Syslogデバイスの登録方法
作成日:2016年11月15日 | 更新日:2024年7月1日
本ナレッジでは、Syslogデバイスの登録方法を説明します。
※Windowsホストの登録方法は、こちらのナレッジをご参照ください。
登録方法
Syslogの場合、EventLog AnalyzerはバンドルしているSyslogサーバーでログを受信し収集します。そのため、EventLog Analyzerに登録したいSyslogデバイス側(管理対象デバイス側)にて、SyslogをEventLog Analyzerサーバーに転送するよう、あらかじめ設定していただく必要があります。EventLog AnalyzerはSyslogを受信後、該当Syslogデバイスを自動的に管理対象デバイスとして追加し、ログ収集を開始します。
Syslogデバイス(Linux/Unixシステム、ルーター/スイッチ、Firewall/NGFWs/IDS/IPSなど)が生成するSyslogを収集/管理するためには、「Syslog管理オプションライセンス」が必要です。オプションライセンスの詳細は、こちらのナレッジをご確認ください。
Syslog転送設定手順(管理対象デバイス側の設定手順)
本手順では、rsyslogでの設定手順(UDPで転送する場合)を解説しています。その他Syslogデバイスでの転送設定は、各ベンダー様へお問合せください。
- rootユーザーとして管理対象デバイスへログインします。
- /etc/rsyslog.confをvi等で編集します。
- 以下のパラメーターを追加します。
パラメーター
*.* @<EventLog Analyzerサーバー名/IPアドレス>:<EventLog AnalyzerがSyslog受信に使用するポート番号>
例)EventLog AnalyzerサーバーのIPアドレスが192.168.0.1、使用するポート番号が514の場合*.* @192.168.0.1:514
※「*.*」と「@」の間にはスペースを空けてください。
- 設定ファイル(rsyslog.conf)を保存します。
- rsyslogを再起動します。
systemctl restart rsyslog
Syslogデバイス追加後
自動追加されたSyslogデバイスは、[設定]タブ → [ログソースの構成] → [デバイスを管理] → [Syslogデバイス]タブに表示されます。
Syslogデバイスの登録に失敗する場合は、こちらのナレッジに記載のトラブルシューティングをご確認ください。
以上です。