EventLog Analyzer ログ取得・保存の流れ
作成日:2016年4月19日 | 更新日:2021年3月1日
EventLog Analyzerのログ取得・保存の流れについてご紹介します。
[図解]
1.
Syslogサーバーの場合:
Syslogポート(UDP513,514)をリッスンして、レポートを収集します。
Windowsの場合:
WMIを使用してWindowsからログを取得します。通信の際にはWMI・DCOM・RPCのポートが使用されます。
2.
リソースの肥大化に伴い十分なメモリ領域、または取得したログを処理するためのプロセスを準備できない際に、一時的に<ELA_Home>\data配下に所得したログの情報を保持します。
※詳細は以下のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=1478
3.
取得したログのうち、*1解析(パース)されたログの解析情報や統計情報がデータベースストレージに格納されます。また、生ログ(未加工のログ)はアーカイブフォルダ、解析(パース)・インデックスされた情報は*2indexesフォルダ(ManageEngine\elasticsearch\ES\data)に格納されます。
*1 ログの解析(パース)とは、収集したログの「ソース」・「メッセージ」・「時間」といった項目を、ログ種別ごとに自動的に認識し、振り分ける操作を指します。
*2 indexesフォルダ(ManageEngine\elasticsearch\ES\dataフォルダ)に格納されている情報は、ログの表示・検索の際に利用されます。本フォルダーはEventLog Analyzerフォルダー外に存在します。EventLog AnalyzerがLog360と連携していない(連携が解除された)場合は、indexデータは ManageEngine\EventLog Analyzer\ES\dataに保存されます。
4.
一定時間経過後、アーカイブフォルダは圧縮(gzファイル)され、保管されます。
また、ログ取得・保存の流れを簡潔にフローチャートで表したものが、以下になります。
[フローチャート]
ログ取得・保存の流れ (手動インポートの場合)
EventLog AnalyzerではSyslogやアプリケーションログなど任意のログを、FTP/SFTPを使用してローカルあるいはリモートホストから定期的にインポートすることが可能です。
以下では手動インポート機能を使用した際の、ログ取得・保存の流れについてご紹介します。
[図解]
1.
ローカルコンピューターの場合:
画面右上の方にある[+追加] > [ログのインポート]より、EventLog Analyzerのログをインポートします。
リモートコンピューターの場合:
画面右上の方にある[+追加] > [ログのインポート]より、「リモートホスト」を選択後、リモートホストのログをインポートします。(ログの転送にはFTPまたはSFTP/SSHを使用します。どちらのプロトコルを使用するかは、設定時に選択することが可能です。)
2.
取得したログがサポートログの場合は、解析(パース)されます。解析情報や統計情報がデータベースストレージに格納されます。また、生ログはアーカイブフォルダ、インデックス情報はindexesフォルダ(ES\dataフォルダ)に格納されます。
※WindowsイベントログについてはWMIでの取得を推奨しており、インポートを行った際にはアーカイブファイルは生成されません。
3.
一定時間経過後、アーカイブファイルは圧縮され、保管されます。
エディションによりインポート可能なログ種別が異なります。
具体的なログ種別等、インポート仕様の詳細につきましては、以下のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=1425