EventLog Analyzer ナレッジベース

EventLog Analyzerは、大規模/分散環境向けの構成として、ManagedサーバーとAdminサーバーの2層構成であるDistributedエディションを提供しています。なお、Managedサーバーはデータの収集・解析を行い、Adminサーバーは、Managedサーバーが収集したログデータをHTTP/HTTPS経由で受信することによる、統合監視の役割を持ちます。

以下では、ManagedサーバーとAdminサーバー間の通信の流れ、および各サーバーで保持するデータについてご紹介します。

■ データの流れ

※各データの使用用途については、ナレッジ：収集したログデータの格納場所をご参照ください。

------------------------------------------------------------

■ オプション「中央集中化アーカイブ」について

zipアーカイブデータをAdminサーバーに集約するためには、Adminサーバー側でオプション「中央集中化アーカイブ」を有効化する必要があります。本オプションを有効化しない場合、zipアーカイブデータはAdminサーバー側へ転送されず、各Managedサーバーが保持します。

図1 「中央集中化アーカイブ」の有効化

< オプションの有効化手順 >

1．[設定] > [管理者権限] > [アーカイブ設定] に移動します。
2．[集中型アーカイブ設定]をクリックします。
3．[中央集中化アーカイブを有効化]にチェックを入れ、Adminサーバーの情報を入力します。
4．[保存]をクリックして、設定内容を保存します。

また、オプションの有効化を行った場合、各サーバーが保持するデータをまとめたものが、以下になります。

図2 各サーバーが保持するデータ

※上記は中央集中化アーカイブを有効化した場合の図となります。
オプションを有効化しない場合、各サーバーが保持するデータは下記の通りです。

≪Managedサーバー側≫
・データベース
・アーカイブデータ
・zipアーカイブデータ
・インデックスデータ

≪Adminサーバー側≫
データベース(*1)

(Distributedエディションの注意点)

・サーバー設定
- EventLog Analyzer専用サーバーとすること(その他アプリケーションの稼働不可)
- アンチウイルスソフトを使用する場合は、EventLog Analyzerインストールフォルダーをスキャン対象から除外すること
- 仮想マシン上にEventLog Analyzerをインストールする場合は、CPUおよびRAMの使用割り当てをEventLog Analyzerインストールサーバーに対して100%とすること
※複数の仮想マシンを持つホスト上での、CPU/RAMの共有はEventLog Analyzerインストールサーバーに対するリソース不足を起こす可能性があり、パフォーマンス低下の原因になる可能性があります
- 仮想マシン作成時はシックプロビジョニング(領域の固定)を行なうこと
※シンプロビジョニングはサーバーのI/Oレイテンシを増加させ、EventLog Analyerのパフォーマンス低下の原因になる可能性があります
- スナップショットを使用する場合は、定期的なスケジューリングでのスナップショット取得は無効化すること
※スナップショットの取得はサーバーのI/Oレイテンシを増加させ、EventLog Analyzerのパフォーマンス低下の原因になる可能性があります
- データ保存先としてのNASの使用は、ローカルディスクへのデータ保存に比べて、保存プロセス(データファイル書き込み)に時間および負荷がかかるため、大規模環境においては推奨しておりません。
- EventLog Analyzer導入前には、インストール対象のディスクのI/Oレイテンシをご確認ください。

備考
・EventLog Analyzerは1つのインストールサーバーにおいて、最大で2,000 windowsイベントログ/秒、または10,000 syslog/秒を収集可能です。
実際に導入する際は、各Managedサーバー毎に監視対象デバイスを登録していただき、Adminサーバーのコンソールで一括管理していただけます。

Distributedエディション関連のその他ナレッジベース：

Distributedエディションの設定方法