ログ管理: ユーザーガイド
3.4 設定
3.4.1 環境設定
3.4.1.1 モニター表示
LogView の表示形式を指定します。
フィルター
- フィルターを有効にする
- フィルター全体の有効/無効を指定します。
また、各タブの設定を行うには、タブに対応したチェックボックスにチェックを入れる必要があります。設定を行っても、チェックが入っていないと有効になりません。
「ステータス」タブ
- アクション実行
- アクションを実行したデータのみ表示します。
- アクションなし
- アクションを実行していないデータのみ表示します。
「ベンダー名」タブ
ベンダー名一覧に表示されており、かつチェックボックスにチェックが入っているデータのみ表示します。
- 追加
- テキストフィールドにベンダー名を入力し、「追加」ボタンをクリックするとベンダー名一覧に追加されます。
- 機種定義
- 機種定義タブで定義しているベンダー名の一覧を表示し、その中から選択したベンダー名をベンダー名一覧に追加することができます。
- 全て選択
- チェックボックスの全てにチェックを入れます。
- クリア
- チェックボックスのチェックを全て外します。
- 削除
- マウスでクリックして選択したベンダー名を一覧から削除します。
「機種名」タブ
機種名一覧に表示されており、かつチェックボックスにチェックが入っているデータのみ表示します。
- 追加
- テキストフィールドに機種名を入力し、「追加」ボタンをクリックすると機種名一覧に追加されます。
- 機種定義
- 機種定義タブで定義している機種名の一覧を表示し、その中から選択した機種名を機種名一覧に追加することができます。
- 全て選択
- チェックボックスの全てにチェックを入れます。
- クリア
- チェックボックスのチェックを全て外します。
- 削除
- マウスでクリックして選択した機種名を一覧から削除します。
「表示名」タブ
表示名一覧に表示されており、かつチェックボックスにチェックが入っているデータのみ表示します。
- 追加
- テキストフィールドに表示名を入力し、「追加」ボタンをクリックすると表示名一覧に追加されます。
- IP アドレス定義
- IP アドレス定義タブで定義している表示名の一覧を表示し、その中から選択した表示名を表示名一覧に追加することができます。
- 全て選択
- チェックボックスの全てにチェックを入れます。
- クリア
- チェックボックスのチェックを全て外します。
- 削除
- マウスでクリックして選択した表示名を一覧から削除します。
「ホスト名」タブ
ホスト名一覧に表示されており、かつチェックボックスにチェックが入っているデータのみ表示します。
- 追加
- テキストフィールドにホスト名を入力し、「追加」ボタンをクリックするとホスト名一覧に追加されます。
- 全て選択
- チェックボックス全てにチェックを入れます。
- クリア
- チェックボックスのチェックを全て外します。
- 削除
- マウスでクリックして選択したホスト名を一覧から削除します。
「IP アドレス」タブ
IP アドレス一覧に表示されており、かつチェックボックスにチェックが入っているデータのみ表示します。
- 追加
- テキストフィールドに IP アドレスを入力し、「追加」ボタンをクリックすると IP アドレス名一覧に追加されます。
- IP アドレス定義
- IP アドレス定義タブで定義している IP アドレスの一覧を表示し、その中から選択した IP アドレスを IP アドレス一覧に追加することができます。
- 全て選択
- チェックボックス全てにチェックを入れます。
- クリア
- チェックボックスのチェックを全て外します。
- 削除
- マウスでクリックして選択した IP アドレスを一覧から削除します。
「プライオリティ」タブ
3つのリストボックスから項目を選択し、組み合わせることによってフィルターを定義します。
- 種別
- プライオリティ、ファシリティ、セビリティの3つから選択します。
- 式
- >(より大きい)、>=(以上)、=(等しい)、<=(以下)、<(より小さい)、!=(等しくない)の6つから選択します。
- 値
- 種別に対応した値を設定します。
「Tag」タブ
syslog に Tag 部がある場合にのみ本フィルターは有効となります。
- 文字列
- Tag に含まれているフィルターしたい文字列を指定します。
- 含む/含まない
- 文字列を含む/含まないの指定をします。
- 大文字/小文字を区別する
- チェックを入れると大文字小文字を区別してフィルターします。チェックが入っていない場合は区別しません。
「Content」タブ
syslog に Content 部がある場合にのみ本フィルターは有効となります。
- 文字列
- Content に含まれているフィルターしたい文字列を指定します。
- 含む/含まない
- 文字列を含む/含まないの指定をします。
- 大文字/小文字を区別する
- チェックを入れると大文字小文字を区別してフィルターします。チェックが入っていない場合は区別しません。
表示フォーマット
- ファシリティを変換する
- チェックを入れるとファシリティのコード値を文字列で表示します。
- セビリティを変換する
- チェックを入れるとセビリティのコード値を文字列で表示します。
- 日付表示形式
- 受信時刻を指定の表示形式で表示します。
3.4.1.2 ルール
ルール/フィルター/アクションの定義可能数
受信データに対してフィルターを定義し、フィルター条件に合致した場合にアクションを実行します。1つのルールには、フィルターディレクトリとアクションディレクトリが1個ずつあり、各ディレクトリの下に各要素を最大10個まで設定できます。フィルターディレクトリ下に複数個のフィルターを定義している場合は、全てのフィルターが条件に合致した場合にアクションを実行します。また、アクションディレクトリ下に複数個のアクションを定義している場合は、全てのアクションを一回ずつ実行します。
ルール自体は最大30個まで設定できます。設定できるルール、フィルター、アクションの数は以下の数となります。
ルール:最大30個
フィルター:最大10個/ルール
アクション:最大10個/ルール
Note
アクションを実行するには、「ログ管理 タスクトレイ」を実行している必要があります。
定義の有効/無効
ルール/フィルター/アクションのそれぞれにはチェックボックスが付いており、チェックを入れると有効、チェックを外すと無効になります。ディレクトリのチェックボックスは、ディレクトリ配下の全てに対しての指定とみなされます。
フィルターディレクトリのチェックボックスにチェックが入っていないと、アクションディレクトリのチェックボックスにチェックが入っていてもアクションは実行されません。
また、フィルターが一個も定義されていなくても、フィルターディレクトリのチェックボックスにチェックが入っている場合はアクション実行の対象となります。すなわち、アクションが定義されておりチェックが有効ならば、データを受信するたびにアクションを実行することになりますので、ご注意ください。
定義情報の参照
ツリー上のルール名等をクリックすると右のタブ領域に定義されている情報が表示されます。
ルール追加
ルールを追加するには、ツリーのルート(一番上の「ルール」)をクリックしてください。ルール追加タブが表示されますので、ルール名を指定し、「追加」ボタンをクリックしてください。ツリーに指定した名前のルールのディレクトリが作成されます。このディレクトリの下には、「フィルター」と言う名前のディレクトリ(フィルターディレクトリ)と「アクション」という名前のディレクトリ(アクションディレクトリ)が自動的に作成されます。フィルターおよびアクションはそれぞれのディレクトリの下に定義します。このディレクトリ名は変更できません。
インターバル
アクションが短時間に大量に実行されることを防ぐためにアクションの実行間隔を設定することができます。
- 全体
- ルール全体で次にアクションを実行するまでの間隔を指定します。例えば、複数のルールを設定している場合は、あるルールのアクションが実行されると、ここで指定した間隔が経過するまでは、どのルールのアクションも実行されません。デフォルトは30分です。指定できる値は、最小値は0分、最大値は120分です。0分を指定した場合は、アクションは常に実行されます。
- 個別
-
個々のルールに対して、次にアクションを実行するまでの間隔を指定します。例えば、A という名前のルールに対して設定している場合は、ルールA のアクションが実行されると、ここで指定した間隔が経過するまでは、ルールA のアクションは実行されません。他のルールのアクションには影響を与えません。デフォルトは30分です。指定できる値は、最小値は0分、最大値は120分です。0分を指定した場合は、アクションは常に実行されます。
ルール名の変更/ルールの削除
- ルール名の変更
- ルール名のディレクトリ上でクリックするとルール名がテキストフィールドに表示されます。ルール名を変更する場合は、変更後に「更新」ボタンをクリックしてください。
- ルールの削除
- ルール名のディレクトリ上でクリックするとルール名がテキストフィールドに表示されます。ルールを削除する場合は、「削除」ボタンをクリックしてください。
フィルターの追加
フィルターディレクトリをクリックするとフィルター名テキストフィールドが表示されます。フィルター名、条件とフィルタータイプごとの項目を設定し、「追加」ボタンをクリックしてください。フィルターディレクトリの下に、指定した名前のフィルターが作成されます。
条件
「OR」または「AND」を選択できます。
OR は、各フィルター項目のいずれかの条件に合致するとアクションが実行されます。また、「フィルター」の名前が青色で表示されます。
AND は、各フィルター項目の全ての条件が一致するとアクションが実行されます。
フィルターの削除/更新
フィルターをクリックするとフィルター名と定義されているフィルターの内容が表示されます。削除する場合は「削除」ボタンをクリックします。ツリー上から削除されます。更新する場合は、内容を変更し「更新」ボタンをクリックしてください。
フィルタータイプ
ここで指定した条件に等しい場合に真とみなしアクションを実行します。フィルターを複数個定義している場合は、全てのフィルターが真の場合にアクションが実行されます。
プライオリティ
3つのリストボックスから項目を選択し、組み合わせることによってフィルターを定義します。
- 種別
- プライオリティ、ファシリティ、セビリティの3つから選択します。
- 式
- >(より大きい)、>=(以上)、=(等しい)、<=(以下)、<(より小さい)、!=(等しくない)の6つから選択します。
- 値
- 種別に対応したコード値を設定します。
IP アドレス
フィルターの対象となる IP アドレスを指定します。
- 範囲指定
- 開始 IP アドレスから終了 IP アドレスまでの範囲の IP アドレスをフィルターの対象とします。指定した範囲に含まれるかどうかを含む/含まないで指定できます。
- 個別指定
- 1個だけ指定したい場合に指定します。指定した IP アドレスと等しいか等しくないかを含む/含まないで指定できます。
- ネットワーク
- 指定した IP アドレスと送信元 IP アドレスに対してネットマスクとの論理的な AND を行い、同じ値であるかどうかを判定します。同じ値かどうかを含む/含まないで指定できます。
ホスト名
指定したホスト名が送信元のホスト名と等しい/等しくないを指定します。
Content
指定した Content を受信したデータ中に含む/含まないを指定できます。また、チェック時に大文字/小文字の区別を行うかどうかの指定もできます。
しきい値
- 「受信する」の場合
- 指定時間間隔中に指定したデータ数を受信した場合に真とみなします。例えば、通常ではありえない受信数を受信したとき、機器の異常や DoS 攻撃などを受けていると解釈したい場合などに有効です。
- 「受信しない」の場合
- 指定時間間隔中に指定したデータ数を受信しなかった場合に真とみなします。例えば、長時間にわたって何もデータを受信しない場合には、機器の故障の可能性があると解釈したい場合などに有効です。
アクションの追加
アクションディレクトリをクリックするとアクション名がテキストフィールドに表示されます。アクション名とアクションタイプごとの項目を設定し、「追加」ボタンをクリックしてください。アクションディレクトリの下に、指定した名前のアクションが作成されます。
アクションの削除/更新
アクションをクリックするとアクション名と定義されているアクション内容が表示されます。削除する場合には「削除」ボタンをクリックしてください。ツリー上から削除されます。更新する場合には、内容を変更後、「更新」ボタンをクリックしてください。
アクションタイプ
ダイアログ表示
ダイアログを表示します。
メッセージ
ダイアログに表示する任意のメッセージを定義できます。メッセージ欄にパラメーターを指定すると、パラメーターに対応した ALR の情報をダイアログに表示させることができます。
パラメーターには以下を指定できます。パラメーターを複数指定する場合はパラメーター間に空白を入れてください。パラメーター以外の文字列は無視されます。また、「$」自体を表示させたい場合は、「$$」と2文字続けて記述してください。
|
情報
|
パラメーターの記述形式 |
| 全て |
$ALL |
| 受信時間 |
$RECVTIME |
| ベンダー名 |
$VENDOR |
| 機種名 |
$DEVICE |
| 表示名 |
$ALIAS |
| ホスト名 |
$HOSTNAME |
| IP アドレス |
$IP |
| プライオリティ |
$PRIORITY |
| ファシリティ |
$FACILITY |
| セビリティ |
$SEVERITY |
| 発生時刻 |
$TIMESTAMP |
| Tag |
$TAG |
| Content |
$CONTENT |
メール送信
メールを送信します。
- SMTP サーバー名
- メールサーバー名を指定します。
- 送信者名
- 任意の名前を指定してください。
- 送信元
- 送信するためのクライアントのメールアドレスを指定します。
- 宛先
- 相手のメールアドレスを指定します。
- 表題
- 表題(Subject)を記述します。また、下記 ファイルと同様のパラメーターを指定できます。
- ファイル
- 指定したファイルの内容をメール本文に展開します。ファイル中にパラメーターが記述されている場合には、対応した ALR の情報をメール本文に展開します。パラメーターの内容は以下を指定できます。パラメーターを複数指定するときには、パラメーター間に空白を入れてください。パラメーター以外の文字列は無視されます。また、「$」自体を表示させたい場合には、「$$」と2文字続けて記述してください。
|
情報
|
パラメーターの記述形式 |
| 全て |
$ALL |
| 受信時間 |
$RECVTIME |
| ベンダー名 |
$VENDOR |
| 機種名 |
$DEVICE |
| 表示名 |
$ALIAS |
| ホスト名 |
$HOSTNAME |
| IP アドレス |
$IP |
| プライオリティ |
$PRIORITY |
| ファシリティ |
$FACILITY |
| セビリティ |
$SEVERITY |
| 発生時刻 |
$TIMESTAMP |
| Tag |
$TAG |
| Content |
$CONTENT |
- テスト送信
-
- 「テスト送信」ボタンをクリックすると設定内容に従って実際にメールを送信します。
外部コマンド
外部コマンドを起動します。
- 外部コマンドのパス
- 外部コマンド(アプリケーション)のある場所をフルパスで指定します。
- パラメーター
- 外部コマンド起動時に渡すパラメーターを指定します。指定した文字列がそのままパラメーターとして渡されますが、"$IP"を指定した場合にのみ IP アドレスに変換されて渡されます。パラメーターを複数指定するときには、パラメーター間に空白を入れてください。
-
- テスト実行
- 「テスト実行」ボタンをクリックすると設定内容に従って実際に外部コマンドを起動します。
3.4.1.3 DB 切り替えスケジュール
ALR は、DB に保存されたデータが最大100万件に達するか、指定された時間になったときに、DB を切り替えます。DB 名は、slr_YYYYMMDDhhmmss となります。YYYY は年、MM は月、DD は日、hh は時間、mm は分、ss は秒です。
- 時間間隔
- 1時間単位で切り替えます。
- 毎日
- 毎日指定された時刻に切り替えます。
- 曜日毎
- 指定された曜日に切り替えます。
- 毎月
- 毎月指定された日の 0時00分に切り替えます。
- 月初
- 毎月1日の 0時00分に切り替えます。
- 指定日時
- 指定された日時に切り替えます。指定日時の切り替えが実行された後は、「指定なし」と同じになります。
- 指定なし
- DB のデータ数が100万件以上になった時点で切り替えます。チェックは8分間隔で行いますので、100万件+α件になった時点で切り替わる場合があります。
3.4.1.4 DNS 変換
- DNS 変換
- IP アドレスを DNS サーバーに問合せ、ホスト名に変換します。
- ドメイン名削除
- ホスト名のドメイン名部分を削除します。
3.4.1.5 ポート
syslog 受信ポートを指定します。デフォルトは514です。
すでにポートが使用されている場合には受信することができません。その場合には、空いているポート番号に設定しなおしてください。
Note
ポートを変更した場合には、ALR を再起動する必要があります。
3.4.1.6 ディスク残量警告
DB が溜まっていくと、ディスクの容量が減少し、予期せぬ結果を招くことがあります。そのような状況を回避するために、ディスク残量警告機能を利用できます。
残量警告には、警告と受信停止の2種類があります。
- 警告
- 警告を示す場合のディスク残量を MB 単位で指定してください。ディスク残量が指定した残量以下になったときの警告方法をダイアログ表示または外部コマンドから選択してください。
警告によるダイアログ表示または外部コマンド起動は、連続しては実行されません。一度警告を検知すると、いったん警告状態でない状態(ディスクに余裕のある状態)になり、再び警告状態となったときにダイアログ表示または外部コマンドを実行します。続けて警告状態を検知しても2回目以降は、ダイアログまたは外部コマンドは実行されません。
- 受信停止
- 受信を停止させる場合のディスク残量を MB 単位で指定してください。ディスク残量が指定した残量以下になったときの警告方法をダイアログ表示または外部コマンドから選択してください。ALR が受信停止を検知すると、syslog の受信を停止します。受信を停止した場合には、いったん ALR を終了させ、ディスク残量を増やしてから再起動してください。
Note
ディスク残量チェックは、ALR 内部で5分間隔でチェックを行います。万一、5分間の間に大量のデータがディスクに書き込まれた場合を想定し、残量値には余裕を持った値を設定してください
3.4.1.7 外部コマンド
ALR のヘルプは HTML 形式で提供されており、参照するためには Web ブラウザーが必要となります。デフォルトの設定以外の指定をしたい場合には、ここで設定してください。
3.4.1.8 メール通知
重大なエラーが発生した場合に、設定した宛先にメールを送信します。
メール送信のためには、この画面で SMTP サーバー名と宛先の両方を設定する必要があります。
メール通知機能は、以下の場合にメールを送信します。
| 事象 | 送信メッセージ |
|---|
| 受信処理でエラーが発生した場合 |
受信サービスでデータを処理できなかったため、終了します。 |
| 解析処理でエラーが発生した場合 |
解析サービスでデータを処理できなかったため、終了します。 |
| ディスク停止容量を下回った場合 |
ディスク容量が停止容量を下回ったため、受信を停止します。(xxx byte) |
- SMTP サーバー名
- メールの送信に使用する SMTP サーバーを指定します。
- 送信者名
- 送信者名(From の文字列)を指定します。
- 送信元
- 送信元(From のメールアドレス)を指定します。
- 宛先
- 宛先(To のメールアドレス)を指定します。
- テスト送信
- ボタンをクリックすると設定内容に従って実際にメールを送信します。
(C) 2014-2016 アライドテレシスホールディングス株式会社
613-001924 Rev.D