1. はじめに

1.1. 本書について

本書は、Windowsおよびネットワークシステムの基本的な知識をもつシステム管理者を対象に、ALog ConVerterのオプション製品であるALog Syslog Receiverについて記載した文書です。

  • 本書で指定している箇所以外でソフトウェアに改変を加えた場合は、サポート対象外となります。

  • 本書の一部または全部を無断転載することを禁止します。

  • 本書の内容に関しては、将来予告なしに変更する場合があります。

  • 本書では正確な情報を記載するよう努めておりますが、誤植や作成上の誤記がないことを保証するものではありません。

ALog ConVerterは、監査対象のシステムが出力するログを収集し、分析変換する製品です。 監査対象のシステム(OSやミドルウェア)の仕様に関する質問や、ログを出力するために利用している監査機能およびその設定方法については、メーカー各社またはご購入いただいた販売代理店にお問い合わせください。

本書は、Windowsおよびネットワークシステムの基本的な知識をもつシステム管理者を対象に、ALogConVerterのオプション製品であるALog Syslog Receiverについて記載した文書です。

1.1.1. 関連文書について

ALog には、本書のほかに以下の関連文書があります。必要に応じて参照してください。

・ALog ConVerterユーザーガイド
 - ALog ConVerterのインストール/アンインストール手順
 - ALogで取り扱う各対象サーバの登録方法、監査設定方法(ALog EVA を含む)
 - Webコンソールの操作方法(アクセスログの分析、レポート設定、メンテナンス方法)

1.1.2. 製品情報およびALogシリーズ サポートセンターについて

1.1.2.1. ALogシリーズ WEBサイト

https://www.amiya.co.jp/solutions/alog/

製品に関する様々な情報が参照できます。

1.1.2.2. ALogシリーズ サポートセンター

https://support.amiya.co.jp/help/

保守サービスをご契約中のユーザー様向けのWebサイトです。
製品の最新バージョンや各種ドキュメントがダウンロードできるほか、トラブルシューティングや障害情報などが参照できます。
ALogシリーズ サポートセンターの利用には、ライセンスキー証書 兼 保守サービス証書に記載されているIDとパスワードが必要です。

1.1.3. 表記について

本書では設定や利用上の注意事項や参考情報などを以下のとおり記載します。

注意

利用上または設定上の注意事項を記載します。

ヒント

参考情報や推奨事項などを記載します。

1.1.4. 商標について

Microsoft、Windowsは米国Microsoft Corporationの米国およびその他の国における登録商標です。
ALog ConVerter、ALog ConVerterのロゴマークは株式会社網屋の登録商標です。
その他の会社名、商品名は各社の登録商標または商標です。

2. ALog Syslog Receiverの概要

本章ではALog Syslog Receiverの機能や仕組みを説明します。

2.1. ALog Syslog Receiverとは

ALog Syslog Receiverは、各機器から送信されるSyslogを受信してファイル出力する製品です。 各機器のSyslogデータをSyslog形式のまま、もしくはCSV形式にしてファイル化します。

ALog Syslog Receiverによってファイル出力されたデータは、ALog EVAで取り込み、用意された専用の標準テンプレートやユーザー自身で作成したテンプレートによってマッピング処理を行います。

../_images/flow.png

2.2. ライセンスについて

ALog Syslog Receiverはライセンス登録不要な無償提供のアプリケーションです。インストール後すぐに使うことができます。
ただし、ALog Syslog ReceiverはALog EVA用のアプリケーションのため、ALog EVAのライセンスを保有している場合にのみサポートします。

2.3. ALog Syslog Receiverの仕組み

ALog Syslog ReceiverをインストールするとWindowsのサービスとして登録されます。
(サービス名: AsrHost、表示名:ALog Syslog Receiver)

サービスが起動すると、指定ポートに対して送られたSyslogをALog Syslog Receiverのキューに格納し、順次ファイルに書き出し処理を行います。

2.3.1. 受信のプロトコルとSyslogフォーマット

ALog Syslog Receiverは以下のプロトコルによって送信されたSyslogフォーマットに準拠したログを受信します。

プロトコル

フォーマット

備考

UDP

RFC3164

パケット内のメッセージはUTF-8であること
メッセージフレームがRFC5424であっても受信可能

TCP

RFC3164/5424

パケット内のメッセージはUTF-8であること
RFC6587で規定された「Non-Transparent-Framing」および「Octet Counting」のフレーミングに対応

2.3.2. 出力フォーマット

受信したSyslogは「Syslog形式」もしくは「CSV形式」で出力できます。
設定の切り替えは 「 ログの出力フォーマットを変更したい 」 を参照してください。

2.3.2.1. Syslog形式

受信したSyslogをそのままの形式で出力します。
対象となるSyslogのテンプレートを作成している場合に使用してください。

2.3.2.2. CSV形式

ALogで定義したフォーマットで出力されます。
CSV形式に合わせたALog EVAのテンプレートが用意されているため設定がスムーズです。

出力フォーマット

"<受信日付>", "<Severity>", "<Facility>", "<メッセージフレーム>"
2.3.2.2.1. カラム1: 受信日時

Syslog のパケットを受信した日時が記録される

2.3.2.2.2. カラム2: Severity

Severity は受信した番号に対応した表記に置換して記録される

0

Emergency

1

Alert

2

Critical

3

Error

4

Warning

5

Notice

6

Informational

7

Debug

2.3.2.2.3. カラム3: Facility
Facilityは受信した番号に対応した表記に置換して記録される
※規格外の数値を受信した場合、受信した数値をそのまま出力する

0

Kernel

1

User

2

Mail

3

System

4

SecurityAuthorization

5

Syslog

6

LinePrinter

7

NetworkNews

8

Uucp

9

Clock

10

SecurityAuthorization2

11

Ftp

12

Ntp

13

LogAudit

14

LogAlert

15

Clock2

16

local0

17

local1

18

local2

19

local3

20

local4

21

local5

22

local6

23

local7

2.3.2.2.4. カラム4: メッセージフレーム

受信したその他の情報がRFC3164/RFC5424それぞれのフォーマットに合わせて記録される

[RFC3164]

<日付> <ホスト> <メッセージ>
例) Nov 8 14:23:54 debian10 systemd[1]: Starting Daily man-db regeneration...

[RFC5424]

<バージョン> <作成日付> <ホスト> <アプリ名> <プロセスID> <メッセージID> <ストラクチャードデータ> <メッセージ本体>
例) 1 2019-11-06T10:56:02.199005+09:00 debian10 root - - [timeQuality tzKnown=""1"" isSynced=""1"" syncAccuracy=""16000""] abc
2.3.2.2.5. CSV形式の出力サンプル

出力例:ルータから送信されたSyslogをALog Syslog Receiverで受信して出力した結果

../_images/sample.png

2.3.3. 出力ファイルに関するその他の仕様

2.3.3.1. 命名規則

  • yyyyMMddHHmmssfff-<送信ホストIPアドレス>.log

  • 送信ホストが同一の場合、複数機器からの送信データは1ファイル内に入る

  • 1ファイル内でRFC3164/RFC5424データの共存可能

  • ファイル名に付与される日時はファイル作成日時

2.3.3.2. ローテート規則

  • ローテートには2つのタイミングがある

  • 指定の時間が経過した場合 (初期値: 毎時30分)

  • 指定サイズに達した場合 (初期値: 100MB)

  • 2つのローテート規則はどちらも有効であり、どちらかのタイミングに到達した時点でローテートされる

2.3.3.3. 文字コード

  • UTF-8


2.4. 動作環境

本章ではALog Syslog Receiver の利用にあたって必要なシステム環境について説明します。

2.4.1. 動作環境

ALog Syslog Receiver は以下の条件で動作します。
  • Windows Server OS

  • .NET Framework 4.7.2以上

ALog Syslog Receiverと ALog を同一のマシンにインストールできます。
ALog とは別のマシンにインストールすることも可能です。別のマシンの場合は、OSが快適に動作するスペックを準備してください。

注意

ALog Syslog Receiverの動作に必要な.NET Framework 4.7.2がインストールされていない場合、インストールを促すダイアログが表示されます。 画面に従ってインストールを実行してください。.NET Frameworkのインストーラーの判定によりOS再起動が必要な場合があります。 その場合は、OS再起動後改めてセットアッププログラムを実行してください。

2.4.2. 動作に必要なユーザーアカウントと権限

ALog Syslog Receiver のサービスは、ローカルシステムアカウントで動作します。
その他に必要とするアカウントはありません。

2.4.3. 通信環境

ALog Syslog Receiver で使用する受信ポートは、インストール時に指定可能です。
初期値は「TCP/UDP 514」です。
ALog Syslog Receiver をインストールしたマシンで指定したポートの開放を行ってください。
また、機器とマシン間の通信においても、指定したポートで通信できるよう適宜ネットワーク機器の設定を変更してください。

注意

ポートが開放されていない場合、ALog Syslog Receiverサービスは検知できません。必ず事前に確認してください。

ヒント

ALogマネージャーサーバとは別のマシンにALog Syslog Receiver をインストールする場合は、ALog EVAでの収集処理で通信要件が発生しますので、ALog ConVerter ユーザーガイドでALog EVAの通信環境を確認し、ポートの設定を行ってください。


3. ALog Syslog Receiverの運用開始手順

本章では、ALog Syslog Receiverのインストールから、ALog EVAで収集、変換するまでの手順を説明します。

Step1.ALog Syslog Receiverをインストールする

Step2.Syslog送信テストを行い、ファイルへの出力を確認する

※Step3では出力フォーマットごとに手順が異なります。事前にどちらの出力フォーマットにするか確認し、必要であれば設定変更を行ってください。
  参考1: 出力フォーマット

3.1. Step1.ALog Syslog Receiverをインストールする

以下の手順でALog Syslog Receiverをインストールします。 インストールを実行する際は、管理者権限を持っているアカウントでインストールする環境にログオンしてください。

  1. ALog Syslog Receiverのセットアッププログラムを実行すると言語選択画面が表示されるため「日本語」を選択し、[OK]ボタンをクリックする

../_images/setup1.png ../_images/setup2.png

2.セットアップウィザード開始画面で[次へ]ボタンをクリックする

../_images/setupstart.png
  1. 使用許諾契約書が表示されるため内容を確認し、[同意する]を選択して[次へ]ボタンをクリックする

../_images/setuplicense.png
  1. インストール先フォルダーを指定し、[次へ]ボタンをクリックする

../_images/setupinstall.png
  1. アプリケーションデータ用フォルダー(アプリケーションの設定や受信したSyslogデータなどを保存するフォルダー)を指定し、[次へ]ボタンをクリックする

※システム領域(Cドライブ)以外に作成することを推奨

../_images/setupapp.png
  1. 受信に使用するTCP/UDPのポート番号を指定し、[次へ]ボタンをクリックする

../_images/setupport.png
  1. 設定が完了したら[インストール]ボタンをクリックしてインストールを実行する

../_images/setupexecution.png
  1. インストールが完了したら[完了]ボタンをクリックしてセットアップウィザードを終了する

インストール完了時点でALog Syslog Receiverのサービスが起動する

../_images/setupend.png

3.2. Step2.Syslog送信テストを行い、ファイルへの出力を確認する

ALog Syslog Receiverサービスの起動により、Syslogの受信が可能になります。Syslogが受信できるかを以下の手順で確認してください。

  1. Syslogを送信したい機器(ネットワーク機器やサーバ等)からALog Syslog Receiverをインストールしたマシンに対してSyslogを送信する

  2. インストール時に指定したアプリケーションデータ用フォルダー内に受信したデータが出力されているか確認する

 Syslogを送信したホストのIPアドレスが付与されたファイルが作成されていればALog Syslog Receiver側の準備は完了

<アプリケーションデータ用フォルダー>\output\Default

例) D:\ALogSyslogData\output\Default
../_images/logfile.png

ヒント

Step3では、このフォルダーに出力されたIPアドレス分の対象サーバを登録します。

3.3. Step3.ALog EVAで対象サーバ登録を行う

ALog Syslog Receiverで受信したデータをALog EVAで収集する設定を行います。 出力フォーマットに合わせて手順を選択してください。

ヒント

ALog EVAの詳細は「ALog ConVerter ユーザーガイド」を参照してください。

注意

事前にALog EVAのライセンスキーを登録してください。

3.3.1. Syslog形式の場合

  1. ALogのWebコンソールの「管理」画面から「対象サーバ」画面を開き、[追加]ボタンをクリックする

  2. 「対象サーバ追加ウィザードの開始」画面で[次へ]ボタンをクリックし、「サーバの選択」画面で「EVA」を選択して[次へ]ボタンをクリックする

  3. 「サーバの指定」画面でサーバ名を入力して[次へ]ボタンをクリックする

  • ALog Syslog Receiverで複数の送信ホストからデータを受信する場合、送信ホストそれぞれを対象サーバ登録する必要がある

  • 対象サーバのサーバ名欄は同名禁止のため、「名称設定」画面で接続サーバ名(例:localhost)を指定し、サーバ名欄は各送信ホストを表す名前を入力する(接続サーバ名は同名可)

../_images/wizardservername1.png ../_images/wizardservername2.png
  1. テンプレートの選択画面では状況に合わせて選択し、[次へ]ボタンをクリックする

  • テンプレートを有していない場合は「新規にログ設定を作成する」を選択

  • すでに登録しようとしてる製品に関するテンプレートを有している場合は「テンプレートを使用する」にチェックをし、プルダウンから該当するテンプレートを選択

../_images/wizardtemplatesyslog.png

ヒント

テンプレートはユーザー自身で作成することが出来ます。同じ製品を複数台登録する場合は、1台目を対象サーバ追加後、編集画面からテンプレートを作成してください。詳しい手順はALog ConVerter ユーザーガイドにあります。

  1. 「ログ収集設定」では必要な収集設定を行い、[次へ]ボタンをクリックする

../_images/wizardcollection.png

項目

説明

ログ収集方式

ALogマシン=ALog Syslog Receiverマシン
⇒「マネージャーサーバのローカルフォルダーから収集」
ALogマシン≠ALog Syslog Receiverマシン
⇒「対象サーバの共有フォルダーから収集」

フォルダー

Step2でファイル出力を確認したフォルダーを指定
「D:\ALogSyslogData\output\Default」

ファイル名

Step2で確認したファイル名を参考にファイル名を指定
例)「*-10.255.253.131.log」

収集したファイルを削除する

収集したファイルの削除期間を指定
推奨:「指定した期間後に削除する(日単位):1日」
※「削除する」設定の場合、ローテート前のカレントログはロックされているため、削除対象となった際はエラーが発生する
  1. ログの収集スケジュールを設定し、[次へ]ボタンをクリックする

../_images/wizardschedule.png
  1. 「マッピング設定 –入力」は「Syslog」、「utf-8」を選択し、[次へ]をクリックする

../_images/wizardinputsyslog.png
  1. 「マッピング設定–出力」はプレビューしながら希望するマッピング設定を行い、[次へ]をクリックする

../_images/wizardoutputsyslog.png
  1. ウィザードの完了画面では設定内容を確認し、[完了]ボタンをクリックする

  2. ステータス画面から追加した対象サーバの[タスクの操作]-[開始]をクリックしてログ収集タスクを開始する

../_images/wizardstatus1.png
  1. ステータス画面からログ変換タスクの[タスクの操作]-[開始]をクリックして変換を行う。そのまま自動的にインポートも行われる

../_images/wizardstatus2.png
  1. 変換結果を確認し、SyslogデータがALogに取り込まれたか確認する

  • インポート結果を検索画面で確認する

  • アクセスログ出力結果を「出力設定」で指定されたフォルダー配下で確認する

3.3.2. CSV形式の場合

ALog Syslog Receiverで受信したSyslogデータ-CSV形式用のテンプレートが用意されていますので簡単に設定できます。

  1. ALogのWebコンソールの「管理」画面から「対象サーバ」画面を開き、[追加]ボタンをクリックする

  2. 「対象サーバ追加ウィザードの開始」画面で[次へ]ボタンをクリックし、「サーバの選択」画面で「EVA」を選択して[次へ]ボタンをクリックする

  3. 「サーバの指定」画面でサーバ名を入力して[次へ]ボタンをクリックする

  • ALog Syslog Receiverで複数の送信ホストからデータを受信する場合、送信ホストそれぞれを対象サーバ登録する必要がある

  • 対象サーバのサーバ名欄は同名禁止のため、「名称設定」画面で接続サーバ名(例:localhost)を指定し、サーバ名欄は各送信ホストを表す名前を入力する(接続サーバ名は同名可)

../_images/wizardservername1.png ../_images/wizardservername2.png
  1. 「テンプレートを使用する」にチェックをし、プルダウンから「ALog Syslog Receiver(CSV出力)」を選択して、[次へ]ボタンをクリックする

../_images/wizardtemplatecsv.png
  1. テンプレートより読み込んだ収集設定が表示されるので、環境に応じて編集し、[次へ]ボタンをクリックする

../_images/wizardcollection.png
表 3.1 ログ収集設定の設定方法

項目

説明

ログ収集方式

ALogマシン=ALog Syslog Receiverマシン
⇒「マネージャーサーバのローカルフォルダーから収集」(初期値)
ALogマシン≠ALog Syslog Receiverマシン
⇒「対象サーバの共有フォルダーから収集」

フォルダー

Step2でファイル出力を確認したフォルダーを指定
「D:\ALogSyslogData\output\Default」(初期値)

ファイル名

Step2で確認したファイル名を参考にファイル名を指定
「*.log」(初期値)となっているため、IPアドレスを追加して対象サーバとして指定したマシンのファイルに絞り込む必要がある
例)「*-10.255.253.131.log」

収集したファイルを削除する

収集したファイルの削除期間を指定
「指定した期間後に削除する(日単位):1日」
※「削除する」設定の場合、ローテート前のカレントログはロックされているため、削除対象となった際はエラーが発生する
  1. ログの収集スケジュールを設定し、[次へ]ボタンをクリックする

../_images/wizardschedule.png
  1. 「マッピング設定 –入力」はALog Syslog Receiverの出力に合わせて最適な設定になっているため、このまま[次へ]をクリックする

../_images/wizardinputcsv.png
  1. 「マッピング設定–出力」はALog Syslog Receiverの出力に合わせて最適な設定になっているため、このまま[次へ]をクリックする

../_images/wizardoutputcsv.png

ヒント

機器からRFC3164/RFC5424の規格に準拠していないSyslogが出力されている場合は、マッピング設定を調整する必要があります。

  1. ウィザードの完了画面では設定内容を確認し、[完了]ボタンをクリックする

  2. ステータス画面から追加した対象サーバの[タスクの操作]-[開始]をクリックしてログ収集タスクを開始する

../_images/wizardstatus1.png
  1. ステータス画面からログ変換タスクの[タスクの操作]-[開始]をクリックして変換を行う。そのまま自動的にインポートも行われる

../_images/wizardstatus2.png
  1. 変換結果を確認し、SyslogデータがALogに取り込まれたか確認する

  • インポート結果を検索画面で確認する

  • アクセスログ出力結果を「出力設定」で指定されたフォルダー配下で確認する

../_images/search.png

3.3.3. 標準テンプレート「ALog Syslog Receiver」の初期設定値一覧

3.3.3.1. ログ収集設定

項目名

初期値

ログ収集方式

マネージャーサーバのローカルフォルダーから収集

フォルダー

D:\ALogSyslogData\output\Default

ファイル名

*.log

収集したファイルを削除する

指定した期間後に削除する:1日

3.3.3.2. マッピング設定 - 入力

項目名

初期値

ファイル形式

CSV/TSV/DSV

文字コード

utf-8

区切り文字

, (カンマ)

入力ファイルにヘッダーを含む

OFF

コメント行の先頭文字

#

3.3.3.3. マッピング設定 - 出力

項目名

初期値

解説

時刻

{F(1)}

メッセージの受信時刻

ユーザー

{HostName()}

Syslogの送信元ホスト名

サーバ

{Server()}

ALogで設定した対象サーバ名

対象

{Message()}

メッセージ本体

操作

Syslog

固定文字列

詳細

詳細項目の初期値と出力内容 を参照

-

除外フィルター

なし

-

時刻フォーマットを指定する

OFF

-

エラー時のふるまい

警告を発し、エラー行をスキップする

-

空の詳細項目を出力しない

ON

-

重複する行を1行にマージする

OFF

-

3.3.3.3.1. 詳細項目の初期値と出力内容

詳細項目はSyslogデータの規格により出力される内容が異なります。

表 3.2 詳細項目の初期値と規格

詳細項目

初期値

解説

RFC3164

RFC5424

ProcId

{ProcId()}

メッセージを作成したプロセスのID

× 1

AppName

{AppName()}

アプリケーション名

× 1

MessageId

{MessageId()}

メッセージのID

× 1

StructuredData

{StructuredData()}

StructuredData の全文

× 1

CreateDateTime

{CreateDateTime()}

メッセージの作成日時

Facility

{Facility()}

ファシリティ名

Severity

{Severity()}

重要度

1(1,2,3,4)

Syslogデータに含まれていない情報の項目は空になるが、「空の詳細項目を出力しない」設定がONのため、アクセスログ上は詳細項目ごと無し


4. その他

4.1. 各種設定情報の確認/変更を行う

ALog Syslog Receiverの設定を確認/変更したい場合について説明します。

configファイルの設定を変更した後は、 ALog Syslog Receiverサービスを再起動 してください。
サービス再起動はサービス画面から「ALog Syslog Receiver」を選択し、「サービスの再起動」をクリックしてください。

4.1.1. configファイルの保存先について

configファイルは以下にあります。

configファイル
<アプリケーションデータ用フォルダー>\config\asr_config.xml

例 D:\ALogSyslogData\config\asr_config.xml

4.1.2. ログの出力フォーマットを変更したい

ログのフォーマットを変更する場合は、config ファイルの以下の部分を書き換えてください。
ファイル名の命名規則は、出力フォーマットを切り替えても変わりません。
<FileType>MessageOnly</FileType>

入力値

説明

MessageOnly

初期値。受信したSyslog のメッセージ部分をそのまま出力する

Csv

CSV 形式に加工して出力する

4.1.3. TCP/UDPポート番号を変更したい

インストール後にTCP/UDPのポート番号を変更する場合は、configファイルの以下の部分を書き換えてください。
TCP/UDPは同じポート番号にしてください。
<TcpPort>514</TcpPort>
<UdpPort>514</UdpPort>

4.1.4. ログの出力先フォルダーを変更したい

ログの出力先フォルダーを変更する場合は、configファイルの以下の部分を書き換えてください。

<OutputRoot>D:\ALogSyslogData\output\Default</OutputRoot>

4.1.5. ログのローテートスケジュールを変更したい

ログのローテートスケジュールを変更する場合は、configファイルの以下の部分を書き換えてください。
基本的な設定はcronの設定方法と同様です。
<DefaultRotateSchedule>30 * * * *</DefaultRotateSchedule>

5つの設定項目は左から [ 分 時 日 月 曜日 ] です。

表 4.1 項目解説

項目

説明

範囲

分を指定する

0-59

時を指定する

0-23

日を指定する

1-31

月を指定する

1-12

曜日

曜日を指定する

0:日曜 1:月曜 2:火曜 3:水曜 4:木曜 5:金曜 6:土曜

表 4.2 主な設定例

設定例

説明

30 * * * *

毎時30分に実行(初期値)

*/15 * * * *

15分毎に実行
「数字」の表記で、指定した数字で割り切れる時刻に毎回実行される

0,7,42,56 * * * *

毎時0 分、7 分、42 分、56 分に実行
カンマ区切りで指定した時刻に実行される(割り切れない時刻に実行できる)

0 1-6 * * *

AM1:00-AM6:00の0分に実行
「開始-終了」の表記で範囲を指定できる

0 */2 * * *

0時から2時間毎に0分に実行

0 0 * * *

1日に1回、0時0分に実行

ヒント

ローテートのスケジュールは1時間に1回程度を推奨しています。長い期間ローテートしない設定は、ALog EVAによる後続処理がありますので、推奨しません。ログ量が多い環境下で1時間より短い期間でローテートすることは問題ありません。

ヒント

ログのローテートの設定を変更する場合は、必要に応じてALog EVAの対象サーバ編集画面において、収集タスクのスケジュールを調整してください。

注意

複雑なcronの設定はできません。設定不可の例を示します。

配列的表記に分割やレンジなどの指定をする (例: 1-10/5,6,7 * * * *)
レンジの記法を行う際に、開始の値が終了の値よりも大きく設定される (例: 50-15 * * * *)

4.1.6. ログのローテートサイズを変更したい

ログのローテートサイズを変更する場合は、configファイルの以下の部分を書き換えてください。単位はByteです。

<DefaultRotateSize>104857600</DefaultRotateSize>

ヒント

後続のALog EVAでの収集変換処理を考慮し、最大で500MB程度にしてください。

4.1.7. ログの受信最大長を変更したい

「TCP + Non-Transparent-Framing」でSyslog が送信される場合、ログの受信最大長はRFC の規定に基づき「2048Byte」に設定されています。 しかしSyslog 送信時に規定を超えて送信されるケースがあります。この場合の受信最大長は以下の部分を書き換えることで変更できます。 但し、サイズを大きくした場合、メッセージキューに格納される量も増えるため、メモリ消費量はあがります。

単位はByte です。

<MaxFrameSize>2048</MaxFrameSize>

注意

最大長は「2147483647」Byte ですが、推奨は「1048576」Byte(1MB)までです。

ヒント

UDP や「TCP + Octet Counting」の場合、ALog Syslog Receiver 側で受信最大長の制御は行いません。


4.1.8. TLSを使用してsyslogを受信したい

TLSを有効化してSyslogを受信することができます。
ALog Syslog Receiverをインストールするマシンはサーバ、Syslogを送信する機器はクライアントとなります。

4.1.8.1. 事前準備

4.1.8.1.1. 証明書の登録、確認

【証明書の登録】

サーバとなるWindows Serverの証明書ストアに、サーバ証明書を登録してください。
クライアントマシンに対しても、証明書を登録してください。

【証明書を確認する】

  1. 「ファイル名を指定して実行」から mmc.exe を起動する

  2. 「ファイル」-「スナップインの追加と削除」-「利用できるスナップイン」から「証明書」を選択-「追加」

  3. 「証明書スナップイン」画面で「コンピューターアカウント」を選択- 「次へ」

  4. 「コンピューターの選択」画面で「ローカル コンピューター」を選択 -「完了」

  5. 「選択されたスナップイン」に「証明書(ローカル コンピューター)」が追加されたことを確認 -「OK」

  6. 「コンソールルート」-「証明書(ローカル コンピューター)」- 証明書ストアが開かれるため、使用する証明書のフォルダー位置を確認し、下記の表をもとに利用するStoreNameのメモをとっておく

フォルダー名

StoreName

個人

My

信頼されたルート証明機関

Root

中間証明機関

CA

信頼された発行元

TrustedPublisher

信頼されていない証明書

Disallowed

サードパーティルート証明機関

AuthRoot

信頼されたユーザー

TrustedPeople

  1. 使用する証明書を開き、「詳細」タブ - 拇印(ThumbPrint)の16進数の情報をコピーしてメモをとっておく

../_images/store.png
4.1.8.1.2. ポートの用意
TLSの通信で使用するポート番号を決め、ファイアーウォール等でそのポート番号での通信を制限している場合は、制限を解除します。
初期設定は 6514 ポートです。
異なるポートを使用する場合は、後述の設定ファイルの更新手順でポート番号を書き換えてください。

ヒント

TLSのポートは、Syslogで指定しているTCPポート(初期値514番ポート)とは別のポートを指定してください。

4.1.8.2. TLSの有効化手順

初期状態ではTLSの設定は無効化されています。
以下の通りconfigファイル(asr_config.xml)を書き換えて有効化します。

configファイルの記述からTLSの設定箇所<TlsConfig>~</TlsConfig>を確認し、編集する

(書き換え前)

<TlsConfig>
  <TlsEnabled>false</TlsEnabled>
  <TlsPort>6514</TlsPort>
  <StoreName>My</StoreName>
  <ThumbPrint />
</TlsConfig>

パラメータ

解説

TlsEnabled

TLS設定の有効無効
 false…無効 、true…有効

TlsPort

TLSで使用するポート番号を指定する

StoreName

サーバに登録した証明書のフォルダー位置を指定する

ThumbPrint

証明書の拇印を指定する。
これにより証明書を1つに特定することができる

(書き換え後の例)

<TlsConfig>
  <TlsEnabled>true</TlsEnabled>
  <TlsPort>6514</TlsPort>
  <StoreName>My</StoreName>
  <ThumbPrint>aef0283d37f9ddb4320a7c05ed58df5003092b35</ThumbPrint>
</TlsConfig>

4.1.8.3. 動作確認

ALog Syslog Receiverサービス起動時に受信待ち状態となります。
起動後に証明書を登録したクライアントからTLSでSyslogを送信してください。
従来通りの出力先にクライアントマシンのIPアドレスのファイルが作成され、送信したSyslogが書き込まれれば設定は完了です。

4.1.9. SNMPトラップメッセージを受信したい

ALog Syslog Receiver はSNMPトラップを受信することができます。
SNMPマネージャーとしての設定を有効化することで動作します。

【出力例】

(送信条件)
送信Trapのversion: v2cで送信
Community名: public
送信OID: 1.3.6.1.6.3.1.1.5.3

(上記のSNMPトラップメッセージをALog Syslog Receiverで受信した際の出力結果)
2020/12/09 11:51:02.254 <SNMPエージェントのIPアドレス> Trap received. Ver=V2 User=public Enterprise=.iso.org.dod.internet.snmpV2.snmpModules.snmpMIB.snmpMIBObjects.snmpTraps.linkDown UpTime=380077850

4.1.9.1. 事前準備

4.1.9.1.1. 拡張MIBの用意
監視する機器に応じて、必要な拡張MIBはお客様自身で入手し、以下のフォルダーに配置してください。
以下のフォルダーに配置された拡張MIBは、SNMP機能がONになった状態でALog Syslog Receiverサービスが起動した際に自動的に読み込みます。
X:\ALogSyslogData\mibLib
4.1.9.1.2. ポートの用意
SNMPの通信で使用するポート番号を決め、ファイアーウォール等でそのポート番号での通信を制限している場合は、制限を解除します。
初期設定は 162 ポートです。
異なるポートを使用する場合は、後述の設定ファイルの更新手順でポート番号を書き換えてください。

4.1.9.2. SNMPの有効化手順

初期状態ではSNMPの設定は無効化されています。
configファイル(asr_config.xml)を書き換えて有効化します。
設定の書き換え方法を以下に記述しますが、いずれの説明においても 書き換え後はサービスを再起動してください
書き換え方法は下記のようにv1/v2c/v3毎でかわります。

(書き換え前)

<SnmpConfig>
  <Enabled>false</Enabled>
  <Port>162</Port>
  <CommunityName>public</CommunityName>
  <Users />
  <Agents />
  <DefaultEncoding />
</SnmpConfig>

version

必要な設定情報

設定方法

v1/v2c

Community名が必要

v1/v2cの設定方法はこちら

v3

ユーザー名、パスワード、暗号化通信の方式指定が必要

v3の設定方法はこちら

4.1.9.2.1. パラメータ一覧と解説

パラメータ

解説

Enabled

SNMP設定の有効無効
 false…無効
 true…有効

Port

SNMPで使用するポート番号を指定する

CommunityName

Community名を指定する

Users

v1/v2c:不要
v3:必要。配下の<SnmpUser>のリスト分動作する

 SnmpUser

(1ユーザー分のアカウント設定)

 AccountMode

セキュリティレベルを指定する
 NoAuthNoPriv …パスワード認証なし、暗号化なし
 AuthNoPriv …パスワード認証あり、暗号化なし
 AuthPriv …パスワード認証あり、暗号化あり
 Disabled …このアカウントのみを無効にする

 UserName

ユーザー名を指定する

 AuthType

UserNameで指定したユーザーのパスワード認証方式を指定する
 None …なし
 MD5 …MD5形式
 SHA …SHA形式

 Password

UserNameで指定したユーザーのパスワードを指定する
パスワードは暗号化する ( 暗号化方法 )

 PrivacyType

暗号通信の方式を指定する
None …なし
DES …DES形式
TripleDES …TripleDES形式
AES …AES128bit形式
AES192 …AES192bit形式
AES256 …AES256bit形式

 Phrase

暗号化通信に利用するフレーズを指定する
フレーズは暗号化する ( 暗号化方法 )

 EngineId

エンジンIDを16進数で指定する。複数機器の場合は複数指定可能

Agents

SNMPエージェント毎の文字コードを指定する

DefaultEncoding

SNMPトラップメッセージ受信時の、文字コードの既定値を指定する。初期動作はUTF-8
文字コードは.NET Frameworkで使用できる文字コード名であれば指定可能
例「shift_jis」「EUC-JP」「utf-16」
4.1.9.2.2. v1/v2cの場合
【例1 - 最小限の設定で有効化する】
初期設定状態から、Enabledをtrueに変更、ポートを指定、Community名を変更するだけで基本的な設定は完了します。
<SnmpConfig>
  <Enabled>true</Enabled>
  <Port>162</Port>
  <CommunityName>publicA</CommunityName>
  <Users />
  <Agents />
  <DefaultEncoding />
</SnmpConfig>
【例2 - 特定の機器で受信時の文字コードを変更する】
初期状態では文字コードの指定は空になっています。(<DefaultEncoding />)
この際、文字コードは自動的にUTF-8として受信します。
特に不都合がない場合、この設定は変更不要です。
SNMPエージェントから送信されるメッセージのエンコーディングが、<DefaultEncoding>で指定したエンコーディングと異なる事が原因で、受信時に文字化けを起こすことがあります。
その場合はSNMPエージェント毎に文字コードを指定してください。
<DefaultEncoding>は全体に対する設定、<Agents>は個別設定となります。<Agents>は複数指定が可能です。

★以降は説明文です。

<SnmpConfig>
  <Enabled>true</Enabled>
  <Port>162</Port>
  <CommunityName>publicA</CommunityName>
  <Users />
  <DefaultEncoding>UTF-8</DefaultEncoding> ★SNMPトラップメッセージ受信時の、文字コードの既定値を指定する
  <Agents>
    <AgentConfig>
      <TargetHost>WS2012R2AD</TargetHost> ★機器のホスト名/IPアドレスを指定する
      <Encoding>sjis</Encoding> ★上記の機器用の文字コードを指定する
    </AgentConfig>
    <AgentConfig>
      <TargetHost>192.168.0.193</TargetHost> ★2つ目の機器のホスト名/IPアドレスを指定する
      <Encoding>utf-16</Encoding> ★2つ目の機器用の文字コードを指定する
    </AgentConfig>
  </Agents>
</SnmpConfig>
4.1.9.2.3. v3の場合
v3の場合、セキュリティレベル(パスワード認証の有無、通信の暗号化の有無)により指定する内容が追加されます。
ALog Syslog Receiver上では、セキュリティレベルを「AccountMode」(アカウントモード)という指定で区別します。
【組み合わせ】

パスワード認証

暗号化

AccountModeの指定

備考

なし

なし

NoAuthNoPriv

あり

なし

AuthNoPriv

あり

あり

AuthPriv

Disabled

アカウントを無効にする特別な指定

4.1.9.2.3.1. v3-NoAuthNoPriv

★以降は説明文です。

<SnmpConfig>
  <Enabled>true</Enabled>
  <Port>162</Port>
  <CommunityName>public</CommunityName>
  <Users>
    <SnmpUser>
      <AccountMode>NoAuthNoPriv</AccountMode> ★「NoAuthNoPriv」を入力する
      <UserName>authnopriv</UserName> ★ユーザー名を指定する
      <AuthType>None</AuthType> ★パスワード認証がないため「None」を入力する
      <Password /> ★空にする
      <PrivacyType>None</PrivacyType> ★暗号化しないため「None」を入力する
      <Phrase /> ★空にする
      <EngineId>
        <string>80001F88803C41A86E8BCE0D59</string> ★EngineIdは機器側で指定されているものを指定
        <string>80001F88803C41A86E8BCE0D60</string> ★AccountModeが同一であればこのように複数指定可能
      </EngineId>
    </SnmpUser>
  </Users>
  <Agents />
  <DefaultEncoding />
</SnmpConfig>
4.1.9.2.3.2. v3-AuthNoPriv

★以降は説明文です。 パスワードの暗号化方法は [パスワード/フレーズの暗号化方法] を参照してください。

<SnmpConfig>
  <Enabled>true</Enabled>
  <Port>162</Port>
  <CommunityName>public</CommunityName>
  <Users>
    <SnmpUser>
      <AccountMode>AuthNoPriv</AccountMode> ★「AuthNoPriv」を入力する
      <UserName>authnopriv</UserName> ★ユーザー名を指定する
      <AuthType>MD5</AuthType> ★パスワード認証の方式を指定する。代表で「MD5」とする
      <Password>XXXXXXXXXXXXXXXXXXXXX</Password> ★暗号化したパスワードを指定する
      <PrivacyType>None</PrivacyType> ★暗号化しないため「None」を入力する
      <Phrase /> ★空にする
      <EngineId>
        <string>80001F88803C41A86E8BCE0D59</string> ★EngineIdは機器側で指定されているものを指定
      </EngineId>
    </SnmpUser>
  </Users>
  <Agents />
  <DefaultEncoding />
</SnmpConfig>
4.1.9.2.3.3. v3-AuthPriv

★以降は説明文です。パスワード/フレーズの暗号化方法は [パスワード/フレーズの暗号化方法] を参照してください。

<SnmpConfig>
  <Enabled>true</Enabled>
  <Port>162</Port>
  <CommunityName>public</CommunityName>
  <Users>
    <SnmpUser>
      <AccountMode>AuthPriv</AccountMode> ★「AuthPriv」を入力する
      <UserName>authprivA</UserName> ★ユーザー名を指定する
      <AuthType>MD5</AuthType> ★パスワード認証の方式を指定する。代表で「MD5」とする
      <Password>XXXXXXXXXXXXXXXXXXXXX</Password> ★暗号化したパスワードを指定する
      <PrivacyType>DES</PrivacyType> ★暗号化の方式を指定する。代表で「DES」とする
      <Phrase>XXXXXXXXXXXXXXXXXXXXX</Phrase> ★暗号化通信に利用するフレーズを暗号化して指定する
      <EngineId>
        <string>80001F88803C41A86E8BCE0D59</string> ★EngineIdは機器側で指定されているものを指定
      </EngineId>
    </SnmpUser>
    <SnmpUser> ★複数ユーザーを指定可能
      <AccountMode>AuthPriv</AccountMode>
      <UserName>authprivB</UserName>
      ・・・・
    </SnmpUser>
  </Users>
  <Agents />
  <DefaultEncoding />
</SnmpConfig>

ヒント

<SnmpUser>~</SnmpUser>は複数指定が可能です。異なるAccountModeでもそれぞれを同時に指定できます。

ヒント

文字コードの指定方法は、v1/v2cと同様のためそちらの説明を確認ください。

4.1.9.2.4. パスワード/フレーズの暗号化方法
暗号化するにはALog Syslog Receiverを利用します。
以下の手順でパスワード/フレーズを暗号化してください。
  1. ALog Syslog Receiverがインストールされたマシンで Powershell を起動する

  2. プロンプトでALog Syslog Receiverプログラムインストール先フォルダーに移動する

  3. 以下のコマンドを実行する

asr_host.exe enc '暗号化したいパスワード'
  1. プロンプトに暗号化された文字列が表示されるので、コピーして設定ファイルに入力する

ヒント

暗号化したいパスワードは必ず「'」(シングルクォーテーション)で囲んでください。

4.1.9.3. 動作確認

ALog Syslog Receiverサービス起動時に受信待ち状態となります。
起動後にSNMPトラップメッセージをSNMPエージェントから送信してください。
従来通りの出力先に、SNMPエージェントのIPアドレスをファイル名に含むファイルが作成され、送信したOIDが適切に翻訳された状態で書き込まれれば設定は完了です。

注意

OIDの翻訳に際し拡張MIBが不足している場合、OIDのまま出力されます。事前に必要な拡張MIBを入手してください。


4.2. 統計情報の確認

受信したSyslogデータの統計を記録するファイルがあります。
統計情報ファイルは1分毎に更新され、Syslogの送信ホスト単位で最大7日分を保持します。
<アプリケーションデータ用フォルダー>\log\host_statistics.csv

例 D:\ALogSyslogData\log\host_statistics.csv
../_images/hoststatistics.png

注意

統計情報ファイルを排他制御で開くアプリケーションで閲覧すると更新できないため、排他制御のないアプリケーションで開いてください。

4.3. バージョンアップ方法

ALog Syslog Receiver のセットアッププログラムを実行することで上書きインストールすることができます。
ALog Syslog Receiver のサービスはアップデート時に一度停止し、アップデート後は自動的に開始します。

5. 付録

5.1. 制限事項

5.1.1. UDPによるSyslog送信の場合のログ欠落について

UDPによる送信はログの欠落が発生する場合があります。これは、UDPが再送処理を行わないコネクションレス型のプロトコルであり、Syslogを受信するALog Syslog Receiver側ではパケットロスなどに対する検知や対処ができないためです。

5.1.2. メッセージキューの最大値を超過したSyslogデータの欠落について

ALog Syslog Receiverは、受信したSyslogデータをメッセージキューに格納し、順次ファイルへの書き出し処理を行います。 メッセージキューは「50000行」に設定されています。一度に大量のSyslogデータが送信された場合、設定値を超過したSyslogデータは破棄されます。 メッセージキューの設定は変更可能ですが、設定値を大きくするとメモリ消費量が増加します。

5.1.3. Syslogデータ書き出し処理時のファイルロックについて

Syslogデータをファイル出力する処理において、各送信ホストの最新のファイルはALog Syslog Receiverが安全な書き出し処理のためにロックしています。 サービス起動前に他プロセスによってファイルロックが行われている場合、ALog Syslog Receiverは正常に動作しない恐れがあります。

「特定の出力ファイルを削除したい」という場合は、そのファイルがローテートされるのを待つか、あるいはサービスを手動で再起動してください。当該ファイルはローテートおよび、サービス再起動する事によりロックが解除されます。

5.1.4. ALog Syslog Receiverで扱えるフォルダー、ファイルのパスの長さの制限について

ALog Syslog ReceiverでSyslogデータのファイル出力を行いますが、.NET Framework の制限により、フォルダーパスが「248文字以上」および、ファイルパスが「260文字以上」に該当する場合、エラーとなり扱えません。

5.2. パフォーマンス参考値

5.2.1. 標準テンプレートを使用した場合の1 日当たりの処理量

ALog Syslog Receiver によって出力されたファイルを、ALog EVA に用意された標準テンプレート「ALog Syslog Receiver(CSV出力)」で変換した場合の1 日あたりの処理量は以下の通りです。

対象ログ

管理サーバ1台あたりのログ処理量の上限(GB/日)

ALog EVA
(ALog Syslog Receiverで受信したログ)

100 [4並列]

表 5.1 測定環境 2 3

OS

Windows Server 2012R2 Standard

CPU

Intel® Xeon® CPU E5-2620 V2 @ 2.40GHz 2.40GHz 4 5

Memory

32GB

HDD

4TB

ALog ConVerter

V8.1.0

ALog Syslog Receiver

V1.0.0

2

弊社試験環境で測定した結果であり、システム環境により結果が異なる場合がありますのでご注意ください。

3

本資料はALog ConVerter 製品の性能を保証するものではありませんのでご了承ください。

4

測定環境の機器には12 コアのCPU を搭載していますが、そのうちの4 コアのみを使用して測定しています。

5

本資料の値は、その4 コアでイベントログの変換を並列処理した場合の理論値です。

5.2.2. 受信性能測定データ 6

  • 測定条件

プロトコル:UDP 送信
平均サイズ(byte/件):100
総送信メッセージ数:60,000
  • 測定結果

送信数/s

受信数

ロスト数

1000

60,000

0

2000

60,000

0

6

本測定結果はあくまで参考値であり、ALog Syslog Receiver 製品の性能を保証するものではありませんのでご了承ください。