Syslogデバイスの追加

Syslogデバイスの自動追加

管理対象のSyslogデバイス上でSyslogをEventLog Analyzerサーバーに転送する設定を実施している場合、EventLog Analyzerは該当Syslogデバイスを自動的に追加します。Syslogの転送設定手順は、こちらのページをご参照いただけます。

仕組み：
SyslogパケットがEventLog Analyzerサーバーに到達すると、EventLog Analyzerは送信元IPアドレスを判別し、対応する名前に解決しようとします。

• 解決に成功した場合：解決したホスト名でSyslogデバイスが自動的に追加されます。
• 解決に失敗した場合：IPアドレスを使用してSyslogデバイスが自動的に追加されます。

Syslogデバイスの手動追加

1. [設定]タブ → [ログソースの構成] → [デバイスを管理] → [Syslogデバイス]タブに移動後、[+ (複数)ホストの追加]をクリックします。
   
2. [デバイス]にデバイス名またはIPアドレスを入力し、[追加]ボタンをクリックします。

以下の手順を実施することで、ネットワーク内のSyslogデバイスを自動的に検出して追加することも可能です。

1. [Syslogデバイスの追加]画面の[ディスカバリーと追加]をクリックします。IP範囲（開始IPから終了IP）またはCIDRに基づいて、ネットワーク内のSyslogデバイスを検出できます。
   
2. Syslogデバイスを検出するために開始IPと終了IPまたはCIDR範囲を入力し、[次へ]をクリックします。
3. SNMP認証情報を選択します。デフォルトでは、「public」SNMP資格情報を使用して、ネットワーク内のSyslogデバイスをスキャンできます。
   
4. [+認証情報の追加]ボタンをクリックして、SNMP資格情報を追加できます。SNMP資格情報を選択したら、[スキャン]ボタンをクリックして、指定したIPまたはCIDR範囲内のSyslogデバイスを自動的に検出します。
5. 追加したいデバイスを選択します。検索ボックスを使用するか、デバイスの種類とベンダーに基づいてフィルタリングすることで、デバイスを簡単に検索できます。
   
6. [(複数)ホストの追加]ボタンをクリックして、監視するデバイスを追加します。

Unixデバイスが追加された場合は、自動ログ転送の設定が表示されます。

リレーサーバーの設定

ユースケース：複数のSyslogデバイスがパケットを単一の中央Syslogサーバーに配信し、中央SyslogサーバーがパケットをEventLog Analyzerサーバーに転送します。

前提条件：転送されるSyslogは標準「RFC 3164」に準拠する必要があり、EventLog Analyzerで対応するリレーサーバーの設定が有効になっている必要があります。

サンプルログ：<34>Oct 18 22:00:15 rootmachine su: 'su root' failed for test on /dev/pts/

DHCPの設定

ユースケース：DHCPによりSyslogデバイスのIPアドレスが頻繁に変更される場合、変更後のIPアドレスからホスト名を解決できないと、新しいIPアドレスを持つデバイスが新規追加されます。

前提条件：すべてのSyslogデバイスからEventlog Analyzerに転送されるSyslogは標準「RFC 3164」に準拠する必要があり、EventLog Analyzerで対応するDHCPの設定が有効になっている必要があります。

サンプルログ：<34>Oct 18 22:00:15 rootmachine su: 'su root' failed for test on /dev/pts/8