Log Analytics でSyslogのデータを収集してみた

こんにちは、サイオステクノロジー 亀田です。
今回は、Azure 上に構築している仮想マシンの Syslog のエラーメッセージを検知し、アラートをメールで通知する検証を行いましたので記事にしておこうと思います。

Log Analyticsの構築手順として、画面キャプチャーが古いですが参考情報までに以下をご確認ください。(③まで実施)

Azure上の仮想マシンをリソース監視してみた

■今回事前準備する環境

・監視対象のマシン(今回はcentos7.5)
・OMS ワークスペース

■設定手順

(1)Log Analytics の[詳細設定]をクリックし、[Data]⇒[Syslog]をクリックします。
1
2

(2)その後、[次のファシリティからSyslogを収集]にチェックを入れて有効にし、[監視するファシリティの名前を入力]の検索欄で、監視するファシリティの名前を入力し、+ をクリックし設定していきます。
設定完了後、左上の[Save]をクリックし保存します。
3

本設定を行うことで、しばらくすると自動的にrsyslogの構成ファイル(/etc/rsyslog.d/95-omsagent.conf)に設定されます。
4

(3)Log Analytics の[Logs]をクリックし、検索欄に「Syslog」を入力し[実行]をクリックします。
ログが出力されていることを確認します。
5
6

ログのデータ収集の設定は以上となります。
今回は、Linuxサーバーを対象として設定しておりますが、Windowsサーバーを対象とする場合の参考情報として、以下に記載されていますのでご参照願います。

Log Analytics での Windows イベント ログのデータ ソース
https://docs.microsoft.com/ja-jp/azure/log-analytics/log-analytics-data-sources-windows-events

以下から SeverityLevel が error のメッセージが出力された場合に、アラートのメールを通知する設定を以下に記載します。

(4)(3)と同様に、検索欄に「Syslog | where ( SeverityLevel == “err” )」を入力し[実行]をクリックします。その後、上部の[New Alert Rule]をクリックしアラート設定を行います。
7

(5)新しいアラート作成画面が表示されますので、全ての設定が完了しましたら、「アラートルールの作成」をクリックし、アラートを作成します。まずは「アラートの条件」を設定します。
8

(6)「アラートの条件」の各設定を行います。
9

 ■検索クエリ
 検索クエリを指定します。
 (4)で指定した検索クエリがデフォルトで記載されます。

 ■アラートロジック

  ●基準
  結果の数またはメトリック測定を指定します。
  今回は、「結果の数」を設定しています。

  ●条件
  クエリによって返されるレコード数が、「より大きい」または「次の値より小さい」場合に、
  アラートが作成されます。今回は「より大きい」を設定しています。

  ●しきい値
  数値を入力します。
  今回は、「0」を設定しています。

 ■標準基準

  ●期間(分単位)
  指定した時間範囲の間に作成されたレコードが返されます。

  ●頻度(分単位)
  アラートを確認する頻度を指定します。

 上記設定により、5分間隔でチェックが行われ、一度でもエラーが出力された場合は通知するように設定しています。

(7)次に「アラートの詳細」を設定します。
10

 ■アラート詳細

  ●アラートルール名
  アラート名を任意で指定します。

  ●説明
  説明を記載します。

  ●重要度
  アラートの重要度を指定します。

  ●ルールの作成時に有効にする
  ルールの作成時に有効にするかどうか設定します。

(8)次に「アクショングループ」を設定します。
「+ 新しいアクショングループ」をクリックします。
11

(9)「アクショングループ」を設定します。
12

 ■アクショングループ

  ●アクショングループ名
  アクショングループ名を任意で指定します。

  ●短い名前
  Log Analytics においてはアクショングループの”短い名前”は利用できないため、任意の名前を指定します。

  ●サブスクリプション
  グループの保存先となるサブスクリプションを選択します。

  ●リソースグループ
  グループが関連付けられるリソースグループを選択します。

  ●アクション名
  任意の名前を指定します。

  ●アクションタイプ
  通知方法を指定します。
  今回は電子メールで通知します。
  アクションタイプ選択後、以下画面が表示されます。
13

 ■電子メール/SMS/プッシュ/音声

  ●名前
  アクション名が指定されています。

  ●電子メール
  電子メールの宛先を指定します。

なお、メールの件名を設定する場合は、「アクションをカスタマイズする」の[メールの件名]にチェックし、件名を設定します。
14

上記設定後、「アラートルールの作成」をクリックします。

設定は以上となります。

実際にエラーが出力されたことにより、以下のようにメールが通知されていることをご確認ください。
15

クラウド環境だけでなく、オンプレ環境のログやパフォーマンスのデータ等様々なデータを収集して監視できることから、非常に便利だと感じました。興味のある方は試してみて頂ければと思います。
また、今後 Log Analytics をシリーズ化していこうと思います。

ご覧いただきありがとうございます! この投稿はお役に立ちましたか?

役に立った 役に立たなかった

2人がこの投稿は役に立ったと言っています。

1 COMMENT

たけい

とってもわかりやすかったです。アラートを上げるための方法を探してのですが、どこにもピンとくる情報がなく、ここにたどり着きました。参考になりました。

返信する

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です