Syslog管理のエッセンス
ログを管理したい装置、OS、アプリケーションにSyslog機能が搭載されている場合、そのシステムのログメッセージをSyslogプロトコルを使用して、ネットワーク上にあるSyslogサーバーへ送信させることができます。
Syslog送受信のためには、送信側にSyslogを送信する機能(Syslogエージェント)が用意されていること、受信側にSyslogを受信する機能(Syslogサーバー)が用意されていること、そして送受信ともに適切な設定がなされている必要があります。Syslog(シスログ)は、「できごと」の記録(ログメッセージ)をIPネットワーク上で転送するためにIETFによって標準化されたプロトコルで、主にUnix/Linux系のホストコンピューターや、ネットワーク機器(スイッチ・ルータ等)上で多く採用されています。Syslogメッセージを送信するアプリケーションのことをSyslogと呼ぶこともあります。
Syslog管理とは?
LinuxなどのUNIX系OSには複数のSyslogデーモンの選択肢がありますが、これはあくまで複数のSyslog装置から送信したログメッセージをSyslogサーバーが受信して保管する機能にすぎません。
Syslog管理は、Syslogを一元保管するために必要な送受信設定やログメッセージの保管期間などの設定を行ってSyslogの送受信を可能にするだけでなく、次のような機能が求められます。
- Syslog受信の設定など、ログに関する設定を容易にする
- 集約した膨大なログメッセージから必要な情報を検索・抽出する
- ログに記録された値をグラフで可視化する
- 運用上懸念のあるログが記録された際にアラート等で管理者に通知する
- 法令など各種コンプライアンスの要求に即したレポートを生成する
- ログメッセージを圧縮することで必要なストレージ容量を節約し、長期にわたるログ保管のコストを低減する
基幹業務を支えるシステムにおいて何らかの障害が発生した際には、トラブルシューティング作業の手始めとしてSyslogの内容を確認することが一般的です。
このような背景から、Syslogを活用するためには収集する以外にも様々な付加価値のあるツールが求められており、効果的なネットワーク管理のためには収集・保管したSyslogを「見たいときにいつでも見られる」状態にしておくことが重要になります。このようなSyslog活用の取り組みを、Syslog管理と呼んでいます。
様々な形式のログをまとめて管理したい!効果的なSyslog管理を実現する方法と注意点
多くの組織において、IT管理者はSyslogだけではなく、Windowsイベントログなど他種のログの収集・管理も行っています。WindowsイベントログとSyslogを一元管理できたら便利だと思いませんか?
異なる規格のログを一元管理する仕組みを、スクラッチから構築するためには開発など多くのコストがかかるため、多くの組織では複数の規格のログ管理に対応したツールを導入しています。
Syslogに対応したツールを選ぶ際に、ツールにSyslogサーバー機能が含まれているかどうかを確認しておくことは大きなポイントです。Syslogメッセージを受信するために、ツールとは別にSyslogサーバーを必要とするツールの場合、Syslogサーバーの構築・設定の手間がかかるだけでなく、ソフトウェアのバージョン管理なども別々に行うなどの手間もかかります。
Syslogサーバーの機能も備えたログ管理ツールを導入すると、Syslogサーバー構築の手間を省略でき、Syslogサーバーの設定も一元化することができ、さらにSyslog以外のログ、たとえばWindowsイベントログなどを同一のツール上で一元管理する環境を実現することできます。
Syslog管理を効果的に実現するためには、Syslog以外のさまざまな種類のログを同時に管理できる機能を持ち、さらにSyslogサーバー機能を兼ね備えたツールを導入することが重要であるとわたしたちは考えます。
すぐにはじめられるSyslog管理ツール
ManageEngineが提供する統合ログ管理ツール「EventLog Analyzer」は、Syslog管理を行う現場の様々な要求にこたえる機能が充実した、統合ログ管理ソフトウェアです。
Syslogサーバー機能も備え、直感的で使いやすいインターフェースよって、Syslog・Windowsイベントログなど様々な形式のログを集中管理することができます。収集したログはあらかじめ指定しておいたフォルダにまとめて保管され、時系列で複数の機器のイベントを表示する機能や、必要なログメッセージを簡単に検索可能する機能などを有します。
Syslog管理機能
Syslog収集の流れ
EventLog Analyzerは、Linux/Unix系サーバーやネットワーク機器から転送されたSyslogを自動収集することが可能です。したがって、EventLog Analyzerを使うことで、Syslog管理のためのSyslogサーバー等を新しく構築する必要がなくなります。また、EventLog Analyzerでは、Syslogの収集方法として、ファイルの手動インポートや自動定期的インポートにも対応しているため、運用方法に応じてSyslogを管理していただくことが可能です。
主な収集方法としては、ネットワーク内の監査対象の機器それぞれにSyslog転送設定を行い、転送先に設定されたEventLog Analyzerサーバーの受信ポートを通じてSyslogの収集を行います。つまり、EventLog Analyzerが従来のSyslogサーバーのような役割を果たすことが出来ます。また、その他の方法としてEventLog Analyzerでは、Syslogファイルを手動でローカルもしくはリモートホストからサーバーへインポートすることも可能です。
サポート対象のSyslog機器
EventLog Analyzerでは、主に以下の機器のSyslogを収集することが可能です。
- UNIX標準
- Linux
- HP-UX
- IBM AIX
- ルーターやスイッチ、その他RFCに準拠したSyslogをサポートしている機器