Pandora: Documentation ja: Log Monitoring

From Pandora FMS Wiki
Jump to: navigation, search

Pandora FMS ドキュメント一覧に戻る

1 ログ収集

1.1 概要

Pandora FMS は、イベントやパフォーマンス情報を収集する監視システムです。時には、コマンドの出力結果を監視するのに利用されます。文字列においても同様の仕組み(コマンド実行結果のパース)が使われており、ログに対して、(単一の文字列や正規表現で)マッチした情報やマッチ数を返すのに使われます。

Pandora は、ログ内のファイル数やファイルの(grepを使った)文字列マッチ数えるのにも利用できます。しかし、これは監視であって、ログの収集ではありません。

ログ収集の最大の問題は、収集データが大きくなることです。1日 100MB から、1時間に 1GB といった環境が "普通にある" ということです。これは、情報を処理することができず、正規化してデータベースに保存するこは不可能であることを意味します。

これまで Pandora FMS では、この問題に対する対策はありませんでした。しかし、バージョン 5.0 からは Pandora FMS Enterprise 版で、1日何百MBものログファイルを管理する手段を提供しています。この手法では、イベントログ(Windows)やテキストのログファイルを収集するために、監視のためのエージェントを再利用することができます。既存のログ監視モジュールからのコピーの似た書式を利用します。

Log-esquema-1.png

Pandora FMS エージェントによるログ管理では(イベントログやテキストログ)、Pandora FMS サーバで設定した特定のディレクトリに "オリジナルのままで" 保存されます。

Log-esquema-2.png

Pandora FMS データサーバが、エージェントから監視情報とオリジナルフォーマットのログ情報を含んだ XML を受信します。ログ情報はディスクへ保存し、監視情報は通常通り処理されます。

Log-esquema-3.png

ログ情報は、日付ごとのディレクトリ構成でディスクに保存されます。そのため、システムは情報の場所をすぐに特定でき、リポジトリの大きさには左右されません。このシステムは、大きなデータの検索や保存のための基本的な手法です。

Log-esquema-4.png

1.2 設定

最初に、コンソールでこの機能を有効にする必要があります。これは設定の特別なセクション内にあります。次の画面に示します("ログ収集の有効化(Activate log collector)" オプション)。

Activate logcollection.png

設定でこのオプションを有効にしたら、ログ収集のためのいくつかのオプションを設定します。Pandora FMS データサーバがログファイルを保存するディレクトリを定義します(ログは数日で TB 単位に膨れ上がるほど大きくなる可能性があることに注意してください)。

Log collection setup.png

もちろん、ディスクにデータを保存する最大日数を設定することもできます。これを超えると、ディスクから自動的に削除されます。

ログ収集機能を有効化または無効化した時は、Pandora FMS サーバを再起動する必要があります。大量のデータを保存し、Pandora のインタフェースでリアルタイム操作が必要ない場合は、すべてのデータを保存するディスクとして NFS を利用してリモートのディスク(SAN がより望ましい)を指定するほうが良いです。他の方法としては、2つのデータサーバを設定し、もっとも量の多い情報を高速なディスクのある大きい方のサーバへ送ります。

1.3 検索および表示

ログ収集ツールでは、主に 2つの機能があります。

1 日付およびデータソースによるフィルタリングを利用した情報検索
2 単位時間あたりの発生状況の表示

以下の例では、10月23日から10月24までに得られたデータを検索しています。

データ表示

Log view 1.png

時間にマッチしたものの表示

Log view 2.png

参照したい情報を選択できるいくつかのフィルタがあります。もっともわかりやすいものとしては、時間範囲、モジュールや情報発信元(エージェント内のログ収集設定)、情報発信元エージェントです。

Log view filter.png

最も重要で便利なのは、文字列検索(画面例)です。これは簡単なテキスト文字列で、正規表現を利用できます。IP アドレスであれば次の通りです。

192.168.[0-9]+.[0-9]+

以下の画面例では、日時を設定(直近1分)し、任意のデータソース、192.168.0.0/16 の範囲の IP を含むデータとしています。

Event log 3.png

1.4 エージェント設定

Windows と Unix でのログ情報収集の例をみてみます。

1.4.1 Windows の場合

module_begin
module_name Eventlog_System
module_type log
module_logevent
module_source System
module_end 
module_begin
module_name PandoraAgent_log
module_type log
module_regexp C:\archivos de programa\pandora_agent\pandora_agent.log
module_description This module will return all lines from the specified logfile
module_pattern .*
module_end

両方のケースにおける監視モジュールとの唯一の違いは、以下のログソース設定の部分です。

module_type log 

これは、バージョン 5.0 のエージェントから利用できる新たな書式です。この新機能を利用するには、エージェントをバージョン 5.0 へアップグレードする必要があります。

1.4.2 Unix システム

Unix では、バージョン 5.0 エージェントとともに配布される新たなプラグインを利用します。書式は次の通り単純です。

module_plugin grep_log_module /var/log/messages Syslog \.\*

ログパースプラグイン(grep_log)と同じように、grep_log_module プラグインは、処理した情報をログファイルのソースとして "syslog" という名前でログ収集に送信します。どういったパターンの行を送信するかまたはしないかは、\.\* といった正規表現を利用します(この例では全て)。

Pandora FMS ドキュメント一覧に戻る