Oracle Cloud Infrastructureドキュメント

Syslogモニタリングの設定

Syslogはシステム・イベント・メッセージを記録するために一般的に使用される規格です。これらのメッセージの宛先にはシステム・コンソール、ファイル、リモートsyslogサーバーまたはリレーなどがあります。

概要

Oracle Logging Analyticsでは、様々なソースからsyslogデータを収集および分析できます。必要なのは、syslogサーバーでsyslog出力ポートの構成のみです。Oracle Logging Analyticsは、これらの出力ポートの監視、リモートsyslogコンテンツへのアクセス、および分析を実行します。

Oracle Logging AnalyticsのSyslog監視では、複数のホストおよびポートをリスニングできます。サポートされているプロトコルはTCPおよびUDPです。

Syslogログ収集の全体フロー

次に、ホストからログ情報を収集するためのタスクの概要を示します:

Syslogソースの作成

Oracle Logging Analyticsには、syslog収集用のOracle定義ログ・ソースがすでにいくつか用意されています。使用可能なOracle定義syslogソースおよびOracle定義パーサーのいずれかを使用できるかどうかを確認します。そうでない場合は、次のステップを使用して新しいログ・ソースを作成します:

  1. ナビゲーション・メニューを開き、「監視および管理」をクリックします。「ログ・アナリティクス」で、「管理」をクリックします。「管理の概要」ページが開きます。

    管理リソースが、左側のナビゲーション・ペインの「リソース」の下にリストされます。「ソース」をクリックします。

  2. 「ソース」ページが開きます。「ソースの作成」をクリックします。

    「ソースの作成」ダイアログ・ボックスが表示されます。

  3. 「Name」フィールドに、ログ・ソースの名前を入力します。

  4. 「Source Type」リストから、「Syslog Listener」を選択します。

  5. 「エンティティ・タイプ」をクリックし、エンティティ・タイプとして「ホスト」のいずれかのバリアント(Host (Linux)Host (Windows)Host (AIX) Host (Solaris)など)を選択します。これは、エージェントが実行され、ログが収集されているホストです。syslogリスナーは、同じホストで実行されていない可能性のあるインスタンスからsyslogログを受信するように構成されます。ただし、syslogリスナー・ホストにインストールされているエージェントは、リスナーが収集するように構成されているログを収集します。

    ノート

    • 1つの管理エージェントまたはsyslogには、最大で50の送信者を送信することをお薦めします。送信者をさらに増やすには、より多くの管理エージェントを使用してください。

    • 送信者が開く可能性があるすべての着信接続を処理するには、オペレーティング・システムで送信者ごとに少なくとも50のファイル・ハンドルを構成する必要があります。これは、他の目的でオペレーティング・システムに必要なファイル・ハンドルに対する追加分です。

  6. 「パーサー」をクリックして、適切なパーサーを選択します。

    通常、Syslog Standard FormatSyslog RFC5424 Formatなどのバリアント・パーサーの1つが使用されます。特定のネットワーク・デバイスには、Oracle定義のsyslogパーサーからも選択できます。

  7. 「リスナー・ポート」タブで、「追加」をクリックして、Oracle Logging Analyticsがログを収集するためにリスニングするリスナーの詳細を指定します。

    syslogサーバーのsyslog構成ファイルで出力ポートとして指定したリスナー・ポートを入力し、必要に応じてプロトコルとして「UDP」または「TCP」(トラフィックが重い場合に推奨)のいずれかを選択します。「有効」チェック・ボックスを選択します。

    複数のリスナー・ポートを追加する場合はこのステップを繰り返します。

    Oracle定義のSyslogログ・ソースでは、次のリスナー・ポートが使用されます:

    Oracle定義のSyslogソース リスナー・ポート

    Palo Alto Syslogログ

    		 8500

    Symantec Endpoint Protection Syslogリスナー・ログ

    		 8501

    Symantec DLP Syslogリスナー・ログ

    		 8502

    Cisco Syslogリスナー・ソース

    		 8503

    QRadar LEEF Syslogリスナー・ソース

    		 8504

    F5 Big IPログ

    		 8505

    Juniper SRX Syslogログ

    		 8506

    Citrix NetScalerログ

    		 8507

    NetApp Syslogログ

    		 8508

    Fortinet Syslogログ

    		 8509

    ArcSight CEF Syslogソース

    		 8510

    Check Point Firewall LEA Syslogログ

    		 8511

    Palo Alto Syslog CEFログ

    		 8512

    TrendMicro Syslog共通イベント・フォーマット・ログ

    		 8513

    Symantec Endpoint Protection System Syslogログ

    		 8514

    F5 Big IP ASM WAF Syslog CEFログ

    		 8516

    CyberArk Syslog共通イベント・フォーマット・ログ

    		 8517

    SquidプロキシSyslogリスナー・ソース

    		 8518

  8. 「ソースの作成」をクリックします。

Syslogデータの表示

You can use the Log Source field in the Fields panel of the Log Explorer in Oracle Logging Analytics to view syslog data.

  1. Oracle Logging Analyticsログ・エクスプローラで、「フィールド」パネルの「ソース」をクリックします。
  2. 「Filter by Source」ダイアログ・ボックスで、作成したsyslogソースの名前を選択して「Apply」をクリックします。
Oracle Logging Analyticsには構成済のすべてのリスナー・ポートからsyslogデータが表示されます。異なるホストまたはデバイスからsyslogデータを分析できます。