 |
| SSB 検索画面 |
螺子です。本連載もいよいよ最終回を迎えました。
SSBは、高性能および高信頼性をあわせ持つログ管理アプライアンスです。
SSBのパフォーマンスを最大限に発揮させてSSBを有効に活用したり、安定して稼働させたりするには、SSBに合った設定および運用や操作をする必要があります。
syslog-ng Store Box大活用連載企画!最終回の第20回は、これらのポイントを紹介したいと思います。
- syslog-ng Store Box大活用連載企画第1回「syslog-ng Store Boxを知る」
- syslog-ng Store Box大活用連載企画第2回「syslog-ng Store Boxを仮想環境にインストールする」
- syslog-ng Store Box大活用連載企画第3回「syslog-ng Store Boxで出来ることまとめ」
- syslog-ng Store Box大活用連載企画第4回「Wiresharkでsyslogプロトコルパケットを覗く」
- syslog-ng Store Box大活用連載企画第5回「ciscoスイッチ、fortigateファイアウォールログをSSBで受信!よりログを検索しやすく」
- syslog-ng Store Box大活用連載企画第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」
- syslog-ng Store Box大活用連載企画第7回「Active Directoryと連携して、Active Directoryユーザー認証!」
- syslog-ng Store Box大活用連載企画第8回「SSBをHA(High Availability)構成で構築してみる!」
- syslog-ng Store Box大活用連載企画第9回「ログをバイナリおよびテキスト形式で保存、違いを比較してみる」
- syslog-ng Store Box大活用連載企画第10回「ログファイルを共有して、外部ホストからアクセスしてみる!」
- syslog-ng Store Box大活用連載企画第11回「フィルターを使用して、必要なログのみ保存してみる!」
- syslog-ng Store Box大活用連載企画第12回「SSBの監視とアラート!SNMPマネージャーで監視およびSNMPトラップを受信してみる」
- syslog-ng Store Box大活用連載企画第13回「コンテンツベースアラート。重要なログを見逃さない!」
- syslog-ng Store Box大活用連載企画第14回「設定変更履歴。コンプライアンスにも対応!」
- syslog-ng Store Box大活用連載企画第15回「トラブルシューティングに役立つ機能。問題を迅速に解決!」
- syslog-ng Store Box大活用連載企画第16回「ユーザーアクセス制御。アクセス権限とタイプを設定してみる!」
- syslog-ng Store Box大活用連載企画第17回「リライト機能。ログの整形や正規化!」
- syslog-ng Store Box大活用連載企画第18回「バックアップリストア。システムデータおよびログデータをバックアップ、リストアしてみる!」
- syslog-ng Store Box大活用連載企画第19回「アーカイブ/クリーンアップ。ログデータをアーカイブ、クリーンアップしてみる!」
不正なログメッセージフォーマットへの対処法
SSBはBSD (RFC 3164)およびIETF (RFC 5424)に準拠したログメッセージを自動でパースし、適切なメッセージ部として処理し、それらを扱います。
不正なログメッセージフォーマットのログを受信した場合、SSBはログメッセージを正しく処理できず、SSBのパフォーマンスに影響します。また、閲覧・検索およびレポートの結果が正しく出力されなくなります。あるいは、ログを受信できずログロストが発生する可能性もあります。
不正なログメッセージフォーマットへの対処法に関しては、過去記事「syslog-ng Store Box(SSB) 不正なログメッセージへの対処法」を参照してください。
時刻同期に関して
受信したログの連続性やログ生成元の時刻との整合性を取るためにも、SSBに正しい日付と時刻を設定することは必要不可欠です。そうすることで、ログの日付情報を正確に保ち適切なログ管理ができます。
また、タイムゾーンなどを変更することは推奨しません。後でタイムゾーンを変更した場合、以前に保存されたログを適切に検索できなくなる場合があります。
SSBの日付と時刻に関連する設定については、syslog-ng Store Box 6 LTS管理者ガイドの「4.4 日付と時刻設定」を参照してください。
名前解決に関して
ホスト名を名前解決するのにSSBはデフォルトでDNSの使用が有効になっています。
DNSにアクセスできない場合やDNSの応答が遅い場合は、SSBのパフォーマンスは極端に低下します。パフォーマンスに問題が発生した場合は、ローカルで名前解決することや名前解決を無効にすることを推奨します。
SSBの名前解決の使用に関連する設定については、syslog-ng Store Box 6 LTS管理者ガイドの「11.3 名前解決の使用」を参照してください。
検索を高速化する技
SSBは、受信したログにインデックス付けし、ログを高速に閲覧・検索可能です
大量のログあるいは複雑な検索式でログを閲覧・検索した場合、パフォーマンスに影響する場合があります。以下の内容は、検索時にSSBの負荷を軽減し、検索結果に対する応答を高速にします。
- 可能な限り期間を短くします(過去の日付を検索する場合は、カレンダーなどで最初に検索期間の終了日時を先に指定してから、開始日時を指定します)。
- ORの使用は、ANDより処理負荷が高く処理速度も遅いため、ORの使用は必要最小限にします。
- *と?のようなワイルドカードを不必要に使用しないでください。
- 可能であればトークンの最後にワイルドカード文字を使用します。
SSBの検索インターフェースの使用に関連する詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「12.1 検索インターフェースの使用」を参照してください。
ログをテキストで取り出す有効な方法
SSBは、検索ページで出力されたログをcsvにダウンロードできます。
大量のデータのダウンロードは非常に遅くなる可能性があります。大量のデータをテキスト形式で必要とする場合は、SSB RPC APIの使用、あるいはログファイルをネットワーク共有し、外部ツールを使用して処理することを検討してください。
SSBの検索インターフェースの使用に関連する詳細については、syslog-ng Store Box 6 LTS管理者ガイドの「12.1 検索インターフェースの使用」を参照してください。
SSB RPC APIについては、過去記事 syslog-ng Store Box大活用連載企画第6回「RPC APIを使ってみる、自社システムに統合!ログ検索の自動化!」を参照してください。
ログファイルのネットワーク共有ついては、過去記事 syslog-ng Store Box大活用連載企画第10回「ログファイルを共有して、外部ホストからアクセスしてみる!」を参照してください。
有効なユーザーおよびパスワード文字
LDAPなどの外部認証を利用する場合、ユーザーあるいはパスワードにSSBでサポートされていない文字を使用すると正しく認証されません。
SSBの有効なユーザーおよびパスワードに関連する情報ついては、syslog-ng Store Box 6 LTS管理者ガイドの「5 ユーザー管理とアクセスコントロール」を参照してください。
ストレージの容量管理
SSBは、内部ストレージがログメッセージでいっぱいにならないように、ディスクスペース飽和防止設定がデフォルトで設定されています。この設定は閾値以上に内部ストレージが使用されると自動でログ受信を停止します。
このため、適切に内部ストレージの容量管理を行う必要があります。
アーカイブおよびクリーンアップポリシーを適切に設定して内部ストレージがログメッセージでいっぱいにならないようにしてください。
ディスクスペース飽和防止の詳細については、「ディスクスペース飽和防止方法」を参照してください。
参考資料
詳細については、syslog-ng Store Box 6 LTS管理者ガイドの該当箇所をお読みください。
また、本ブログの過去記事なども参照してください。
いかがでしたでしょうか。本連載最終回の今回は、SSBのパフォーマンスを最大限に発揮させてSSBを有効に活用したり、安定して稼働させたりするためのポイントをまとめてみました。
SSBをより快適に、より安全にご利用いただけると幸いです。また、syslog-ng Store Box大活用連載企画全20回をお読みいただきありがとうございました。
それでは、次回のsyslog-ng Store Box(SSB)記事をお楽しみに!
