||||||||||||||||||||||||||||||||||||||||
中核となる構成
■
WinSyslog設定クライアント
■
WinSyslogサービス
<x64対応バージョン の組み込み>
WinSyslog 7.0
よりx64プラットフォーム対応版がご利用頂けるようになりました。
■ ODBCデータベース・アクションが x64 システム上で動作するようになりました。
アドオン構成
■
インタラクティブ Syslog ビューア
■ PhPLogCon PHPLogCon は、Syslog メッセージ、Windows イベントログデータ、その他のネットワークイベントを簡単に web で閲覧することができます。このツールを使用することにより、システム管理者は、迅速に容易にログをチェックすることが可能となります。
phpLogCon は、WinSyslog
のインストールフォルダに含まれています。現在のところ、日本語マニュアルなどはございません。
■ MonitorWare コンソール *弊社では、現在のところ、MonitorWare コンソールの販売は行っておりません。*詳細は、www.mwconsole.com (英語)にてご覧頂けます。 MonitorWare コンソールは、ネットワークから役に立つ情報を容易に集めることができ、また、その集めた情報に対して、セキュリティ違反を含む無数の問題を調査することが可能です。 MonitorWare コンソールの表示、レポートモジュールを使用することで、能率的に問題を含む範囲をネットワーク上で検出することができます。
これらの構成要素を共に動作させるには 前途の構成要素は、共に密接に動作します。
中核の構成は WinSyslog サービスであり、 これは継続的にバックグラウンドで動作しています。
WinSyslog設定クライアントでは、サービスの設定を行います。 クライアント自体は、サービスの設定を行うことがクライアントの唯一のタスクであり、一旦 WinSyslog の設定を行った後は、継続してクライアントを起動させて置く必要はありません。
一度サービスの設定を行えば、サービスはバックグラウンドで動作し、設定のとおり実行されます。最も重要な処理として、サービスはSyslogメッセージの受信や、ルールベースによるそれらのメッセージの処理、それらをデータベースやテキストファイルに保存すること、アラートを出すことなどがあります。 WinSyslog サービス自体には、インタラクティブな構成はありません。
Syslog メッセージを Windows GUI で表示する場合には、インタラクティブ Syslog ビューアが必要となります。インタラクティブ Syslog ビューアは、インタラクティブにメッセージを表示する以外は、機能が制限された負荷の軽い Syslog サーバーとして実行されます。 インタラクティブ Syslog ビューアは、起動した時のみ処理を実行します。 インタラクティブ に Syslog メッセージを表示させるために WinSyslogサービスはメッセージをインタラクティブ Syslog ビューアへ転送します。デフォルトでは、標準ポートでない UDPのポート10514で処理されます。従って、WinSyslogサービス、およびインタラクティブ Syslogサーバーは、ポートの衝突なしに同一のマシン上で稼動します。
メッセージの流れについては、下図を参照して下さい:
典型的な設定では、ルータやスイッチなどの Syslog デバイスは、WinSyslog サービスへ514ポートを使用して Syslog メッセージを送信します。サービスは、メッセージを受信し、ルールセットでの設定に基づき、それらを処理します。上図の例では、入ってくる全てのメッセージに対して、データベースへの書き込み、テキストファイルへの書き込み、インタラクティブ Syslog ビューアへの転送の3つのアクションが設定されています。
デフォルトでは、メッセージは 10514 ポートを使用して、ローカル(127.0.0.1)のインタラクティブ Syslog ビューアへ転送されます。インタラクティブサーバーは、順次ポートを開き、サーバーから転送されたsyslog メッセージを受け取ります。
その他、PHPLogCon は、ウェブ上で Syslog メッセージにアクセスしたい場合のみ必要となります。これはオプション機能であり、デフォルトではインストールされません。
phpLogConは、WinSyslog
のインストールフォルダに含まれています。
|
|||||||||||||||||||||||||||||||||||||||||||||||||
システム必要条件 | |||||||||||||||||||||||||||||||||||||||||||||||||
WinSyslog には最小ではありますが、必要条件があります。 WinSyslog クライアント は、以下の環境でご利用いただけます:
WinSyslog サービスは、以下の環境で動作いたします:
サービスはより小さな必要条件で稼動します。
*1 けれども、サービスが(Syslogメッセージなどの)メッセージ・バースト(大量にデータをまとめて伝送する)を含む高度な処理を行う場合は、最も負荷がかかるという点に注意してください。 大量のバーストが予想される場合、それから時間のかかるアクション(例:データベースに書き込む)を実行する場合は、マシンにメモリを追加することをお勧めします。その場合、64MBのメモリの追加を推奨します。典型的に見て一つのメッセージのサイズは約1.5KBあります。 64MB追加した場合は、50, 000 メッセージをバッファリングできます。 また、WinSyslogは、マシンがあまりに時間がかかり過ぎてメッセージの処理を行えない場合、一時的にそのようなバーストをメモリに保存することができます。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
ご利用になる前に | |||||||||||||||||||||||||||||||||||||||||||||||||
WinSyslog
は、簡単にも複雑にもご使用頂けます。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
インストール | |||||||||||||||||||||||||||||||||||||||||||||||||
WinSyslog
のインストールは単純で簡単です。
WinSyslog のセットアップファイルは、こちら
からダウンロードできます。 もしも、setup.exeファイルを直接ダウンロードした場合には、解凍の部分の説明は無視してください。(exeファイルかzipファイルかは、どこでダウンロードしたかによります) < PHPLogConのインストール >
PHPLogCon は、
WinSyslog や EventReporter で作成したデータベースをにweb上に表示するため、Adiscon社によって開発されたフリーツールです。このツールは、たいていのブラウザに対応しています。
phpLogConは、WinSyslog
のインストールフォルダに含まれています。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
初期設定を行う | |||||||||||||||||||||||||||||||||||||||||||||||||
WinSyslog
のインストール後は、動作設定を行う必要があります。 いくらかの基本的な処理を行うために、以下の作業を行って下さい:
基本のルールセットの作成
最低でも1つのSyslogサーバーサービスを設定
WinSyslogサービスの起動
詳しい設定手順につきましては、以下 URL
をご参照ください;
|
|||||||||||||||||||||||||||||||||||||||||||||||||
設定情報のエクスポート | |||||||||||||||||||||||||||||||||||||||||||||||||
ご質問を頂いた際、その内容により、お客さまの設定情報をサポート担当へお送り頂く場合がございます。
これにより、弊社(内容により開発元 Adiscon社)で原因究明のための検証を行うことが可能となります。
設定情報のエクスポートは、サポートの場合だけでなく、設定情報のバックアップを行いたい場合や、複数のマシンで同じ設定をご利用になりたい場合など、様々な状況で役立ちます。 設定情報のエクスポートの詳細につきましては、簡易マニュアル「設定情報の保存・読み込み」をご参照下さい。
■ XML形式による設定情報のエクスポート・インポート |
|||||||||||||||||||||||||||||||||||||||||||||||||
WinSyslog の設定 | |||||||||||||||||||||||||||||||||||||||||||||||||
WinSyslogは簡単に操作でき、効果的な製品です。 この章においては、WinSyslogサービスの設定方法についてご説明します。
WinSyslogの最も重要な部分であるサービスは、一旦設定されるとバックグランドで動作します。 WinSyslog設定クライアントを起動するには、スタートメニューのWinSyslogのフォルダにあるアイコンをクリックします。すると、下図のようなウィンドウが現れます。:
設定クライアント(「クライアント」)には、2つの要素があります。 「全体」では、アクションやサービスのデフォルトだけでなく基本的な操作上のパラメーターを設定とライセンス情報の登録を行います。
「テンプレート」では、デフォルト値を設定します。(よく使用する値を入力することをお勧めします)
「サービス」のツリー表示には、設定されたサービスとそのパラメーターがあります。
Syslogサーバーサービスならば、同じポート(例:514)を使用しているがプロトコルタイプが違うもの、違うポート(例:10514)を使用しているものを設定すれば、同じ種類のサービスを同一システム上で3つ作成し、稼動させることも可能です。 例として、以下のような エラーがイベントログに記録されます。
理論的には、数百ほどのサービスを追加できますが、オペレーティングシステムのリソースや取り扱いについての観点から、最大でも20から30までのサービスに数を制限することをお勧めします。
実際のパラメーターは、サービスの種類に左右されます。
新しくサービスを作成する場合には、「サービス」を右クリックして下さい。 サービスを削除したい場合は、その対象のサービスを右クリックし、「サービスの削除」を選択します。サービスを削除した場合には、その設定は失われます。 一時的に削除したい場合には、「サービスの無効化」の指示を行って下さい。
ツリー表示の最後の要素は「ルールセット」です。
別途ご説明しますが、ルールは非常に重要な機能です。ルールは最上位のあるものから順に実行されます。
上のスクリーンショットは、前頁のサンプルの設定画面です |
|||||||||||||||||||||||||||||||||||||||||||||||||
ライセンスの設定 | |||||||||||||||||||||||||||||||||||||||||||||||||
ご購入後に弊社よりメール送付させて頂きますライセンス情報をご登録いただくことにより、製品版として登録され、高度な機能が使用できるようになります。
■ユーザー登録名
会社名(学校名)を登録名にお使い頂いても良いですし、独自の登録名を選択して頂くことも可能です。
■ユーザー登録番号
ユーザー登録番号のペースト機能につきましては、以下のURL をご参照下さい: |
|||||||||||||||||||||||||||||||||||||||||||||||||
全体オプション | |||||||||||||||||||||||||||||||||||||||||||||||||
全体オプション
■処理の優先レベル
■キューのリミット
■Customer ID
■System ID
■MIBS の場所
■基準時刻
■サービスの停止からエージェントを保護する
■アプリケーションのイベントログに警告を書き込む
■日本語システムに対する特別なUnicode変換 エンジンに関して
<アクションのオプション>
なお、エラーログは最後の失敗に対してのみイベントログ(ID114)に記録 されます。
<ルールエンジン特定>
ここが無効になっている場合には、ルール内に複数あるアクションのうち一つが失敗してもルールは停止せず、それ以下に定義されているアクションが実行されます。
■ 内部のDNSキャッシュを有効にする
しかし、コンピュータ名やIPアドレスは変更される場合もあります。その場合、DNSは更新されます。もし、DNSを常にキャッシュに入れ、そこから検索するようにしていると、変更された情報を得ることができません。これを回避するために、DNS名をキャッシュに入れる時間に制限を設けました。時間切れとなったDNS名は、キャッシュ内にレコードが存在していないと認識され、新たに検索されるようになります。
また、キャッシュレコードは、システムメモリを使います。数多く名前解決をしたい場合には、より多くのメモリを割り当てる必要が出てくるでしょう。これを解決するために、キャッシュに入れるDNSレコード数を設定できるようにしました。この設定値に達すると、それ以降は新しくキャッシュレコードは割り当てられなくなります。 <DNSキャッシュオプション>
■
キャッシュに入れるレコード数
しかし、数多くのホストの名前解決を行なう場合には、キャッシュに入れるレコード数に上限を設けることをお奨めします。ですが、その場合、頻繁にDNSの問い合わせが行なわれます。
1つのキャッシュレコードにつき およそ1~2KBとして数値を設定して下さい。 <リソース ライブラリキャッシュ オプション> デバッグ オプション
ここでは、ルールベースのデバッグを行うことが可能です。
ルールベースのテストとは別に、このデバッグのログは技術的なお問い合わせの際に役に立ちます。
■
ファイルへのデバッグ出力を有効にする
■
ファイル・パス名 <記録される内容>
■
エラー&警告
■
ルール&フィルタエンジン
■
最小のデバッグ出力
■
情報のデバッグ出力
■
Ultra Verbose出力
■ 循環ログを使用 キュー管理 オプション
この機能により、項目(Items)をディスク(指定したファイル)の内部キューに蓄えて置くことが可能となります。 ディスクキャッシュでは、イベントログの監視サービスのようにアクションが成功している間、継続して動作するタイプのサービスのインフォメーションユニットはキャッシュに入れません。Syslog サーバーサービスのような、その他全てのデータがキャッシュに入れられます。もしも、サービスやサーバーがダウンした時、次回のサービス起動時にキューが自動的に読み込まれるようになります。従って、キューにあるメッセージは消失されません。ただし、キャッシュに入れる処理中にダウンした場合には、そのデータは残りません。
■
ファイル・パス名
■
キューファイルサイズ
<キューのリミット(全体オプション)>
<Race
conditions>
■
ポインタの処理
■
ポインタの保存
<キュー管理
オプション>
■ワーカスレッドの数 |
|||||||||||||||||||||||||||||||||||||||||||||||||
サービス | |||||||||||||||||||||||||||||||||||||||||||||||||
サービスについて
「サービス」と「サービスのデフォルト」が取り違われる場合もありますが、「サービスのデフォルト」は、予めサービスの設定を定義するもので、それ自体は何も実行しません。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
Syslogサーバー | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、Syslogサーバーのサービスを設定します。
■
プロトコルタイプ
■
IPアドレス
■
使用ポート
■
オリジナルのメッセージ・タイムスタンプを使用
メッセージ内のタイムスタンプを使用することには、いくらかの欠点もあります。
■
Syslogメッセージからソース・システムを取り出す
■
ホスト名の解決
■
RFC3164 の構文分析を有効にする
■
エスケープ制御文字
■
使用するルールセット |
|||||||||||||||||||||||||||||||||||||||||||||||||
SETPサーバー | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、SETPサーバーサービスを設定します。
■ 使用ポート
■
IPアドレス
■
SSLの有効化/TLSの暗号化
■
データの圧縮にzLib圧縮を使用する
■ セッションタイムアウト
■
ルールのエラーを送信者に通知しますか? 例えば、イベントログの監視を実行していて、これらのイベントをSETPで送信、一方でデータベースへ収集した全てのイベントを書き込むよう設定しているとします。 もしも、データベースがオフラインの場合、イベントの書き込みは実行できないので、SETPサーバーは、アクションの実行に失敗したという内容のメッセージを最後のメッセージとして送信し、イベントログに ID:1005のエラーを作成します。(その後、このアクションが成功した場合には、ID:1012のイベントログが記録されます。)送信者は、それから停止して、再度イベントの送信を試みます。 これは、SETPがTCPと同じようにデータ転送を確実にするためですが、さらに、アクションが成功した場合にも送信者にステータスを返信することもできます。これは、イベントログの監視サービスが再試行可能(restartable)なイベントソースだからです。同じソースでアクションが再試行するかどうかを決定するために、アクションの結果が使用されます。他のイベントソースは、違う動作をします。例えば、Syslogサーバーサービスは、失敗したアクションを再試行しません。これは、Syslogメッセージが消失する可能性があるという性質によるものです。
■ 使用するルールセット |
|||||||||||||||||||||||||||||||||||||||||||||||||
ハートビート | |||||||||||||||||||||||||||||||||||||||||||||||||
ハートビート処理は、WinSyslog
自体が稼動しているかどうかを断続的にチェックするのに使用されます。
■ハートビート中に受信するメッセージ
■ハートビート クロック(スリープタイム)
■Syslogファシリティ
■Syslogプライオリティ
■リソースID
■Syslog
タグ値
■使用するルールセット |
|||||||||||||||||||||||||||||||||||||||||||||||||
SNMP トラップ受信 | |||||||||||||||||||||||||||||||||||||||||||||||||
SNMPトラップ受信によって、SNMPメッセージを受信することができます。
■
使用ポート
■
SNMPバージョン
■
Mib名を完全に解決する(ロングフォーマット)
■
使用するルールセット
|
|||||||||||||||||||||||||||||||||||||||||||||||||
MonitorWare Echo Reply | |||||||||||||||||||||||||||||||||||||||||||||||||
この機能は、MonitorWareエージェントに関連するものです。
MonitorWare
Echo Replyサービスは、多少変わったサービスです。
|
|||||||||||||||||||||||||||||||||||||||||||||||||
フィルタの条件 | |||||||||||||||||||||||||||||||||||||||||||||||||
フィルタの条件は、どんなときにルールを稼動させるかを設定します。
フィルタの条件は、必要に応じて複雑にすることが可能です。
デフォルトでは、
上図のように「AND」のみが設けられています。 メッセージの絞込みを行わない(例えば、データベースやテキストファイルに全てのメッセージを書き込みたい場合)場合には、このデフォルトの設定のままご利用下さい。 一方、特定の条件において(メッセージを絞り込んで)アクションを実行させたい場合には、その条件によって、様々な設定を行うことができます。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
全体の条件 | |||||||||||||||||||||||||||||||||||||||||||||||||
全体の条件は、全体としてルールに適用します。
■検出されないフィルタをTRUEとして処理する
■イベントが発生した場合のみ稼動
■最小の待ち時間 |
|||||||||||||||||||||||||||||||||||||||||||||||||
オペレーション | |||||||||||||||||||||||||||||||||||||||||||||||||
オペレーションでは、フィルタの条件がどのように互いにリンクしているかを設定します。
|
|||||||||||||||||||||||||||||||||||||||||||||||||
フィルタ | |||||||||||||||||||||||||||||||||||||||||||||||||
フィルタは、各オペレーションノードの下に追加することが可能です。
また、特別な種類のインフォメーション ユニットに対してのみ適用されるフィルタも存在します。
フィルタには、色々なタイプのものが存在します。 以下のタイプが使用可能です。
|
|||||||||||||||||||||||||||||||||||||||||||||||||
一般 | |||||||||||||||||||||||||||||||||||||||||||||||||
■ソース
このフィルタは、文字列で指定します。
■メッセージ 内容検索は、メッセージ内で範囲を限定することができます。
範囲の指示は、「オペレーションの比較」から「Contain within range」のを選択します。
下記のように設定を行った場合、「192.168.0.」が検索の範囲となります。
プロパティ値 = 192.168.0.0
上記の設定で、「範囲終了」を9としてしまうと、例えば「192.168.010」なども検出されてしまうので、ご注意下さい。
タイプ=文字列
■CustomerID
タイプ=数字
■System
ID
タイプ=数字
■ステータス名および値 タイプ=文字列 |
|||||||||||||||||||||||||||||||||||||||||||||||||
Date/時間 | |||||||||||||||||||||||||||||||||||||||||||||||||
このフィルタの条件は、時間の枠(イベントが発生した曜日)をチェックするために使用されます。
■時間
■曜日
|
|||||||||||||||||||||||||||||||||||||||||||||||||
インフォメーション ユニット タイプ | |||||||||||||||||||||||||||||||||||||||||||||||||
いつくかのインフォメーションユニットタイプに対して、1つのルールを処理させたい場合、そのインフォメーションの種類を選択します。
具体的には以下のフィルタが利用可能です:
|
|||||||||||||||||||||||||||||||||||||||||||||||||
Syslog | |||||||||||||||||||||||||||||||||||||||||||||||||
ここではフィルタに関連するSyslogが集められています。
■
Syslog
ファシリティ
■
Syslog プライオリティ
最初のリストボックスでは、照合のモードを選択できます。
■
Syslog
タグ |
|||||||||||||||||||||||||||||||||||||||||||||||||
SNMPトラップ | |||||||||||||||||||||||||||||||||||||||||||||||||
SNMPトラップを使用することで、WinSyslogは、コンピューター、ルータ、配線ハブなどを含む
いろいろな装置を管理したり、モニターしたりすることが可能になります。
■
コミュニティ
■
エンタープライズ
■
属名
■
バージョン
■
稼動時間
|
|||||||||||||||||||||||||||||||||||||||||||||||||
拡張プロパティ | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、プロパティのカスタマイズが行うことが可能です。
WinSyslog
の内部で、全ての値はプロパティに保存されています。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
ファイル確認 | |||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||
フィルタ結果の保存 | |||||||||||||||||||||||||||||||||||||||||||||||||
|
|||||||||||||||||||||||||||||||||||||||||||||||||
アクション | |||||||||||||||||||||||||||||||||||||||||||||||||
アクションは、フィルタの条件において、ルールが適合する場合に実行されます。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
ホスト名解決オプション | |||||||||||||||||||||||||||||||||||||||||||||||||
このアクションにより、全てのサービスでホスト名の解決を実行させることが可能となりました。
■
名前解決の保存先プロパティ
■
既にソースプロパティに名前が入っている場合、完全な名前解決(FQDN)を行なう
例えば、ソースプロパティが既に「servername」と表示されている場合に、この機能を有効にすると完全な名前解決が行なわれ、「servername.mydomain.com」などと表示されるようになります。
■解決されたホストエントリをキャッシュに入れる |
|||||||||||||||||||||||||||||||||||||||||||||||||
ファイルオプション | |||||||||||||||||||||||||||||||||||||||||||||||||
この機能は、受信したメッセージをテキストファイルに書き込むために使用されます。
デフォルトでは、一日あたりひとつのファイルが記録されます。新しい項目は、そのファイルの最後に付け加えられます。
ファイルのロックは、データの記録がないときは解除されます。 ファイル名は、ダイアログで設定されている括弧の中のパラメータで、次のように生成されます:
■「・・・に設定」
■ファイル名のプロパティの置換を有効にする F:\syslogs\10.0.0.1\IIS-10.0.0.1.log
この設定では、ソースのプロパティ値である
%source%
がパスの中に使用されているので、その値がファイル名に置換され、上記のように表現できるようになります。
このプロパティの置換を利用して、一ヶ月単位でログファイルを作成させることも可能です。
■ファイルパス名
「ファイル名のプロパティの置換を有効にする」機能を有効にしている場合、「挿入」をクリックすることで、パス名にソースなどのプロパティを入力することが可能です。(ファイルパス名 :F:\syslogs\%source%など
■ファイルベース名 ここでも 「ファイル名のプロパティの置換を有効にする」機能を有効にしている場合は、「挿入」をクリックすることで、パス名にソースなどのプロパティを入力することが可能です 。
■ファイルの拡張子
■ファイルのフォーマット
これは、ほとんどのオプションを提供します。
「Raw Syslogメッセージ」は、ログファイルにRaw Syslogフォーマットで書き込みます。
「カスタム」フォーマットは、サードパーティのアプリケーションに対して、ログファイルに互換性を持たせるためにフォーマットをカスタマイズすることができます。このオプションを選択することにより、その下の「カスタム
ライン フォーマット」の機能がオンになります。 「Adiscon」フォーマット以外のものは修正されたものですので、一部のフォーマットオプションは適用できません。それらのオプションは有効になります。
■カスタム ライン フォーマット
■独自のファイル名を作成
■ファイル名にソースを含める
■ファイル名にUTCを使用
UTCはGMT(グリニッジ標準時)とほぼ同じですが、こちらの方がより正確です。
複数のタイムゾーンのログファイルを作成し、後でそれらをまとめるといった場合は、UTCを基準にすることをお勧めします。
■循環ログを使用
■タイムスタンプにUTCを使用
■ファイルサイズ (KB)が設定値に達した場合にファイルを分割する
■Include―フィールド名を含める
注意:
「日付と時間を含める」は、「デバイスのレポートに日付と時間を含める」とは異なります。
対照的に、「デバイスのレポートに日付と時間を含める」は、実際のメッセージからタイムスタンプを取ります。
「メッセージを含む」と「RAW メッセージを含む」は、書き込まれるメッセージ自体に対してカスタマイズを行います。
|
|||||||||||||||||||||||||||||||||||||||||||||||||
データベースオプション | |||||||||||||||||||||||||||||||||||||||||||||||||
データベースログをご利用頂くことで、メッセージをデータベースへ保存できます。
データベースログは、ODBCに対応したどんなデータベース(実際、WindowsのOSで使用可能な、いかなるデータベースシステムでも)にも、受信したSyslogメッセージを記録することができます。 データベースに一旦保存されると、別のメッセージビューアやアプリケーションで簡単にイベントを閲覧することができます。データベースログアクションのデフォルトでは、AdisconのMoniorWareコンソールに適した設定になっています。データベースフォーマットは、変更することが可能です。これは、データベースに別の分析ツールを使用したい場合に、特に役立ちます。また、大規模な環境では、必要とされるフィールドを正確にデータベースアクションで設定することで、データベースが最高のパフォーマンスを得ることができるようになります。
データベースログのアクションで最も重要なのは、フィールドの部分です。 「フィールドタイプ(Fieldtype)」は、データベース列のデータタイプです。それは、データベースで選択される列タイプを反映しなければなりません。また、このデータタイプは、保存される実際のプロパティと一致していなければなりません。例えば、syslogpriorityのような整数タイプのプロパティは、varchar列に保存することができます。一方、syslogtagのような文字列データタイプは、整数列に保存することはできません。
「フィールドコンテンツ(Fieldcontent)」は、イベントプロパティです。サポートされたプロパティリストに関しては、マニュアル内「イベントプロパティ」をご参照下さい。 データベース フィールド内の値を編集するには、列を選択して下さい。選択した列の値は、フィールドリストの上のテキストボックスで変更できます。また、「挿入」、「削除」のボタンをクリックすることで、フィールドの作成、削除を行うことが可能です。「削除」ボタンをクリックすると、選択されているフィールドが削除されます。また、上・下の矢印ボタンをクリックすることで、選択したフィールドを移動させることができますが、この移動は表面的なもので、データベースアクションの処理には、何も影響ありません。
フィールドコンテンツでは、プロパティの置換機能を使用することができます。例えば、メッセージの最初の200文字だけを保存したい場合には、"%msg: 1:200%"と設定することで可能です。
■データソース
■データベースを生成
■DSN
■ユーザーID
■パスワード
■暗号化
もし、何らかの理由で、暗号化せずにパスワードの保存を行う場合は、そのセキュリティに気を付けてください。この場合、限られたアクセス権でアカウントの使用をすることをお勧めします。
■テーブル名
■出力エンコード
■詳細なプロパティのログを有効にする 追加のプロパティは、概して イベントログの監視からのSETP受信データにあります。例えば、SETPで受信したイベントログのデータには、実際のWindowsのイベントプロパティとイベントデータが含まれています。このオプションは、Syslogで受信したイベントログ メッセージには適用されませんので、注意してください。
このオプションは、有効にする前に、必要がどうかを確認するようにして下さい。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
OLEDBデータベースオプション | |||||||||||||||||||||||||||||||||||||||||||||||||
OLEDBデータベースアクションの設定は、ODBCデータベースログアクションと同様に行うことが出来ます。 このアクションにより、収集したイベントをOLEDB対応のデータベースに書き込むことが可能となります。保存されたメッセージは、カスタムアプリケーションと同様に、別のメッセージビューアで簡単に閲覧することができます。データベース・フォーマットは、変更することが可能です。これは、データベース上で更なる分析を行なう場合に非常に役立ちます。
OLEDB
データベースアクションのメイン機能は、フィールドリストです。
Fieldnameは、データベースの列の名称です。
Fieldtype は、データベースの列のデータ型です。
Fieldcontentは、イベントプロパティです。
データベースフィールドの編集は、各行をクリックし、テキストボックスに値を入力、およびドロップダウンリストより値を選択することで行なえます。項目の挿入、削除は、それぞれのボタンをクリックすることで行なうことができます。削除の場合には、選択されている行が削除されます。
文字列のデータ型には、プロパティの置換を使用できます。これは、サブストリングを保存したい場合に、特に役立ちます。例えば、各メッセージの先頭から200文字を保存したい場合には、"%msg:1:200%" という値を使用します。
■ データソースの設定
■ データベースアクセスの確認
■ メインテーブル名
■
SQLステートメントタイプ
■ 接続のタイムアウト
■ 詳細なプロパティのログを有効にする 追加のプロパティは、概して イベントログの監視からのSETP受信データにあります。例えば、SETPで受信したイベントログのデータには、実際のWindowsのイベントプロパティとイベントデータが含まれています。このオプションは、Syslogで受信したイベントログ メッセージには適用されませんので、注意してください。
このオプションは、有効にする前に、必要がどうかを確認するようにして下さい。
■ 接続の再試行 |
|||||||||||||||||||||||||||||||||||||||||||||||||
イベントログオプション | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、WinSyslog サービスで処理されるメッセージが、Windows のイベントログに記録できるように設定します。
■イベントログソースを置換する
しかし、このモードには欠点があります。
しかし、その場合でもログメッセージは全て表示されます。
■カスタム イベント・ソース
■EventType
■EventID
■ログメッセージ |
|||||||||||||||||||||||||||||||||||||||||||||||||
メール オプション | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、メール(SMTP)のパラメータの設定を行います。
■メールサーバー
WinSyslog は、標準のSMTPメールサーバーとの接続を前提としています。
■バックアップ メールサーバー
■ポート
■送信者
■受信者
■題名
メール本体には完全なイベント情報(ソース・システム、ファシリティ、プライオリティ、メッセージテキスト)が含まれています。
「挿入」をクリックし、%msg% (例) などの置換文字を追加することで、題名に書き込まれるイベントのメッセージをカスタマイズすることが可能となります。
受け取ったひとつのメッセージに対して、一通のメールを送信します。
■従来の題名の処理を有効にする ここを有効にした場合には、以下の置換文字列を題名に組み込むことができます:
上図のような置換文字列の設定がされている場合、以下のような題名が受信できます。
一方、プロパティモードでは、イベントプロパティからのプロパティを組み込み、修正することが可能です。詳細は、「イベントプロパティ」についての箇所をご参照下さい。
プロパティモードでは、例えば、以下のような題名を指定することが可能です。
メッセージは、%msg:1:15 にて文字列の1文字目から15文字目までと指定されていますので、16字目以降(「hy」の2文字)は切り捨てられます。
■メールメッセージ フォーマット
■接続のタイムアウト
新しいイベントが設定されたタイムアウトに達するまでに受信された場合は、前のイベントと同じEメールメッセージに含まれます。それからタイムアウトは再起動されます。
これは、メッセージの大量なバーストが予想され、それらのメッセージが少数のEメールにまとめられるべきである場合に最も適切です。さもなければ、管理者のメールボックスは多数のメールにより、すぐにオーバーフローしてしまいます。
接続のタイムアウトでは0から4000までの値を入力できます。 接続のタイムアウトにおいて0を設定した場合は、各イベントが個別のメッセージとして送信されます。
■出力エンコード
■メールサーバにSSLで接続する
■SMTP
認証を使用
サーバがSMTP認証を必要(またはサポート)する場合は、この設定を有効にして、下のテキストボックスにユーザーIDとパスワードを入力して下さい。
メールサーバーが認証をサポートしていない場合は、ここは有効にしないで置いて下さい。
ここ設定は、認証に対応している場合は、有効することをお勧めします。
■メール本体にメッセージ/イベントを含む
このオプションは携帯などのモバイル機器で(WML対応の場合は特に)、非常に役に立つ機能です。これらのデバイスは、たいてい表示するデータの量に制限があります。
WMLに対応した機器がメッセージ本体を受信できる場合であっても、このオプションをオフにした方が良い場合もあります。WMLやWAPは比較的コストがかかります。
■レポートにXMLを使用
|
|||||||||||||||||||||||||||||||||||||||||||||||||
Syslog転送 オプション | |||||||||||||||||||||||||||||||||||||||||||||||||
このダイアログは、Syslog転送オプションを制御します。
■Syslog
サーバ
■Syslog
ポート
■プロトコルタイプ UDPはほとんどすべてのサーバで使用できますが、ネットワークエラーなどによりメッセージが消失してしまう可能性があります。その性質を理解された上、ご利用ください。 TCPとRFC 3195をベースにしたメッセージは、UDPよりも確実に送信されます。
RFC3195は、特殊な通信モードです。しかし、実装例はとても少ないのが現状です。 TCPには、「TCP(1回の接続につき1つのメッセージ)」、「TCP(持続して接続)」、「TCP(オクテットベースのフレーミング)」 の3つのモードがあります。
「TCP(1回の接続につき1つのメッセージ)」は、2006年以前のAdisconサーバーのための互換モードです。(ほかのベンダーでも要求されるモードかもしれません)
「TCP(持続して接続)」は、1度の接続で複数のメッセージを送信するモードです。(メッセージを送信し終わるまでポートは開いた状態になります)高いパフォーマンス性が期待できますが、Syslogメッセージ内に制御文字などが含まれる場合には、問題が起こる可能性があります。
「TCP(オクテットベースのフレーミング)」は、やがて公開される(未確定ですが)IETF標準のアルゴリズムを実装しています。このモードも継続的に接続されます。このモードでは、制御文字が含まれるメッセージも処理されます。しかし、このモードに対応したレシーバーは、現在ところ非常に数少ない状況です。そのため、このモードは、最新のAdiscon製品間の通信でご利用になることをお勧め致します。 「TCP(持続して接続)」、「TCP(オクテットベースのフレーミング)」を選択した場合には、セッションタイムアウトの設定が行えます。デフォルト(30分)の場合、メッセージが送信されないまま30分経過すると、接続が切られるようになります。もしも、処理するメッセージが少ない場合には、これより低い値を設定しても結構です。
■ データの圧縮にzLib 圧縮を使用する
■メールメッセージ フォーマット
■出力エンコード
■別のSyslogサーバに転送する場合のSyslogソースの追加
■レポートにXMLを使用
受信するシステムがXMLデータの解析が可能である場合は、特にこの機能は役に立ちます。
■XMLの表記コードをMWAgentとして転送する ■ Syslogサーバーへの接続に失敗した場合、ディスクキューを使用する (TCP選択時のみ)
この機能を利用すると、リモートの Syslog サーバーへの接続が失敗した際に、Syslogメッセージがローカルの Temp ファイルにキャッシュされるようになります。保存先のフォルダは変更できます。Syslog 転送アクションを複数設定している場合には、そのアクション毎にGUIDにより個別のファイル名が生成されます。接続に失敗した Syslog サーバーへの接続が確立されると、自動的にキャッシュされたメッセージが送信されるようになります。
Syslogメッセージがキャッシュされている最中に EventReporterサービスが再起動された場合、その間に Syslogサーバーへの接続が確立されても確認されません。その場合、次に Syslog転送 アクションが実行されるまで接続はチェックされません。
キャッシュのサイズは、特に制限はありません(ディスクのサイズに依存します)。
この機能は、フォーマットを十分に理解されている方(受信者)に対してのみご利用下さい。 TCPによる圧縮送信の場合には、特別なモードにする必要があります。このモード(syslog-transport-tls)は、これから公開されるIETFの仕様がベースとなっています。ただ、このモードはまだ完成されたものではないので、実験的な試みとなります。その結果、今後リリースされる製品でこのモードが使用されるかどうかはわかりません。また、別のモードが今後製品に組み込まれた場合、このモードとの互換性は保証できかねます。 ただ、この機能自体はしっかりしていますが、実験的な機能であることをご理解頂いた上でご利用下さい。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
SETPで転送 オプション(ベーシックエディションは対応していません) | |||||||||||||||||||||||||||||||||||||||||||||||||
このダイアログは、転送に関するオプションを設定します。
■サーバ名
■デフォルトのSETPポート
■SSLの有効化/TLSの暗号化
■データの圧縮に
zLib圧縮を使用する
■圧縮レベル
■セッションタイムアウト
<高度な接続オプション>
■接続のタイムアウト
■送信/受信 タイムアウト
|
|||||||||||||||||||||||||||||||||||||||||||||||||
Net Send オプション | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、Net Send オプションを設定します。
“Net Send”アクションを使用すると、Windowsの “net send” 機能を使い短い警告メッセージを送信することができます。これらのメッセージはベストエフォートをベースにして送信されます。
■ターゲット
■送信メッセージ |
|||||||||||||||||||||||||||||||||||||||||||||||||
プログラム開始 オプション | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、プログラム開始オプションを設定します。
「プログラム開始」のアクションにより、外部のプログラムを起動することが出来ます。
■実行コマンド
■以前のパラメータ処理を使用
■パラメータ
パラメータは、イベントの詳細でカスタマイズするために、置換文字列を設定することも可能です。これにより、イベントデータがスクリプトに渡されます。以下の置換文字列を使用できます:
例として、「e1”%s””%m”」と設定し、172.16.0.1から「This is a test.」と受信した場合は、スクリプトは3つのパラメータで開始されます。
■タイムアウト
外部のプログラムは、限られた時間内にのみ動作すべきです。
パフォーマンスを考慮して、「プログラム開始」のアクションは、頻繁に適用されないルールに対してのみ使用することをお勧めします。 |
|||||||||||||||||||||||||||||||||||||||||||||||||
サウンド再生 | |||||||||||||||||||||||||||||||||||||||||||||||||
このダイアログは、サウンドファイルを再生させるための設定を行います。
■サウンドファイルのファイル名 存在しないサウンドファイルが指定されていたり、無効なフォーマットのファイルが指定されていたりする場合には、システムビープ音が発せられます。
■再生回数(ファイルを何回再生するか)
■サウンド再生の間隔(ミリ秒) |
|||||||||||||||||||||||||||||||||||||||||||||||||
コミュニケーションポートに送信する | |||||||||||||||||||||||||||||||||||||||||||||||||
このアクションにより、コミュニケーションデバイスに文字列を送信することが可能となります。
■タイムアウト制限
■メッセージの送信ポート
■ポート設定
■1秒当たりのビット数
■データビット
■パリティ
■ストップビット
■DTRフロー制御
■送信メッセージ |
|||||||||||||||||||||||||||||||||||||||||||||||||
ステータスの設定 | |||||||||||||||||||||||||||||||||||||||||||||||||
このダイアログは、ステータスの設定オプションを設定します。
各々のインフォメーション・ユニットは特定のプロパティ(例えばイベントID、プライオリティ、ファシリティなど)を持っています。そして、これらのプロパティは、いくつかの値を持っています。
下図のように、新たにプロパティを作成し、有効な(適当な)値を割り当てることができます。
■プロパティ名
■プロパティに値を設定 |
|||||||||||||||||||||||||||||||||||||||||||||||||
プロパティの設定 | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、プロパティの設定を管理します。 「プロパティの設定」アクションにより、入ってくるメッセージのプロパティのいくつかを修正することができます。これは、管理者が二つのデバイスに同じ名前を付け直したい場合などは特に役に立ちます。
■プロパティ タイプの選択
■プロパティに値を設定 |
|||||||||||||||||||||||||||||||||||||||||||||||||
ルールセットの呼び出し | |||||||||||||||||||||||||||||||||||||||||||||||||
このダイアログは、ルールセットの呼び出しオプションを設定します。
このアクションは、存在しているルールセットの中から、特定のルールセットを呼び出すために設定します。このアクションが実行されると、ルールエンジンは、通常の処理を止め、ここで指定したルールセットを呼び出します。(そのルールセットには、ルールが含まれいます。)そして、呼び出されたルールセット内で定義されたルールが全て実行されます。その後、通常の処理に戻ります。(処理を止めた時点に戻ります。)具体的には、下記の例をご参照下さい。
仮に、Rule1 には、アクション1とアクション2が存在するとします。
■呼び出すルールセット |
|||||||||||||||||||||||||||||||||||||||||||||||||
Post-Processイベント | |||||||||||||||||||||||||||||||||||||||||||||||||
Post-Processイベントアクションにより、一旦処理されたメッセージの再解析が可能となります。 このような再解析は、標準でないSyslogフォーマットを使用している場合や、メッセージから特定のプロパティを取り出したい場合に、非常に役に立ちます。 Post-Processアクションは、受信したメッセージを取り出し、解析マップにより解析を行います。解析マップには、メッセージのどの位置に、どのタイプのどのプロパティが存在するかが示されています。
メッセージが実際に解析マップに適合する場合、全てのプロパティが引き出され、イベントの一部としてセットされます。
■
テンプレート
■
解析マップ エディタ
■
Property 「Filler」という名のプロパティは、既に固定されています。このプロパティに振り分けられる全ての値は、破棄されてしまいます。このプロパティは、不要な充填文字などを取り除きたい場合に有効です。
■
Type
■
Value
■
ルールのメッセージ・プレビュー
|
|||||||||||||||||||||||||||||||||||||||||||||||||
ステータス変数算出 | |||||||||||||||||||||||||||||||||||||||||||||||||
このアクションは、内部処理に関するものです。
<オプションタイプ>
■
増加値(+)
■
減少値(+)
■
オペレーション値 |
|||||||||||||||||||||||||||||||||||||||||||||||||
SNMPトラップの送信 | |||||||||||||||||||||||||||||||||||||||||||||||||
ここでは、SNMPトラップの送信に関する設定を行います。
■
SNMPバージョン
■
エージェント受信機 ここでは、IPアドレスを指定します。
■
SNMPポート 実際に使用する値については、サーバーリファレンスを参照下さい。 たとえば、概して、メールサーバーは25ポート、Webサーバーは80ポートを使用します。
■ コミュニティ
SNMP V1特定パラメータ
■ エンタープライズOID OIDの選択には、「ブラウザ」オプションを使用できます。ここをクリックすると下記画面が現れます。
■ 一般名
■ 特定タイプ SNMP変数 SNMPトラップに送信する変数。 トラップコードをご存知の場合、それらを入力することも可能です。そうでない場合は、SNMP MIBブラウザをご利用下さい。
■ 変更可能なOID 利用できるOIDについては、MIBブラウザのリストをご利用下さい。
■ 変更可能なタイプ このタイプによっては、変数を正確にフォーマットする必要があります。(IPADDRなど )
■ 変更可能な値
|
|||||||||||||||||||||||||||||||||||||||||||||||||
コピーライト | |||||||||||||||||||||||||||||||||||||||||||||||||
This
documentation as well as the actual WinSyslog product is copyrighted by
Adiscon GmbH, Germany. To learn more about other Adiscon products,
please visit
http://www.adiscon.com/en/products. To obtain
information on the complete
MonitorWare product
line, please visit
www.monitorware.com. |
その他、記載されている会社名、製品名は各社の登録商標または商標です。