ホストの追加
ユーザー インタフェースからホストを追加するには、以下のメニュー オプションのうちのどれかを使用します:- ホーム タブ > ホスト情報 > +ホスト
- タブ: +追加 > ホスト
- 設定 タブ > ホスト管理: 追加
ホストグループの追加
また、特定のホストグループにホストをグループ化することができます デフォルトのホストグループには、Windowsグループ、UNIXグループおよびデフォルトグループ (すべてのホストが含まれている)です。 新しいホストグループを追加するには、 ホスト追加ページのホストグループフィールドの横にある+ ボタンをクリックします。
メモ: 1つのホストを複数のグループに追加することはできません。
異なるホストタイプの追加
- Windowsホストの追加
- Unixホストの追加
- Cisco
デバイス(スイッチ、ルーター)、ハイパーバイザ、VMware、その他 Syslog デバイスの追加
- IBM
iSeries(AS/400)ホストの追加
- VMWareホストの追加
- Oracleホストの追加
- プリント サーバーの追加
- UNIXホストでのSyslogサービスの設定
- HP-UX/Solaris/AIXホストでのSyslogサービス設定
- VMwareホストでのSyslogサービスの設定
- Ciscoスイッチでの Syslog設定
Windows ホストの追加
すべての Windows ホストで WMI と DCOM が有効になっていることと、個別のモジュール / オブジェクトに対するログ取得が有効になっていることを確認してください。 Windows イベント ログを Syslog フォーマットにして送信する場合は、SNAREなどのサードパーティツールを使用してログをSyslogに変換して転送してください。
- ホスト タイプにWindowsを選択してください。 '+' アイコンを使用して新規ホストを追加することもできます。
- ホスト名を入力してください。 カンマで区切ることで複数のホスト名を入力することができます。
Tip: テキストエディター で作成したカンマ区切りのマシン名をコピー&ペーストすることもできます。
- admin権限でログインした場合、ホスト スキャンオプションを実行可能です。 ホストスキャンを利用してドメイン/ワークグループから1つまたは複数のホスト(複数可)を選択してすることがが可能です。
- 追加したいホストの属するドメインまたはワークグループを選択します。
- すべて選択 オプションを使用し、ドメインまたはワークグループ内にリストアップされたすべてのホストを選択できます。 または、検索ボックスを使用してホストの検索をすることも可能です。
- ボックスには選択したドメインまたはワークグループの全てのホストあるいは検索結果のホストが表示されます。
- ドメインユーザーとしてログイン オプションを使用すると、選択した全てのホストに対してドメインユーザー権限でログインします。
- 更新 ボタンをクリックすると ホストのスキャン でホストを追加できます。
- 選択したドメインやワークグループで必要なホストが見つからない場合、<ドメイン / ワークグループ> の再スキャン リンクを使用し、選択したドメインやワークグループを再スキャンします。
- リストに必要なホスト、ドメイン、OU、ワークグループが見つからない場合、 ネットワーク全体を再スキャン をクリックし、ネットワーク全体を再スキャンします。
- ホスト グループを選択します。 Windows ホスト タイプでは、Windows グループ がデフォルトの選択になっています。 '+' アイコンを使用して、設定したホストを追加する新しいホスト グループを作成することもできます。
- ホストがローカルのワークグループに所属している場合は、ドメイン名 フィールドへの入力は必要ありません。 ホストが所属しているドメイン名を入力します。 ホストのスキャン メニューを使用すると ドメイン名 フィールドは自動的に入力されます。
- ホストにアクセスするための ログイン名 (ユーザー名)と パスワード を入力します。 使用するユーザーは、管理者(Administrator)権限を持っている必要があります。 ログイン認証の確認 リンクを使用し、ログイン資格を確認します。 複数台のホストが選択されている場合、全てのホストに対して有効なユーザーを使用していることをご確認ください。
- 監視間隔 を入力し、EventLog Analyzer がホストからログを取得する頻度を設定します。 デフォルトでは10分が最短スキャン間隔になっています。
- 保存ボタンをクリックし、ホストを追加します。 保存&追加 をクリックすると、ホストを追加後、再度別のホストを追加する画面に移動します。
ログの収集: Windowsイベントビューアーにあるすべてのログを収集するには、ホスト追加ページの右上にあるログを収集フォルダー アイコンをクリックします。 ログ収集ウィンドウが表示されます。 イベントビューアーに存在するすべてのログを収集する選択ボックスを有効にします。 選択ボックスのチェックを有効にすることでイベントビューアーに存在する履歴ログを収集します。 この選択ボックスを無効にすると、現在の時間からのログを収集します。 注意: 履歴ログの収集は、CPUとメモリーリソースを集中的に消費します。 こちらの点にお気をつけください。
UNIX ホスト / Cisco デバイス / Syslog デバイスの追加
デフォルトの Syslog ポート(513、514)で Syslog データを EventLog Analyzer に送信するように設定された UNIX / Linux は EventLog Analyzerに UNIX として登録する必要なく、自動的にホストのリストに表示されます。 UNIX / Linux のホスト / デバイスが自動的にホストの一覧に追加されない場合のトラブルシューティング ホスト、デバイスがホスト一覧に追加されていない場合、以下のトラブルシューティングの手順に従ってください:
- EventLog Analyzer サーバーと UNIX / Linux ホスト / デバイスとの接続を確認してください。 'ping' コマンドを使用し、UNIX / Linux が EventLog Analyzer に到達できるか(またはその逆)を確認してください。
- EventLog Analyzer にログインし、上部の Syslog ビューアー - パケット表示 513、514 のポートが有効でリッスン中であることを確認してください。
- デフォルト ポートがダウンしている場合、ポートが他のアプリケーションによって使用されている可能性があります。その場合 Syslog 使用されていないポート番号を使用して Syslog を受信することができます。EventLog Analyzer にポートを追加する あるいはデフォルトポートを使用しているアプリケーションを停止してください。
- UNIX / Linux パケットがパケットがデフォルト UDP ポートである 513、514 またはカスタム設定されたポートに送信されていることを確認してください。
- それでもマシンが追加されない場合、ファイアウォール(Windows ファイアウォールや、他のサービスなど)がポートをブロックしていないかどうかを確認してください。
ブロックしている場合、ブロックを解除します。
- まだ問題が解決しない場合、Wireshark や Ethereal といったパケットキャプチャツールを使用して Syslog が UNIX / Linux マシンから送られてきているかどうかを確認します。
Cisco デバイス(スイッチ、ルーター)、ハイパーバイザ、VMware、その他 Syslog デバイス
これらのホストをUNIXホストとしてEventLog Analyzerに追加することができます。 これらをホストとして追加する前に、Syslog デーモン(プロセス)がこれらのホスト / デバイスに設定されていることを確認してください。
- ホストタイプに UNIX を選択してください。 '+' アイコンを使用して新規ホストタイプを追加することもできます。
- ホスト名を入力してください。 カンマで区切ることで複数のホスト名を入力することができます。 Tip: テキストエディター で作成したカンマ区切りのマシン名をコピー&ペーストすることもできます。
- ホスト グループを選択します。 UNIX ホスト タイプでは、UNIX グループ がデフォルトの選択になっています。 '+' アイコンを使用して、設定したホストを追加する新しいホスト グループを作成することもできます。
- UNIX ホストから Syslog を受信する、Syslog リスナー ポートを入力します。
- 保存ボタンをクリックし、ホストを追加します。
- 保存&追加 をクリックすると、ホストを追加後、再度別のホストを追加する画面に移動します。
IBM iSeries(AS/400)ホストの追加
IBM AS/400 マシンの場合からログを受信する場合、EventLog Analyzer の 446-449、8470-8476、9470-9476 ポートを開けてください。
- ホスト追加ページから、ホストタイプからIBM AS/400を選択します。
- ホスト名に複数のホスト名を入力するには、カンマ区切りで入力してください。
- ホストグループを選択してください。 新しいホストグループを作成するには、 '+' アイコンをクリックします。
- 'ログイン名' と 'パスワード'を入力します。 'ログイン認証の確認' を利用してログイン情報が有効かを確認することができます。
- スキャン間隔 を入力し、EventLog Analyzer がホストからログを取得する頻度を設定します。 デフォルトでは10分が最短スキャン間隔になっています。
- 日付形式と ログのデリミタフォーマットを選択します。 IBM AS/400ホストから取得されるイベントログで使用されている日付形式です。
設定を保存するために、保存をクリックします。 さらに追加するには、保存&追加をクリックします。
VMWareホストの追加
- ホスト追加ページから、上記の手順でホストタイプからUnixを選択します。
- 下記で説明する手順に従って、VMwareにおいてSyslogを設定します。
- EventLog Analyzer が VMware ホストからSyslog受信を開始した後で、VMware
ホスト情報を編集して、ホストタイプを「Hypervisor」に変更します。 手順は次の通りです。
- VMware アイコンのホストの編集をクリックし、ホスト情報の編集 ページを開きます。
- ホストタイプをHypervisorとして設定します。
- ホスト情報の保存 をクリックし、このホストを VMware ホストとして保存し、監視するホストの一覧に戻ります。
Oracle アプリケーションの追加
Oracleログを監視するホストの設定方法は下記の通りです。
- 新規ホストの追加 ページにて
Oracle アプリケーション がサーバー Windows で動作している場合は 本手順に従って 新規 Windows ホスト として追加します。Linux で動作している場合は 本手順に従って 新規 Linux ホスト として追加します。
- 設定 ページにて
Windows / Linux ホストの追加後、以下を選択します: 設定 > 設定: アプリケーション管理: 追加: Oracle メニュー、あるいは ホーム タブ > アプリケーション > アクション: +Oracle メニュー Oracle ホストの設定 ページが開きます。 ホストの追加フィールドにOracleアプリケーションサーバーのホスト名を入力します。 フィールド横の保存アイコンをクリックします。 登録済みのOracleホストが既存のホストとして下に一覧表示されます。
EventLog Analyzer でOracleホストの設定後、Oracleサーバーで下記設定を行います。
Oracleサーバーの設定
参照: http://download.oracle.com/docs/cd/B28359_01/network.111/b28531/auditing.htm#CEGBIIJD
Oracleサーバーが Widowsにインストールされている場合
sqlplus に接続します。
- 以下のクエリを実行して、監査パラメーターを変更します。
ALTER SYSTEM SET AUDIT_TRAIL=OS SCOPE=SPFILE;
- Oracle サーバーを再起動して変更を有効にします。
Oracleサーバーが Linux
にインストールされている場合
Oracle Syslog 監査を有効にする場合は、次の手順を実施してください。
- "Standard Audit Trailの有効化/無効化"で説明されているように、AUDIT_TRAIL初期値にOSの値を割当てます。
(例: ALTER SYSTEM SET AUDIT_TRAIL=OS SCOPE=SPFILE;
- initsid.oraパラメーターファイルにAUDIT_SYSLOG_LEVELを追加して設定します。
AUDIT_SYSLOG_LEVEL=facility.priorityフォーマットで、facilityと優先度を指定するAUDIT_SYSLOG_LEVELパラメーターを設定します。
facility: メッセージを記録するOSを説明します。 指定可能な値は、user, local0–local7, syslog, daemon, kern, mail, auth, lpr, news, uucp, cron です。
local0–local7は、Syslogメッセージをカテゴリーに分類してソートすることを有効にする定義済みのタグです。 これらのカテゴリーはログファイル、または、Syslog ユーティリティがアクセス可能な他の場所となります。 タグのタイプの詳細情報については、Syslog ユーティリティ MAN ページをご参照ください。
priority: メッセージの重要度を定義します。 値は、notice, info, debug, warning, err, crit, alert, emerg の何れかを選択してください。
Syslog デーモンは、syslog.conf ファイルの AUDIT_SYSLOG_LEVELパラメーターのfacility 引数に割当てられる値を比較します。
例えば、次のステートメントでは、facility を「local1」、priority を「warning」として設定しています。
AUDIT_SYSLOG_LEVEL=local1.warning
AUDIT_SYSLOG_LEVELの詳細は、Oracle データベースのマニュアルをご参照ください。
- /etc/syslog.confのSyslog 設定ファイルに含まれているマシンにログインします(root権限)。
- /etc/syslog.confのSyslog設定ファイルに監査ファイルの保存先を設定します。
例えば、AUDIT_SYSLOG_LEVELをlocal1.warningとして設定した場合は、次を入力します。
local1.warning /var/log/audit.log
この設定により、すべてのwarningメッセージが/var/log/audit.logファイルに出力されます。
- syslog logger を再起動します。
$/etc/rc.d/init.d/syslog restart
すべての監査ログが/var/log/audit.logに出力されます。
- Oracle サーバーを再起動します。
プリント サーバーの追加
プリント サーバー ログを監視するホストの設定方法は下記の通りです。
- 新規ホストの追加 ページにて
プリント サーバー を 本手順に従って 新規 Windows ホスト として追加します。
- 設定 ページにて
Windowsホスト追加後、以下を選択します: 設定タブ > 設定 アプリケーション管理: 追加: プリント サーバー メニュー、あるいは ホーム タブ > アプリケーション > アクション:+プリント サーバー メニュー プリント サーバーの設定 ページが開きます。 ホストの追加フィールドにプリントサーバーのホスト名を入力します。 フィールド横の保存アイコンをクリックします。 登録済みのプリントサーバーホストが既存のホストとして下に一覧表示されます。
EventLog Analyzer でプリント サーバーの設定後、プリント サーバーで下記設定を行います。
プリントサーバーの設定
プリント サーバー ログを有効にする
イベント ビューアー > アプリケーションとサービス ログ > プリント サービス
を開き、右クリックして ログの有効化 を選択します。 これにより、関連する "Admin"、"Debug"、"Operational"
プロセスのログが有効化されます。 イベント ビューアーにてログが有効になります。
- プリント サーバーのマシン上でコマンド プロンプトを開き、レジストリ エディター (regedit)を開きます。
- Computer\HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\eventlog\ に移動します。
- eventlog の上で右クリックします。 新規 > キー を選択し、 Microsoft-Windows-PrintService/Operational または Admin または Debug を作成します。
これにより、ログタイプが管理可能に変換されます。
この機能は32ビットの Windows OSではサポートされていません。
UNIXホストでのSyslogサービスの設定
- rootユーザーとしてログインし、/etcディレクトリにあるsyslog.confファイルを編集します。
- *.* @<server_name>を最終行に追加します。<server_name> は、EventLog Analyzerが起動しているマシン名です。
- 設定を保存し、エディター を閉じます。
- /etcディレクトリにあるservicesファイルを編集します。
- EventLog Analyzerの初期設定でのリスナーポートである514へ変更してください。 514以外のポート番号を入力する場合には、ホスト追加時に同じポート番号を入力してください。
- 設定を保存し、エディター を閉じます。
- 次のコマンドでホスト上のSyslogサービスを再起動します:
/etc/rc.d/init.d/syslog restart
Linuxホストでsyslog-ngデーモンを設定するには、
destination eventloganalyzer { udp("<server_name>" port(514)); };
log {
source(src); destination(eventloganalyzer); };
を/etc/syslog-ng/syslog-ng.confの最後に入力してください。<server_name>は、EventLog Analyzerが起動しているマシンのIPアドレスです。
HP-UX / Solaris / AIXホストでのSyslogサービス設定
- rootユーザーとしてログインします。
- /etcディレクトリにあるsyslof.confファイルを次のように編集します。
*.emerg;*.alert;*.crit;*.err;*.warning;*.notice;*.info;*.debug <tab-separation>@<server_name>
<server_name>は、EventLog Analyzerが起動しているマシン名です。 *.debugと@<server_name>間のタブ区切りがあることを確認します。
- 設定を保存し、エディター を閉じます。
- /etcディレクトリにあるservicesファイルを編集します。
- EventLog Analyzerの初期設定でのリスナーポートである514へ変更してください。 514以外のポート番号を入力する場合には、ホスト追加時に同じポート番号を入力してください。
- Syslogデーモンを起動します。 下記のコマンドを実行します。
手順 : /sbin/init.d/syslogd {start|stop}
実行するコマンド :
(HP-UXの場合) /sbin/init.d/syslogd start
(Solarisの場合) /etc/init.d/syslog
start
(Solaris 10の場合) svcadm -v restart
svc:/system/system-log:default
(IBM AIXの場合) startsrc -s syslogd
VMwareホストでのSyslogサービスの設定
すべての ESX / ESXi ホストでは、VMkernel とその他のシステムコンポーネントからファイルにログを送信する、Syslogサービス(Syslogd)が動作しています。
ESXホストでのSyslog設定 :
vSphere クライアント、または、vicfg-syslogを、ESXホストのSyslogの設定に使用する必要はありません。 ESX ホストでSyslog を設定するには、/etc/syslog.conf を編集する必要があります。
ESXiホストでのSyslog設定 :
ESXi ホストでは、vSphere クライアント または vSphere CLI コマンドであるvicfg-syslogを使用して、次のオプションを設定できます。
- ログファイルパス : syslogdログの全てのメッセージを保存するディレクトリへのデータパスを指定します。
- リモートホスト : Syslog メッセージを転送するリモートホストを指定します。
転送されたSyslogメッセージを受信するには、リモートホストでSyslogサービスがインストールされている必要があります。
- リモートポート : Syslog メッセージを受信するリモートホストが使用しているポート番号を指定します。
vSphere CLI コマンドを使用したSyslog設定 :
vicfg-syslogに関する詳細は、vSphere Command-Line Interface Installation and Reference Guideをご参照ください。
vSphere クライアントを使用したSyslog設定 :
- VSphere クライアントインベントリにおいて、ホストをクリックします。
- 設定 タブをクリックします。
- Software 配下のAdvanced Settingsをクリックします。
- ツリーコントロールから、Syslogを選択します。
- Syslog.Local.DatastorePath テキストボックスにおいて、Syslog がメッセージを出力するファイルのパスを入力します。 パスが指定されない場合は、デフォルトのパスである「/var/log/messages]が指定されます。
保存パスのフォーマットは、[<datastorename>] </path/to/file>です。
例: データストアパス [storage1] var/log/messages は、mfs/volumes/storage1/var/log/messages にマップします。
- Syslog.Remote.Hostname テキストボックスにおいて、Syslog データが転送されるリモートホスト名を入力します。
値が指定されない場合、データは転送されません。
- Syslog.Remote.Hostname テキストボックスにおいて、Syslog データが転送されるリモートホスト名を入力します。 デフォルトでは、Syslog.Remote.Port
は 514 が設定されています。
Syslog.Remote.Portの変更は、Syslog.Remote.Hostname が設定されている場合に有効になります。
- OKをクリックします。
Ciscoスイッチでの Syslog設定
- スイッチへログインします。
- コンフィグモードに移行します
- スイッチからSyslogを送信するために、次の設定を行います(ここでは、Catalyst 2900からEventLog
Analyzerへログを送る設定を紹介しています)。
<Catalyst2900># config terminal
<Catalyst2900>(config)# logging <EventLog Analyzer IP>
For the latest catalyst switches
Catalyst6500(config)# set logging <EventLog Analyzer IP>
We can also configure other options like logging facility , trap notifications, etc. .. as
Catalyst6500(config)# logging facility local7
Catalyst6500(config)# logging trap notifications
各デバイスでのSyslogを送信するための設定手順については、Ciscoのドキュメントをご参照ください。 お使いのCisco装置のSyslogフォーマットがEventLog Analyzerがサポートしているスタンダードフォーマットと異なる場合には、eventloganalyzer-support@manageengine.comまでご連絡ください。