Kiwi Syslog Server NGでSyslogメッセージを監視する

Syslogメッセージとは、ネットワーク デバイスが通信に使用するシステム ロギング プロトコル（Syslog）を用いて標準化された形式のメッセージのことです。Syslogメッセージは、ルーター、スイッチ、ファイアウォール、サーバーなどのネットワーク デバイスがそれぞれの状態や重要イベントの情報を送信する際に使用されるため、ネットワークのトラブルシューティングにおいて非常に重要な役割を果たします。

ネットワーク監視およびトラブルシューティングにSyslogメッセージを活用するためには、優れたSyslogサーバーを持つことが重要です。Syslogサーバーは、Syslog対応デバイスからのSyslogメッセージを一元管理し、メッセージへのアクセス、検索、フィルタリングを可能にします（通常はそれより多くのことが可能です）。そのためには、Syslog対応デバイスに設定を行い、SyslogメッセージがSyslogサーバーに送信されるようにする必要があります。

Syslogメッセージは、主にLinuxおよびUNIXのOSを搭載したネットワーク デバイスで使用されます。デフォルトでは、SyslogメッセージはUDP（ユーザー データグラム プロトコル）を介して送信されますが、これはコネクションレスのプロトコルであるため、メッセージが正常に到達したという保証は得られません。ただしデバイスによっては、メッセージ配信を確認できるように、コネクション指向のプロトコルであるTCP（伝送制御プロトコル）を使用する場合もあります。

Syslogメッセージの用途

Syslogメッセージは、通常はネットワーク管理者やシステム管理者により、ネットワーク デバイスにあり得る問題の早期発見とトラブルシューティングのために使用されます。Syslogメッセージは、ネットワーク デバイスの状態や、ネットワークの標準的な運用に悪影響を及ぼす恐れのある重要なイベントに関する不可欠な情報を提供します。Syslogメッセージは、 SNMPトラップとともにルーター、スイッチ、ファイアウォール、サーバーなどのネットワーク デバイスの基本的な通信手段となっています。一般的なネットワークでは、毎分何千ものSyslogメッセージやSNMPトラップが生成されるため、一元管理のソリューションなくしては、ネットワーク監視への使用は不可能です。これらのメッセージは両者ともSyslogサーバーによって収集され、ネットワーク デバイスが生成するすべてのログの中心的な場所として機能します。Syslogサーバーは、ログへの簡単なアクセス、検索、フィルタリングの方法を提供し、ログ管理の重要な部分を担っています。

Syslogメッセージは主に以下の3つの部分で構成されています。

HEADER（ヘッダー、識別情報） SD（構造化データ） MSG（実際のメッセージ）

ヘッダー：Syslogメッセージのヘッダーにはバージョン、タイム スタンプ、ホスト名、デバイスIPアドレス、プロセスID、メッセージの優先度（PRI）などの識別情報が含まれています。Syslogメッセージの優先度は、Syslogメッセージを分類し、メッセージの全体的な重要性を判断し、必要に応じて適切な反応を割り当てるための計算値です。

構造化データ：Syslogメッセージのこの部分は、明確に定義された、容易に解析可能なデータ形式を提供することを目的にしています。メッセージ自体はフリーテキスト形式であるため、そこから適切な情報を抽出することが困難な場合もあります。構造化データは、Syslogメッセージに関する価値ある追加情報（トラフィック カウンターやIPアドレスなど）を、より高度なデータ処理に親和性の高い形式で提供する方法を提供します。

メッセージ：Syslogメッセージのこの部分は、実際のメッセージをフリーテキスト形式で格納し、イベントに関する情報を提供します。通常、SyslogメッセージにはUTF-8でエンコードされたUNICODEの文字セットが使用されます。

PRI：Syslogメッセージの優先度は、ファシリティと重大度という2つの変数の組み合わせで計算されます。

ファシリティ コードは、メッセージを生成したシステムの種類を指定します。定義済みの値15種とローカルに定義できる値8種からなる、0～23の数値を持つことができます。

番号 - ファシリティの説明

0 - カーネル メッセージ

正規職員が1 - ユーザー レベルのメッセージ

2 - メール システム

3 - システム デーモン

4 - セキュリティ/許可メッセージ

5 - syslogdにより生成されたメッセージ

6 - ライン プリンタ サブシステム

7 - ネットワーク ニュース サブシステム

8 - UUCPサブシステム

9 - クロック デーモン

10 - セキュリティ/許可メッセージ

11 - FTPデーモン

12 - NTPサブシステム

13 - ログ監査

14 - ログ アラート

15 - クロック デーモン

16 - 23 - ローカル使用

重大度：この変数は、メッセージ自体の重要性を指定するもので、0から7まで（緊急からデバッグレベルのメッセージまで）の数値を持つことができます。

Syslogメッセージの優先度は以下のように計算されます。

優先度＝ファシリティ ｘ 8＋重大度

たとえば、緊急のカーネル メッセージの優先度の値は0になります。優先度の値が低いほど、メッセージの重要度が高いことを示します。

優れたSyslogサーバは、優先度の高いメッセージを特定し、ネットワーク管理者へのメール通知や外部スクリプトの実行など、状況に応じて適切に対応することを可能にします。

Syslogメッセージの分類には8つの重大度レベルが使用されます。SyslogプロトコルRFC 5424による各重大度レベルの説明は以下のとおりです。

数値コード - 重大度

0 - 緊急：システム使用不可

正規職員が1 - アラート：早急にアクションを起こす必要あり

2 - 致命的：致命的な状態

3 - エラー：エラー状態

4 - 警告：警告される状態

5 - 注意：正常だが注意を要する状態

6 - 情報：情報メッセージ

7 - デバッグ：デバッグレベルのメッセージ

緊急メッセージは、システムがダウンしてメッセージを送信できないことを意味するため、これを受信することは通常ありません。一方、デバッグ メッセージは通常、開発中に使用され、通常はネットワーク オペレーションに影響を与えないため、これらについて通知を受け取ることをおすすめします。

優先度レベルと同様、優れたSyslogサーバーでは、深刻度レベルに応じてSyslogメッセージに対応するルールを設定できます。

Kiwi Syslog Server NGは、ルールを定義してフィルターを使用することで、より効果的にSyslogメッセージを監視できます。この堅牢なSyslogモニターは、無制限の数のフィルタとアクションで構成される無制限の数のルールを定義する機能を備えているため、各自の基準やニーズに応じてSyslogメッセージを処理して対応することができます。Kiwi Syslog Server NGにはキーボード ショートカットが用意され、ルール、フィルター、アクション、およびスケジュールの削除、挿入、コピー、ペースト、移動、名前の変更、および自動命名を簡単に行えます。

ルールは、どのメッセージがどのアクションをトリガーするかなど、受信したSyslogメッセージの処理方法をKiwi Syslog Server NGに示します。ルールがログ メッセージに適用される場合、Kiwi Syslog Server NGはメッセージとルール内の各フィルターを、上から順に比較します。いずれかのフィルター条件が偽の場合、Kiwi Syslog Server NGはルールの処理を停止し、次のルールをメッセージに適用します。しかし、フィルター内のすべての条件が真である場合、Kiwi Syslog Server NGは次のフィルターで処理を繰り返します。メッセージがルールのすべてのフィルターを通過すると、Kiwi Syslog Server NGはすべてのアクションを順番に実行し始めます。Kiwi Syslog Server NGは、最初のルールのフィルターとアクションがすべて終了してから次のルールに移るため、ルールを適用する順番は重要です。

メッセージ受信後にどのアクションを起こすかを決定するルールは、簡単に追加できます。開始するには、メイン メニューから[Setup（セットアップ）]を選択します。次に、[Kiwi Syslog Server NG]ダイアログ ボックスで[Rules（ルール）]、[Add Rule（ルールの追加）]の順にクリックして、ツリーに新しいルールを追加します。最後にルールに名前を付け、ルール フィルターとルール アクションを追加して、[OK]をクリックして変更を保存します。ルールを作成した後、それをエクスポートして別のKiwi Syslog Server NGと簡単に共有できます。

フィルターを設定すると、メッセージがルールのアクションをトリガーするかどうかを制御できます。SolarWinds Kiwi Syslog Server NGは、IPアドレス、優先度、時刻、ホスト名、入力ソース、正規表現、メッセージ テキストに基づくメッセージのフィルタリングを行えます。フィルターを作成すると、Kiwi Syslog Server NGは自動的にリストの順にフィルターを適用しますが、フィルターをなしにすると、すべてのメッセージがアクションをトリガーするようになります。

Kiwi Syslog Server NGを設定して、メッセージがルールのフィルターをすべて通過した場合には特定のアクションを実行させることができます。一般的なアクションには以下などが挙げられます。

• スクリプトまたは外部プログラムの実行
• メールの送信
• 受信メッセージのファイル、Papertrail™、または Loggly^®への記録
• SyslogメッセージまたはSNMPトラップの送信
• カウンターおよびフラグの休止
• メッセージの表示

Syslog対応デバイスを設定して、Syslog監視のためのKiwi Syslog Server NGへのメッセージ送信を開始することは簡単です。まず、デバイスのメッセージ ロギング機能が有効であることを確認してください。幸い、Syslogメッセージを生成できるほとんどのデバイスでは自動的にロギングが有効になりますが、それでも再確認することをおすすめします。次に、Kiwi Syslog Server NGが稼働しているコンピューターのポート（通常はポート514）にSyslogメッセージを送信するようデバイスを設定します。

RFC規格5426では、ポート514がSyslogメッセージのデフォルト ポートとして指定されています。Kiwi Syslog Server NGは、初期設定ではポート514で UDP（ユーザー データグラム プロトコル）メッセージをリッスンします。しかし、これではニーズに合わないという場合は、Kiwi Syslog Serverの設定で、UDPメッセージではなく、TCP（伝送制御プロトコル）メッセージ、セキュアTCPメッセージ、およびSNMP（簡易ネットワーク管理プロトコル）トラップをリッスンするよう簡単に設定変更できます。Kiwi Syslog Server NGを設定して、UDP、TCP、セキュアTCP、またはSNMPメッセージを別のポートでリッスンさせることもできます。

UDP入力オプションを設定するには、メイン メニューの[Setup（セットアップ）]で[Kiwi Syslog Server NG Settings（Kiwi Syslog Server NG設定）]セクションを開きます。次に、[Inputs（入力）]メニュー項目で[UDP]をクリックして、UDPメッセージをリッスンするポートを指定します。Syslogメッセージを送信するデバイスが新しいポート番号をサポートしていれば、1～65535の任意のポート値を使用できます。ほとんどのユーザーにとっては、[Bind to address（アドレスにバインド）]フィールドは空白にして、UDPソケットがすべてのインターフェイスのメッセージをリッスンできるようにするのが最適です。ただし、[Bind to address（アドレスにバインド）]フィールドにIPアドレスを指定すると、特定のインターフェイスへのバインディングを制限できます。ドロップダウン メニューからエンコード形式を選択するか、[Data encoding（データ エンコード）]セクションでコードのページ番号を入力することで、入力されたデータにどのデコード方式を適用するかを設定できます。設定完了後、[Apply（適用）]をクリックして変更を保存します。

TCP、セキュアTCP、SNMPトラップ入力オプションの設定も同様に簡単です。[Inputs（入力）]で[UDP]をクリックする代わりに、[TCP]または[SNMP]を選択します。そうすることで設定を行えます。たとえば、TCPのSyslogメッセージ用のデフォルト ポートは1468ですが、別のポート番号も選択できます。UDPメッセージと同様、[Bind to address（アドレスにバインド）]フィールドおよびデータ エンコード形式を変更できます。次に、メッセージ デリミター（セパレーターとも言います）を指定します。これはTCPストリームを別々のSyslogメッセージに分割する文字または文字列を意味します。

ネットワーク エンジニアやシステム エンジニアであれば、ネットワーク デバイスからSyslogメッセージを収集および監視するにあたって、Syslog管理ツールの使用を希望することでしょう。Kiwi Syslog Server NGは、Syslogデータを収集できるデバイス数に制限がないため、すべてのスイッチ、ファイアウォール、ルーターを簡単に監視できます。

Kiwi Syslog Server NGは、Syslogメッセージの監視に加えてUNIX、Linux、WindowsシステムからのSNMP（簡易ネットワーク管理プロトコル）トラップの収集が可能で、ITインフラストラクチャ全体の重要な情報を一元的に確認できます。

ユーザー フレンドリなSyslog Webベースのコンソールにより、Webにアクセスできれば世界中のどこからでも、リアルタイムにデータを確認できます。Kiwi Syslog Server NGのWebコンソールには、カスタマイズ可能な21のビューとSyslog統計グラフが実装され、ネットワークやデバイスのパフォーマンス問題を素早く把握してトラブルシューティングを行えます。ホストIPアドレス、優先度、ホスト名、時刻などでSyslogメッセージのフィルタリングを行い、重要なメッセージを探し出すことができます。

Kiwi Syslog Server NGは、Syslogメッセージ、SNMPトラップ、およびWindowsイベント ログの単なる収集や監視に留まらず、内蔵されたアクションによりSyslogメッセージに対応することもできます。

Kiwi Syslog Server NGのその他の利点としては、以下が挙げられます。

• Syslogメッセージをディスク、ファイル、またはODBC準拠のデータベースにアーカイブできる
• Loggly、Papertrail、Security Event Manager（SEM） 、 Network Performance Monitor （NPM）など、他のSolarWindsのIT管理ツールにメッセージを転送できる
• Kiwi Syslog Serverの高度なメッセージ バッファリング機能により、受信箱をクリアに保つことができる
• ログの保存、アーカイブ、およびクリーンアップを行い、SOX、PCI-DSS、HIPAAのコンプライアンス提示を支援