Syslogモニタリングの設定
Syslogはシステム・イベント・メッセージを記録するために一般的に使用される規格です。これらのメッセージの宛先にはシステム・コンソール、ファイル、リモートsyslogサーバーまたはリレーなどがあります。
概要
Oracle Logging Analyticsでは、様々なソースからsyslogデータを収集および分析できます。syslogサーバーでsyslog出力ポートを構成することのみが必要です。Oracle Logging Analyticsはこれらの出力ポートを監視し、リモートsyslogコンテンツにアクセスして、分析を実行します。
Oracle Logging AnalyticsのSyslog監視では、複数のホストおよびポートをリスニングできます。サポートされているプロトコルはTCPおよびUDPです。
Syslogログ収集の全体的なフロー
次に、ホストからログ情報を収集するためのタスクの概要を示します:
-
syslogリスナーに管理エージェントをインストールします。ホストからの継続的なログ収集の設定を参照してください。
syslogリスナーは、同じホストで実行されていない可能性のあるインスタンスからsyslogログを受信するように構成されます。ただし、syslogリスナー・ホストにインストールされているエージェントは、リスナーが収集するように構成されているログを収集します。
-
syslogエンティティを作成します。ログ出力リソースを表すエンティティの作成を参照してください。
-
syslogエンティティとソースの関連付け。新しいソースとエンティティのアソシエーションの構成を参照してください。
Syslogソースの作成
Oracle Logging Analyticsには、syslog収集用の複数のOracle定義ログ・ソースがすでに用意されています。使用可能なOracle定義syslogソースおよびOracle定義パーサーのいずれかを使用できるかどうかを確認します。そうでない場合は、次のステップを使用して新しいログ・ソースを作成します。
-
ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。
管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ソース」をクリックします。
-
「ソース」ページが開きます。「ソースの作成」をクリックします。
「ソースの作成」ダイアログ・ボックスが表示されます。
-
「名前」フィールドに、ログ・ソースの名前を入力します。
-
「Source Type」リストから、「Syslog Listener」を選択します。
-
「エンティティ・タイプ」をクリックし、「ホスト」のいずれかのバリアント(エンティティ・タイプとして
Host (Linux)
、Host (Windows)
、Host (AIX)
、Host (Solaris)
など)を選択します。これは、エージェントが実行され、ログが収集されているホストです。syslogリスナーは、同じホストで実行されていない可能性のあるインスタンスからsyslogログを受信するように構成されます。ただし、syslogリスナー・ホストにインストールされているエージェントは、リスナーが収集するように構成されているログを収集します。ノート
-
1つの管理エージェントまたはsyslogには、最大で50の送信者を送信することをお薦めします。送信者をさらに増やすには、より多くの管理エージェントを使用してください。
-
送信者が開く可能性があるすべての着信接続を処理するには、オペレーティング・システムで送信者ごとに少なくとも50のファイル・ハンドルを構成する必要があります。これは、他の目的でオペレーティング・システムに必要なファイル・ハンドルに対する追加分です。
-
-
「パーサー」をクリックし、適切なパーサーを選択します。
通常、
Syslog Standard Format
やSyslog RFC5424 Format
などのバリアント・パーサーの1つが使用されます。特定のネットワーク・デバイスには、Oracle定義のsyslogパーサーからも選択できます。 -
「リスナー・ポート」タブで、「追加」をクリックして、Oracle Logging Analyticsでログを収集するためにリスニングされるリスナーの詳細を指定します。
syslogサーバーのsyslog構成ファイルで出力ポートとして指定したリスナー・ポートを入力し、必要なプロトコルとして「UDP」または「TCP」(トラフィックが重い場合に推奨)のいずれかを選択します。「有効」チェック・ボックスが選択されていることを確認します。
複数のリスナー・ポートを追加する場合はこのステップを繰り返します。
Oracle定義のSyslogログ・ソースでは、次のリスナー・ポートが使用されます。
Oracle定義のSyslogソース リスナー・ポート Palo Alto Syslogログ
8500
Symantec Endpoint Protection Syslogリスナー・ログ
8501
Symantec DLP Syslogリスナー・ログ
8502
Cisco Syslogリスナー・ソース
8503
QRadar LEEF Syslogリスナー・ソース
8504
F5 Big IPログ
8505
Juniper SRX Syslogログ
8506
Citrix NetScalerログ
8507
NetApp Syslogログ
8508
Fortinet Syslogログ
8509
ArcSight CEF Syslogソース
8510
Check Point Firewall LEA Syslogログ
8511
Palo Alto Syslog CEFログ
8512
TrendMicro Syslog共通イベント・フォーマット・ログ
8513
Symantec Endpoint Protection System Syslogログ
8514
F5 Big IP ASM WAF Syslog CEFログ
8516
CyberArk Syslog共通イベント・フォーマット・ログ
8517
SquidプロキシSyslogリスナー・ソース
8518
-
「ソースの作成」をクリックします。
Syslogデータの表示
Oracle Logging Analyticsのログ・エクスプローラの「フィールド」パネルの「ログ・ソース」フィールドを使用して、syslogデータを表示できます。
- Oracle Logging Analyticsのログ・エクスプローラで、「フィールド」パネルの「ソース」をクリックします。
- 「フィルタ基準」ダイアログ・ボックスで、作成したsyslogソースの名前を選択し、「適用」をクリックします。