1. はじめに¶
1.1. 本書について¶
本書は、Windowsおよびネットワークシステムの基本的な知識をもつシステム管理者を対象に、ALog ConVerterのオプション製品であるALog Syslog Receiverについて記載した文書です。
本書で指定している箇所以外でソフトウェアに改変を加えた場合は、サポート対象外となります。
本書の一部または全部を無断転載することを禁止します。
本書の内容に関しては、将来予告なしに変更する場合があります。
本書では正確な情報を記載するよう努めておりますが、誤植や作成上の誤記がないことを保証するものではありません。
ALog ConVerterは、監査対象のシステムが出力するログを収集し、分析変換する製品です。 監査対象のシステム(OSやミドルウェア)の仕様に関する質問や、ログを出力するために利用している監査機能およびその設定方法については、メーカー各社またはご購入いただいた販売代理店にお問い合わせください。
本書は、Windowsおよびネットワークシステムの基本的な知識をもつシステム管理者を対象に、ALogConVerterのオプション製品であるALog Syslog Receiverについて記載した文書です。
1.1.1. 関連文書について¶
ALog には、本書のほかに以下の関連文書があります。必要に応じて参照してください。
1.1.2. 製品情報およびALogシリーズ サポートセンターについて¶
1.1.2.1. ALogシリーズ WEBサイト¶
https://www.amiya.co.jp/solutions/alog/
製品に関する様々な情報が参照できます。
1.1.2.2. ALogシリーズ サポートセンター¶
https://support.amiya.co.jp/help/
保守サービスをご契約中のユーザー様向けのWebサイトです。製品の最新バージョンや各種ドキュメントがダウンロードできるほか、トラブルシューティングや障害情報などが参照できます。ALogシリーズ サポートセンターの利用には、ライセンスキー証書 兼 保守サービス証書に記載されているIDとパスワードが必要です。
1.1.4. 商標について¶
2. ALog Syslog Receiverの概要¶
本章ではALog Syslog Receiverの機能や仕組みを説明します。
2.1. ALog Syslog Receiverとは¶
2.2. ライセンスについて¶
ALog Syslog Receiverはライセンス登録不要な無償提供のアプリケーションです。インストール後すぐに使うことができます。ただし、ALog Syslog ReceiverはALog EVA用のアプリケーションのため、ALog EVAのライセンスを保有している場合にのみサポートします。
2.3. ALog Syslog Receiverの仕組み¶
ALog Syslog ReceiverをインストールするとWindowsのサービスとして登録されます。(サービス名: AsrHost、表示名:ALog Syslog Receiver)サービスが起動すると、指定ポートに対して送られたSyslogをALog Syslog Receiverのキューに格納し、順次ファイルに書き出し処理を行います。
2.3.1. 受信のプロトコルとSyslogフォーマット¶
ALog Syslog Receiverは以下のプロトコルによって送信されたSyslogフォーマットに準拠したログを受信します。
プロトコル
フォーマット
備考
UDP
RFC3164
パケット内のメッセージはUTF-8であることメッセージフレームがRFC5424であっても受信可能TCP
RFC3164/5424
パケット内のメッセージはUTF-8であることRFC6587で規定された「Non-Transparent-Framing」および「Octet Counting」のフレーミングに対応
2.3.2. 出力フォーマット¶
受信したSyslogは「Syslog形式」もしくは「CSV形式」で出力できます。設定の切り替えは 「 ログの出力フォーマットを変更したい 」 を参照してください。
2.3.2.1. Syslog形式¶
受信したSyslogをそのままの形式で出力します。対象となるSyslogのテンプレートを作成している場合に使用してください。
2.3.2.2. CSV形式¶
ALogで定義したフォーマットで出力されます。CSV形式に合わせたALog EVAのテンプレートが用意されているため設定がスムーズです。出力フォーマット
"<受信日付>", "<Severity>", "<Facility>", "<メッセージフレーム>"
2.3.2.2.1. カラム1: 受信日時¶
Syslog のパケットを受信した日時が記録される
2.3.2.2.2. カラム2: Severity¶
Severity は受信した番号に対応した表記に置換して記録される
0
Emergency
1
Alert
2
Critical
3
Error
4
Warning
5
Notice
6
Informational
7
Debug
2.3.2.2.3. カラム3: Facility¶
Facilityは受信した番号に対応した表記に置換して記録される※規格外の数値を受信した場合、受信した数値をそのまま出力する
0
Kernel
1
User
2
3
System
4
SecurityAuthorization
5
Syslog
6
LinePrinter
7
NetworkNews
8
Uucp
9
Clock
10
SecurityAuthorization2
11
Ftp
12
Ntp
13
LogAudit
14
LogAlert
15
Clock2
16
local0
17
local1
18
local2
19
local3
20
local4
21
local5
22
local6
23
local7
2.3.2.2.4. カラム4: メッセージフレーム¶
受信したその他の情報がRFC3164/RFC5424それぞれのフォーマットに合わせて記録される
[RFC3164]
<日付> <ホスト> <メッセージ> 例) Nov 8 14:23:54 debian10 systemd[1]: Starting Daily man-db regeneration...[RFC5424]
<バージョン> <作成日付> <ホスト> <アプリ名> <プロセスID> <メッセージID> <ストラクチャードデータ> <メッセージ本体> 例) 1 2019-11-06T10:56:02.199005+09:00 debian10 root - - [timeQuality tzKnown=""1"" isSynced=""1"" syncAccuracy=""16000""] abc
2.3.2.2.5. CSV形式の出力サンプル¶
出力例:ルータから送信されたSyslogをALog Syslog Receiverで受信して出力した結果
![]()
2.3.3. 出力ファイルに関するその他の仕様¶
2.3.3.1. 命名規則¶
yyyyMMddHHmmssfff-<送信ホストIPアドレス>.log
送信ホストが同一の場合、複数機器からの送信データは1ファイル内に入る
1ファイル内でRFC3164/RFC5424データの共存可能
ファイル名に付与される日時はファイル作成日時
2.3.3.2. ローテート規則¶
ローテートには2つのタイミングがある
指定の時間が経過した場合 (初期値: 毎時30分)
指定サイズに達した場合 (初期値: 100MB)
2つのローテート規則はどちらも有効であり、どちらかのタイミングに到達した時点でローテートされる
2.3.3.3. 文字コード¶
UTF-8
2.4. 動作環境¶
本章ではALog Syslog Receiver の利用にあたって必要なシステム環境について説明します。
2.4.1. 動作環境¶
ALog Syslog Receiver は以下の条件で動作します。
Windows Server OS
.NET Framework 4.7.2以上
ALog Syslog Receiverと ALog を同一のマシンにインストールできます。ALog とは別のマシンにインストールすることも可能です。別のマシンの場合は、OSが快適に動作するスペックを準備してください。注意
ALog Syslog Receiverの動作に必要な.NET Framework 4.7.2がインストールされていない場合、インストールを促すダイアログが表示されます。 画面に従ってインストールを実行してください。.NET Frameworkのインストーラーの判定によりOS再起動が必要な場合があります。 その場合は、OS再起動後改めてセットアッププログラムを実行してください。
2.4.2. 動作に必要なユーザーアカウントと権限¶
ALog Syslog Receiver のサービスは、ローカルシステムアカウントで動作します。その他に必要とするアカウントはありません。
2.4.3. 通信環境¶
ALog Syslog Receiver で使用する受信ポートは、インストール時に指定可能です。初期値は「TCP/UDP 514」です。ALog Syslog Receiver をインストールしたマシンで指定したポートの開放を行ってください。また、機器とマシン間の通信においても、指定したポートで通信できるよう適宜ネットワーク機器の設定を変更してください。注意
ポートが開放されていない場合、ALog Syslog Receiverサービスは検知できません。必ず事前に確認してください。
ヒント
ALogマネージャーサーバとは別のマシンにALog Syslog Receiver をインストールする場合は、ALog EVAでの収集処理で通信要件が発生しますので、ALog ConVerter ユーザーガイドでALog EVAの通信環境を確認し、ポートの設定を行ってください。
3. ALog Syslog Receiverの運用開始手順¶
本章では、ALog Syslog Receiverのインストールから、ALog EVAで収集、変換するまでの手順を説明します。
Step1.ALog Syslog Receiverをインストールする
Step2.Syslog送信テストを行い、ファイルへの出力を確認する
※Step3では出力フォーマットごとに手順が異なります。事前にどちらの出力フォーマットにするか確認し、必要であれば設定変更を行ってください。参考1: 出力フォーマット参考2: ログの出力フォーマットを変更したい
3.1. Step1.ALog Syslog Receiverをインストールする¶
以下の手順でALog Syslog Receiverをインストールします。 インストールを実行する際は、管理者権限を持っているアカウントでインストールする環境にログオンしてください。
ALog Syslog Receiverのセットアッププログラムを実行すると言語選択画面が表示されるため「日本語」を選択し、[OK]ボタンをクリックする
2.セットアップウィザード開始画面で[次へ]ボタンをクリックする
使用許諾契約書が表示されるため内容を確認し、[同意する]を選択して[次へ]ボタンをクリックする
インストール先フォルダーを指定し、[次へ]ボタンをクリックする
アプリケーションデータ用フォルダー(アプリケーションの設定や受信したSyslogデータなどを保存するフォルダー)を指定し、[次へ]ボタンをクリックする
※システム領域(Cドライブ)以外に作成することを推奨
![]()
受信に使用するTCP/UDPのポート番号を指定し、[次へ]ボタンをクリックする
設定が完了したら[インストール]ボタンをクリックしてインストールを実行する
インストールが完了したら[完了]ボタンをクリックしてセットアップウィザードを終了する
インストール完了時点でALog Syslog Receiverのサービスが起動する
![]()
3.2. Step2.Syslog送信テストを行い、ファイルへの出力を確認する¶
ALog Syslog Receiverサービスの起動により、Syslogの受信が可能になります。Syslogが受信できるかを以下の手順で確認してください。
Syslogを送信したい機器(ネットワーク機器やサーバ等)からALog Syslog Receiverをインストールしたマシンに対してSyslogを送信する
インストール時に指定したアプリケーションデータ用フォルダー内に受信したデータが出力されているか確認する
Syslogを送信したホストのIPアドレスが付与されたファイルが作成されていればALog Syslog Receiver側の準備は完了
<アプリケーションデータ用フォルダー>\output\Default 例) D:\ALogSyslogData\output\Default![]()
ヒント
Step3では、このフォルダーに出力されたIPアドレス分の対象サーバを登録します。
3.3. Step3.ALog EVAで対象サーバ登録を行う¶
ALog Syslog Receiverで受信したデータをALog EVAで収集する設定を行います。 出力フォーマットに合わせて手順を選択してください。
ヒント
ALog EVAの詳細は「ALog ConVerter ユーザーガイド」を参照してください。
注意
事前にALog EVAのライセンスキーを登録してください。
3.3.1. Syslog形式の場合¶
ALogのWebコンソールの「管理」画面から「対象サーバ」画面を開き、[追加]ボタンをクリックする
「対象サーバ追加ウィザードの開始」画面で[次へ]ボタンをクリックし、「サーバの選択」画面で「EVA」を選択して[次へ]ボタンをクリックする
「サーバの指定」画面でサーバ名を入力して[次へ]ボタンをクリックする
ALog Syslog Receiverで複数の送信ホストからデータを受信する場合、送信ホストそれぞれを対象サーバ登録する必要がある
対象サーバのサーバ名欄は同名禁止のため、「名称設定」画面で接続サーバ名(例:localhost)を指定し、サーバ名欄は各送信ホストを表す名前を入力する(接続サーバ名は同名可)
![]()
![]()
テンプレートの選択画面では状況に合わせて選択し、[次へ]ボタンをクリックする
テンプレートを有していない場合は「新規にログ設定を作成する」を選択
すでに登録しようとしてる製品に関するテンプレートを有している場合は「テンプレートを使用する」にチェックをし、プルダウンから該当するテンプレートを選択
![]()
ヒント
テンプレートはユーザー自身で作成することが出来ます。同じ製品を複数台登録する場合は、1台目を対象サーバ追加後、編集画面からテンプレートを作成してください。詳しい手順はALog ConVerter ユーザーガイドにあります。
「ログ収集設定」では必要な収集設定を行い、[次へ]ボタンをクリックする
項目
説明
ログ収集方式
ALogマシン=ALog Syslog Receiverマシン⇒「マネージャーサーバのローカルフォルダーから収集」ALogマシン≠ALog Syslog Receiverマシン⇒「対象サーバの共有フォルダーから収集」フォルダー
Step2でファイル出力を確認したフォルダーを指定「D:\ALogSyslogData\output\Default」ファイル名
Step2で確認したファイル名を参考にファイル名を指定例)「*-10.255.253.131.log」収集したファイルを削除する
収集したファイルの削除期間を指定推奨:「指定した期間後に削除する(日単位):1日」※「削除する」設定の場合、ローテート前のカレントログはロックされているため、削除対象となった際はエラーが発生する
ログの収集スケジュールを設定し、[次へ]ボタンをクリックする
「マッピング設定 –入力」は「Syslog」、「utf-8」を選択し、[次へ]をクリックする
「マッピング設定–出力」はプレビューしながら希望するマッピング設定を行い、[次へ]をクリックする
ウィザードの完了画面では設定内容を確認し、[完了]ボタンをクリックする
ステータス画面から追加した対象サーバの[タスクの操作]-[開始]をクリックしてログ収集タスクを開始する
ステータス画面からログ変換タスクの[タスクの操作]-[開始]をクリックして変換を行う。そのまま自動的にインポートも行われる
変換結果を確認し、SyslogデータがALogに取り込まれたか確認する
インポート結果を検索画面で確認する
アクセスログ出力結果を「出力設定」で指定されたフォルダー配下で確認する
3.3.2. CSV形式の場合¶
ALog Syslog Receiverで受信したSyslogデータ-CSV形式用のテンプレートが用意されていますので簡単に設定できます。
ALogのWebコンソールの「管理」画面から「対象サーバ」画面を開き、[追加]ボタンをクリックする
「対象サーバ追加ウィザードの開始」画面で[次へ]ボタンをクリックし、「サーバの選択」画面で「EVA」を選択して[次へ]ボタンをクリックする
「サーバの指定」画面でサーバ名を入力して[次へ]ボタンをクリックする
ALog Syslog Receiverで複数の送信ホストからデータを受信する場合、送信ホストそれぞれを対象サーバ登録する必要がある
対象サーバのサーバ名欄は同名禁止のため、「名称設定」画面で接続サーバ名(例:localhost)を指定し、サーバ名欄は各送信ホストを表す名前を入力する(接続サーバ名は同名可)
![]()
![]()
「テンプレートを使用する」にチェックをし、プルダウンから「ALog Syslog Receiver(CSV出力)」を選択して、[次へ]ボタンをクリックする
テンプレートより読み込んだ収集設定が表示されるので、環境に応じて編集し、[次へ]ボタンをクリックする
![]()
表 3.1 ログ収集設定の設定方法¶ 項目
説明
ログ収集方式
ALogマシン=ALog Syslog Receiverマシン⇒「マネージャーサーバのローカルフォルダーから収集」(初期値)ALogマシン≠ALog Syslog Receiverマシン⇒「対象サーバの共有フォルダーから収集」フォルダー
Step2でファイル出力を確認したフォルダーを指定「D:\ALogSyslogData\output\Default」(初期値)ファイル名
Step2で確認したファイル名を参考にファイル名を指定「*.log」(初期値)となっているため、IPアドレスを追加して対象サーバとして指定したマシンのファイルに絞り込む必要がある例)「*-10.255.253.131.log」収集したファイルを削除する
収集したファイルの削除期間を指定「指定した期間後に削除する(日単位):1日」※「削除する」設定の場合、ローテート前のカレントログはロックされているため、削除対象となった際はエラーが発生する
ログの収集スケジュールを設定し、[次へ]ボタンをクリックする
「マッピング設定 –入力」はALog Syslog Receiverの出力に合わせて最適な設定になっているため、このまま[次へ]をクリックする
「マッピング設定–出力」はALog Syslog Receiverの出力に合わせて最適な設定になっているため、このまま[次へ]をクリックする
ヒント
機器からRFC3164/RFC5424の規格に準拠していないSyslogが出力されている場合は、マッピング設定を調整する必要があります。
ウィザードの完了画面では設定内容を確認し、[完了]ボタンをクリックする
ステータス画面から追加した対象サーバの[タスクの操作]-[開始]をクリックしてログ収集タスクを開始する
ステータス画面からログ変換タスクの[タスクの操作]-[開始]をクリックして変換を行う。そのまま自動的にインポートも行われる
変換結果を確認し、SyslogデータがALogに取り込まれたか確認する
インポート結果を検索画面で確認する
アクセスログ出力結果を「出力設定」で指定されたフォルダー配下で確認する
![]()
3.3.3. 標準テンプレート「ALog Syslog Receiver」の初期設定値一覧¶
3.3.3.1. ログ収集設定¶
項目名
初期値
ログ収集方式
マネージャーサーバのローカルフォルダーから収集
フォルダー
D:\ALogSyslogData\output\Default
ファイル名
*.log
収集したファイルを削除する
指定した期間後に削除する:1日
3.3.3.2. マッピング設定 - 入力¶
項目名
初期値
ファイル形式
CSV/TSV/DSV
文字コード
utf-8
区切り文字
, (カンマ)
入力ファイルにヘッダーを含む
OFF
コメント行の先頭文字
#
3.3.3.3. マッピング設定 - 出力¶
項目名
初期値
解説
時刻
{F(1)}
メッセージの受信時刻
ユーザー
{HostName()}
Syslogの送信元ホスト名
サーバ
{Server()}
ALogで設定した対象サーバ名
対象
{Message()}
メッセージ本体
操作
Syslog
固定文字列
詳細
詳細項目の初期値と出力内容 を参照
-
除外フィルター
なし
-
時刻フォーマットを指定する
OFF
-
エラー時のふるまい
警告を発し、エラー行をスキップする
-
空の詳細項目を出力しない
ON
-
重複する行を1行にマージする
OFF
-
3.3.3.3.1. 詳細項目の初期値と出力内容¶
詳細項目はSyslogデータの規格により出力される内容が異なります。
表 3.2 詳細項目の初期値と規格¶ 詳細項目
初期値
解説
RFC3164
RFC5424
ProcId
{ProcId()}
メッセージを作成したプロセスのID
× 1
○
AppName
{AppName()}
アプリケーション名
× 1
○
MessageId
{MessageId()}
メッセージのID
× 1
○
StructuredData
{StructuredData()}
StructuredData の全文
× 1
○
CreateDateTime
{CreateDateTime()}
メッセージの作成日時
○
○
Facility
{Facility()}
ファシリティ名
○
○
Severity
{Severity()}
重要度
○
○
4. その他¶
4.1. 各種設定情報の確認/変更を行う¶
ALog Syslog Receiverの設定を確認/変更したい場合について説明します。
4.1.1. configファイルの保存先について¶
configファイルは以下にあります。
configファイル <アプリケーションデータ用フォルダー>\config\asr_config.xml 例 D:\ALogSyslogData\config\asr_config.xml
4.1.2. ログの出力フォーマットを変更したい¶
<FileType>MessageOnly</FileType>
入力値
説明
MessageOnly
初期値。受信したSyslog のメッセージ部分をそのまま出力する
Csv
CSV 形式に加工して出力する
4.1.3. TCP/UDPポート番号を変更したい¶
<TcpPort>514</TcpPort> <UdpPort>514</UdpPort>
4.1.4. ログの出力先フォルダーを変更したい¶
ログの出力先フォルダーを変更する場合は、configファイルの以下の部分を書き換えてください。
<OutputRoot>D:\ALogSyslogData\output\Default</OutputRoot>
4.1.5. ログのローテートスケジュールを変更したい¶
<DefaultRotateSchedule>30 * * * *</DefaultRotateSchedule>
5つの設定項目は左から [ 分 時 日 月 曜日 ] です。
表 4.1 項目解説¶ 項目
説明
範囲
分
分を指定する
0-59
時
時を指定する
0-23
日
日を指定する
1-31
月
月を指定する
1-12
曜日
曜日を指定する
0:日曜 1:月曜 2:火曜 3:水曜 4:木曜 5:金曜 6:土曜
表 4.2 主な設定例¶ 設定例
説明
30 * * * *
毎時30分に実行(初期値)
*/15 * * * *
15分毎に実行「数字」の表記で、指定した数字で割り切れる時刻に毎回実行される0,7,42,56 * * * *
毎時0 分、7 分、42 分、56 分に実行カンマ区切りで指定した時刻に実行される(割り切れない時刻に実行できる)0 1-6 * * *
AM1:00-AM6:00の0分に実行「開始-終了」の表記で範囲を指定できる0 */2 * * *
0時から2時間毎に0分に実行
0 0 * * *
1日に1回、0時0分に実行
ヒント
ローテートのスケジュールは1時間に1回程度を推奨しています。長い期間ローテートしない設定は、ALog EVAによる後続処理がありますので、推奨しません。ログ量が多い環境下で1時間より短い期間でローテートすることは問題ありません。
ヒント
ログのローテートの設定を変更する場合は、必要に応じてALog EVAの対象サーバ編集画面において、収集タスクのスケジュールを調整してください。
注意
複雑なcronの設定はできません。設定不可の例を示します。
配列的表記に分割やレンジなどの指定をする (例: 1-10/5,6,7 * * * *)レンジの記法を行う際に、開始の値が終了の値よりも大きく設定される (例: 50-15 * * * *)
4.1.6. ログのローテートサイズを変更したい¶
ログのローテートサイズを変更する場合は、configファイルの以下の部分を書き換えてください。単位はByteです。
<DefaultRotateSize>104857600</DefaultRotateSize>
ヒント
後続のALog EVAでの収集変換処理を考慮し、最大で500MB程度にしてください。
4.1.7. ログの受信最大長を変更したい¶
「TCP + Non-Transparent-Framing」でSyslog が送信される場合、ログの受信最大長はRFC の規定に基づき「2048Byte」に設定されています。 しかしSyslog 送信時に規定を超えて送信されるケースがあります。この場合の受信最大長は以下の部分を書き換えることで変更できます。 但し、サイズを大きくした場合、メッセージキューに格納される量も増えるため、メモリ消費量はあがります。
単位はByte です。
<MaxFrameSize>2048</MaxFrameSize>
注意
最大長は「2147483647」Byte ですが、推奨は「1048576」Byte(1MB)までです。
ヒント
UDP や「TCP + Octet Counting」の場合、ALog Syslog Receiver 側で受信最大長の制御は行いません。
4.1.8. TLSを使用してsyslogを受信したい¶
4.1.8.1. 事前準備¶
4.1.8.1.1. 証明書の登録、確認¶
【証明書の登録】
サーバとなるWindows Serverの証明書ストアに、サーバ証明書を登録してください。クライアントマシンに対しても、証明書を登録してください。【証明書を確認する】
「ファイル名を指定して実行」から mmc.exe を起動する
「ファイル」-「スナップインの追加と削除」-「利用できるスナップイン」から「証明書」を選択-「追加」
「証明書スナップイン」画面で「コンピューターアカウント」を選択- 「次へ」
「コンピューターの選択」画面で「ローカル コンピューター」を選択 -「完了」
「選択されたスナップイン」に「証明書(ローカル コンピューター)」が追加されたことを確認 -「OK」
「コンソールルート」-「証明書(ローカル コンピューター)」- 証明書ストアが開かれるため、使用する証明書のフォルダー位置を確認し、下記の表をもとに利用するStoreNameのメモをとっておく
フォルダー名
StoreName
個人
My
信頼されたルート証明機関
Root
中間証明機関
CA
信頼された発行元
TrustedPublisher
信頼されていない証明書
Disallowed
サードパーティルート証明機関
AuthRoot
信頼されたユーザー
TrustedPeople
使用する証明書を開き、「詳細」タブ - 拇印(ThumbPrint)の16進数の情報をコピーしてメモをとっておく
![]()
4.1.8.1.2. ポートの用意¶
TLSの通信で使用するポート番号を決め、ファイアーウォール等でそのポート番号での通信を制限している場合は、制限を解除します。初期設定は 6514 ポートです。異なるポートを使用する場合は、後述の設定ファイルの更新手順でポート番号を書き換えてください。ヒント
TLSのポートは、Syslogで指定しているTCPポート(初期値514番ポート)とは別のポートを指定してください。
4.1.8.2. TLSの有効化手順¶
初期状態ではTLSの設定は無効化されています。以下の通りconfigファイル(asr_config.xml)を書き換えて有効化します。configファイルの記述からTLSの設定箇所<TlsConfig>~</TlsConfig>を確認し、編集する
(書き換え前)
<TlsConfig> <TlsEnabled>false</TlsEnabled> <TlsPort>6514</TlsPort> <StoreName>My</StoreName> <ThumbPrint /> </TlsConfig>
パラメータ
解説
TlsEnabled
TLS設定の有効無効false…無効 、true…有効TlsPort
TLSで使用するポート番号を指定する
StoreName
サーバに登録した証明書のフォルダー位置を指定する
ThumbPrint
証明書の拇印を指定する。これにより証明書を1つに特定することができる(書き換え後の例)
<TlsConfig> <TlsEnabled>true</TlsEnabled> <TlsPort>6514</TlsPort> <StoreName>My</StoreName> <ThumbPrint>aef0283d37f9ddb4320a7c05ed58df5003092b35</ThumbPrint> </TlsConfig>
4.1.8.3. 動作確認¶
ALog Syslog Receiverサービス起動時に受信待ち状態となります。起動後に証明書を登録したクライアントからTLSでSyslogを送信してください。従来通りの出力先にクライアントマシンのIPアドレスのファイルが作成され、送信したSyslogが書き込まれれば設定は完了です。
4.1.9. SNMPトラップメッセージを受信したい¶
ALog Syslog Receiver はSNMPトラップを受信することができます。SNMPマネージャーとしての設定を有効化することで動作します。【出力例】
(送信条件) 送信Trapのversion: v2cで送信 Community名: public 送信OID: 1.3.6.1.6.3.1.1.5.3 (上記のSNMPトラップメッセージをALog Syslog Receiverで受信した際の出力結果) 2020/12/09 11:51:02.254 <SNMPエージェントのIPアドレス> Trap received. Ver=V2 User=public Enterprise=.iso.org.dod.internet.snmpV2.snmpModules.snmpMIB.snmpMIBObjects.snmpTraps.linkDown UpTime=380077850
4.1.9.1. 事前準備¶
4.1.9.1.1. 拡張MIBの用意¶
監視する機器に応じて、必要な拡張MIBはお客様自身で入手し、以下のフォルダーに配置してください。以下のフォルダーに配置された拡張MIBは、SNMP機能がONになった状態でALog Syslog Receiverサービスが起動した際に自動的に読み込みます。X:\ALogSyslogData\mibLib
4.1.9.1.2. ポートの用意¶
SNMPの通信で使用するポート番号を決め、ファイアーウォール等でそのポート番号での通信を制限している場合は、制限を解除します。初期設定は 162 ポートです。異なるポートを使用する場合は、後述の設定ファイルの更新手順でポート番号を書き換えてください。
4.1.9.2. SNMPの有効化手順¶
初期状態ではSNMPの設定は無効化されています。configファイル(asr_config.xml)を書き換えて有効化します。設定の書き換え方法を以下に記述しますが、いずれの説明においても 書き換え後はサービスを再起動してください 。書き換え方法は下記のようにv1/v2c/v3毎でかわります。(書き換え前)
<SnmpConfig> <Enabled>false</Enabled> <Port>162</Port> <CommunityName>public</CommunityName> <Users /> <Agents /> <DefaultEncoding /> </SnmpConfig>
version
必要な設定情報
設定方法
v1/v2c
Community名が必要
v3
ユーザー名、パスワード、暗号化通信の方式指定が必要
4.1.9.2.1. パラメータ一覧と解説¶
パラメータ
解説
Enabled
SNMP設定の有効無効false…無効true…有効Port
SNMPで使用するポート番号を指定する
CommunityName
Community名を指定する
Users
v1/v2c:不要v3:必要。配下の<SnmpUser>のリスト分動作するSnmpUser
(1ユーザー分のアカウント設定)
AccountMode
セキュリティレベルを指定するNoAuthNoPriv …パスワード認証なし、暗号化なしAuthNoPriv …パスワード認証あり、暗号化なしAuthPriv …パスワード認証あり、暗号化ありDisabled …このアカウントのみを無効にするUserName
ユーザー名を指定する
AuthType
UserNameで指定したユーザーのパスワード認証方式を指定するNone …なしMD5 …MD5形式SHA …SHA形式Password
UserNameで指定したユーザーのパスワードを指定するパスワードは暗号化する ( 暗号化方法 )PrivacyType
暗号通信の方式を指定するNone …なしDES …DES形式TripleDES …TripleDES形式AES …AES128bit形式AES192 …AES192bit形式AES256 …AES256bit形式Phrase
暗号化通信に利用するフレーズを指定するフレーズは暗号化する ( 暗号化方法 )EngineId
エンジンIDを16進数で指定する。複数機器の場合は複数指定可能
Agents
SNMPエージェント毎の文字コードを指定する
DefaultEncoding
SNMPトラップメッセージ受信時の、文字コードの既定値を指定する。初期動作はUTF-8文字コードは.NET Frameworkで使用できる文字コード名であれば指定可能例「shift_jis」「EUC-JP」「utf-16」
4.1.9.2.2. v1/v2cの場合¶
【例1 - 最小限の設定で有効化する】初期設定状態から、Enabledをtrueに変更、ポートを指定、Community名を変更するだけで基本的な設定は完了します。<SnmpConfig> <Enabled>true</Enabled> <Port>162</Port> <CommunityName>publicA</CommunityName> <Users /> <Agents /> <DefaultEncoding /> </SnmpConfig>【例2 - 特定の機器で受信時の文字コードを変更する】初期状態では文字コードの指定は空になっています。(<DefaultEncoding />)この際、文字コードは自動的にUTF-8として受信します。特に不都合がない場合、この設定は変更不要です。SNMPエージェントから送信されるメッセージのエンコーディングが、<DefaultEncoding>で指定したエンコーディングと異なる事が原因で、受信時に文字化けを起こすことがあります。その場合はSNMPエージェント毎に文字コードを指定してください。<DefaultEncoding>は全体に対する設定、<Agents>は個別設定となります。<Agents>は複数指定が可能です。★以降は説明文です。
<SnmpConfig> <Enabled>true</Enabled> <Port>162</Port> <CommunityName>publicA</CommunityName> <Users /> <DefaultEncoding>UTF-8</DefaultEncoding> ★SNMPトラップメッセージ受信時の、文字コードの既定値を指定する <Agents> <AgentConfig> <TargetHost>WS2012R2AD</TargetHost> ★機器のホスト名/IPアドレスを指定する <Encoding>sjis</Encoding> ★上記の機器用の文字コードを指定する </AgentConfig> <AgentConfig> <TargetHost>192.168.0.193</TargetHost> ★2つ目の機器のホスト名/IPアドレスを指定する <Encoding>utf-16</Encoding> ★2つ目の機器用の文字コードを指定する </AgentConfig> </Agents> </SnmpConfig>
4.1.9.2.3. v3の場合¶
v3の場合、セキュリティレベル(パスワード認証の有無、通信の暗号化の有無)により指定する内容が追加されます。ALog Syslog Receiver上では、セキュリティレベルを「AccountMode」(アカウントモード)という指定で区別します。【組み合わせ】
パスワード認証
暗号化
AccountModeの指定
備考
なし
なし
あり
なし
あり
あり
-
-
Disabled
アカウントを無効にする特別な指定
4.1.9.2.3.1. v3-NoAuthNoPriv¶
★以降は説明文です。
<SnmpConfig> <Enabled>true</Enabled> <Port>162</Port> <CommunityName>public</CommunityName> <Users> <SnmpUser> <AccountMode>NoAuthNoPriv</AccountMode> ★「NoAuthNoPriv」を入力する <UserName>authnopriv</UserName> ★ユーザー名を指定する <AuthType>None</AuthType> ★パスワード認証がないため「None」を入力する <Password /> ★空にする <PrivacyType>None</PrivacyType> ★暗号化しないため「None」を入力する <Phrase /> ★空にする <EngineId> <string>80001F88803C41A86E8BCE0D59</string> ★EngineIdは機器側で指定されているものを指定 <string>80001F88803C41A86E8BCE0D60</string> ★AccountModeが同一であればこのように複数指定可能 </EngineId> </SnmpUser> </Users> <Agents /> <DefaultEncoding /> </SnmpConfig>
4.1.9.2.3.2. v3-AuthNoPriv¶
★以降は説明文です。 パスワードの暗号化方法は [パスワード/フレーズの暗号化方法] を参照してください。
<SnmpConfig> <Enabled>true</Enabled> <Port>162</Port> <CommunityName>public</CommunityName> <Users> <SnmpUser> <AccountMode>AuthNoPriv</AccountMode> ★「AuthNoPriv」を入力する <UserName>authnopriv</UserName> ★ユーザー名を指定する <AuthType>MD5</AuthType> ★パスワード認証の方式を指定する。代表で「MD5」とする <Password>XXXXXXXXXXXXXXXXXXXXX</Password> ★暗号化したパスワードを指定する <PrivacyType>None</PrivacyType> ★暗号化しないため「None」を入力する <Phrase /> ★空にする <EngineId> <string>80001F88803C41A86E8BCE0D59</string> ★EngineIdは機器側で指定されているものを指定 </EngineId> </SnmpUser> </Users> <Agents /> <DefaultEncoding /> </SnmpConfig>
4.1.9.2.3.3. v3-AuthPriv¶
★以降は説明文です。パスワード/フレーズの暗号化方法は [パスワード/フレーズの暗号化方法] を参照してください。
<SnmpConfig> <Enabled>true</Enabled> <Port>162</Port> <CommunityName>public</CommunityName> <Users> <SnmpUser> <AccountMode>AuthPriv</AccountMode> ★「AuthPriv」を入力する <UserName>authprivA</UserName> ★ユーザー名を指定する <AuthType>MD5</AuthType> ★パスワード認証の方式を指定する。代表で「MD5」とする <Password>XXXXXXXXXXXXXXXXXXXXX</Password> ★暗号化したパスワードを指定する <PrivacyType>DES</PrivacyType> ★暗号化の方式を指定する。代表で「DES」とする <Phrase>XXXXXXXXXXXXXXXXXXXXX</Phrase> ★暗号化通信に利用するフレーズを暗号化して指定する <EngineId> <string>80001F88803C41A86E8BCE0D59</string> ★EngineIdは機器側で指定されているものを指定 </EngineId> </SnmpUser> <SnmpUser> ★複数ユーザーを指定可能 <AccountMode>AuthPriv</AccountMode> <UserName>authprivB</UserName> ・・・・ </SnmpUser> </Users> <Agents /> <DefaultEncoding /> </SnmpConfig>ヒント
<SnmpUser>~</SnmpUser>は複数指定が可能です。異なるAccountModeでもそれぞれを同時に指定できます。
ヒント
文字コードの指定方法は、v1/v2cと同様のためそちらの説明を確認ください。
4.1.9.2.4. パスワード/フレーズの暗号化方法¶
暗号化するにはALog Syslog Receiverを利用します。以下の手順でパスワード/フレーズを暗号化してください。
ALog Syslog Receiverがインストールされたマシンで Powershell を起動する
プロンプトでALog Syslog Receiverプログラムインストール先フォルダーに移動する
以下のコマンドを実行する
asr_host.exe enc '暗号化したいパスワード'
プロンプトに暗号化された文字列が表示されるので、コピーして設定ファイルに入力する
ヒント
暗号化したいパスワードは必ず「'」(シングルクォーテーション)で囲んでください。
4.1.9.3. 動作確認¶
ALog Syslog Receiverサービス起動時に受信待ち状態となります。起動後にSNMPトラップメッセージをSNMPエージェントから送信してください。従来通りの出力先に、SNMPエージェントのIPアドレスをファイル名に含むファイルが作成され、送信したOIDが適切に翻訳された状態で書き込まれれば設定は完了です。注意
OIDの翻訳に際し拡張MIBが不足している場合、OIDのまま出力されます。事前に必要な拡張MIBを入手してください。
4.2. 統計情報の確認¶
<アプリケーションデータ用フォルダー>\log\host_statistics.csv 例 D:\ALogSyslogData\log\host_statistics.csv![]()
注意
統計情報ファイルを排他制御で開くアプリケーションで閲覧すると更新できないため、排他制御のないアプリケーションで開いてください。
4.3. バージョンアップ方法¶
5. 付録¶
5.1. 制限事項¶
5.1.1. UDPによるSyslog送信の場合のログ欠落について¶
UDPによる送信はログの欠落が発生する場合があります。これは、UDPが再送処理を行わないコネクションレス型のプロトコルであり、Syslogを受信するALog Syslog Receiver側ではパケットロスなどに対する検知や対処ができないためです。
5.1.2. メッセージキューの最大値を超過したSyslogデータの欠落について¶
ALog Syslog Receiverは、受信したSyslogデータをメッセージキューに格納し、順次ファイルへの書き出し処理を行います。 メッセージキューは「50000行」に設定されています。一度に大量のSyslogデータが送信された場合、設定値を超過したSyslogデータは破棄されます。 メッセージキューの設定は変更可能ですが、設定値を大きくするとメモリ消費量が増加します。
5.1.3. Syslogデータ書き出し処理時のファイルロックについて¶
Syslogデータをファイル出力する処理において、各送信ホストの最新のファイルはALog Syslog Receiverが安全な書き出し処理のためにロックしています。 サービス起動前に他プロセスによってファイルロックが行われている場合、ALog Syslog Receiverは正常に動作しない恐れがあります。
「特定の出力ファイルを削除したい」という場合は、そのファイルがローテートされるのを待つか、あるいはサービスを手動で再起動してください。当該ファイルはローテートおよび、サービス再起動する事によりロックが解除されます。
5.1.4. ALog Syslog Receiverで扱えるフォルダー、ファイルのパスの長さの制限について¶
ALog Syslog ReceiverでSyslogデータのファイル出力を行いますが、.NET Framework の制限により、フォルダーパスが「248文字以上」および、ファイルパスが「260文字以上」に該当する場合、エラーとなり扱えません。
5.2. パフォーマンス参考値¶
5.2.1. 標準テンプレートを使用した場合の1 日当たりの処理量¶
ALog Syslog Receiver によって出力されたファイルを、ALog EVA に用意された標準テンプレート「ALog Syslog Receiver(CSV出力)」で変換した場合の1 日あたりの処理量は以下の通りです。