Syslogとは?
Syslogとは、ログメッセージを転送する標準規格として、主にサーバーやネットワーク機器で利用されます。Syslogで転送されたログを収集するサーバーを「Syslogサーバー」と呼び、Syslogサーバーに保存されたログはセキュリティ監査や障害発生時の調査などに活用されます。
ログ管理で広く利用されているWindowsイベントログとは異なり、SyslogはLinux系のログの仕組みです。また、Priority(ログレベル)がWindowsイベントログと比較して多く用意されています。Linuxサーバーを運用していて、サーバーで起こるイベントを迅速に検知したいシステム管理者の方はぜひSyslogを活用しましょう。
Syslogサーバーでログメッセージを収集するイメージ
FacilityとSeverity
Syslogには、Facility(ファシリティ)とSeverity(シビアリティ)という2種類の概念があります。
Facilityはログメッセージの種類を指しています。例えば「kern」というFacilityはカーネルを表します。
Severityはログメッセージの優先度を表しています。例えば「emerg」というSeverityは緊急で最も優先度が高いことを示しています。
FacilityとSeverityを設定することでSyslogの種類や優先度を区別でき、Syslogの効率的な管理に役立ちます。
Syslogの活用法3選
多くのシステム管理者がSyslogを日々の運用管理に役立てています。ここでは、Syslogの活用法を3つご紹介します。
1.セキュリティ監査
組織内のネットワークに存在するデバイスが通常と異なる動作をした場合や、認証違反のようなセキュリティインシデントが発生した場合の調査など、セキュリティ監査に役立つ情報を収集できます。
2.システムの管理
システムのイベントやデバイスのエラー、カーネルメッセージ、ファイルシステム、温度、ネットワーク接続の状態などを把握できます。
3.アプリケーションの管理
アプリケーションのエラーやパフォーマンスの低下、データベースの警告などのログを参照することで、アプリケーションがサーバー上の他のプロセスにどのように影響しているか把握できます。
要件別!Syslogを活用するためのツールの選び方
前述のとおり、セキュリティ監査やシステム、アプリケーションの監視においてSyslogを上手く活用することが重要です。ただし、Syslogの情報を把握したいタイミングで手動で収集をするのは非常に困難です。そのため、多くの管理者がSyslogの監視ツールやログ管理ツールを導入してSyslogを活用しています。
下記では、要件別におすすめのツールをご紹介します。以下の2つからお選びいただき、クリックしてください。
Syslogの監視を重視した要件の場合
ログの長期保管などといったログ管理機能よりも監視機能を重視し、Syslogに関してはリアルタイムに特定のイベントを検知したいという要件の場合は、サーバー・ネットワーク統合監視ツール「OpManager」が最適です。
OpManagerは、Syslogだけでなく、Windowsイベントログの監視、さらにはSNMPやWMIなどのプロトコルを用いた監視機能で、ITリソース全体のパフォーマンスをこれひとつで把握できるようになります。
無料で使えます[機能・監視数 無制限]
もちろん、ITリソースのパフォーマンス監視機能を重視する上、ログ管理機能も必須という要件の場合は、複数の製品を導入することで要件を満たすことができます。
Syslog監視機能
OpManagerは、監視対象のデバイスから送信されるSyslogを解析し、ユーザーが定義したルールに基づいたSyslog監視を行います。監視すべきSyslogを受信すると、アラートやメールで管理者に通知するだけでなく、サーバー・ポートのシャットダウンや、事前に設定したスクリプトの実行など、そのSyslogに対して行うべき対処の自動実行まで可能になります。
各デバイスから送信されるSyslogはしばしば膨大な数になるため、手動での解析による対応は非常に時間を要することが予想されます。OpManagerを利用したSyslog監視では、受信したSyslogに対して上記のような迅速な対応を行えるため、Syslogの解析に費やす時間の大幅な削減が期待できます。
OpManagerによるSyslog監視で実現することを、より具体的に紹介します。
- 監視対象の装置から送信されるSyslogの受信
- 受信したSyslogの自動解析
- Facilityや重要度、マッチング文字に基づいたSyslogのフィルタリング
- 特定の各Syslogに対して設定した重要度に基づいたアラートの発報
- Syslogに対して行うべき操作の自動処理
- Syslogのフローレートの表示
- Syslogに関するイベントをまとめたレポートの自動出力
OpManagerのSyslog監視機能の概要は、「Syslog監視機能」のページをご参照ください。
Syslog監視機能イメージ
OpManagerはSyslog監視において、サーバー(Linux / UNIX / AIX / Solaris)・ルーター・スイッチなど、異なるプラットフォームの多数の装置をサポートしています。またOpManagerはSyslog監視にとどまらず、サーバーやネットワークのパフォーマンス監視をはじめとした様々な監視機能を搭載しており、統合的なネットワーク監視が可能です。
Syslog監視ルールの一覧
Syslog監視ルール編集画面
無料で使えます[機能・監視数 無制限]
Syslogの長期保管を重視した要件の場合
ログの監視に加え、長期保管、解析する機能までツールに求める場合は、管理対象の範囲によって適切な製品が異なります。ManageEngineでは、次の3つの範囲で異なる製品を提供しています。
| 対象範囲 | 製品 |
|---|---|
| A:ファイアウォール・UTM・プロキシ | ファイアウォールログ解析ツール Firewall Analyzer |
| B:Aだけでなく、各種ネットワーク機器、各種サーバー | 統合ログ管理ツール EventLog Analyzer |
| C:Bだけでなく、Active Directry監査、Microsoft 365 | SIEMツール Log360 |