EventLog Analyzer ナレッジベース

EventLog Analyzer ログ取得・保存の流れ


EventLog Analyzerのログ取得・保存の流れ(SyslogとWindowsログ)についてご紹介します。

 

[図解]

nagare2

1.
Syslogの場合:
Syslogポート(UDP513,514)をリッスンして、レポートを収集します。
Windowsの場合:
WMIを使用してWindowsからログを取得します。通信の際にはWMI・DCOM・RPCのポートが使用されます。

2.
リソースの肥大化に伴い十分なメモリ領域、または取得したログを処理するためのプロセスを準備できない際に、一時的に<ELA_Home>\data配下に所得したログの情報を保持します。

※詳細は以下のナレッジベースをご参照ください。
https://www.manageengine.jp/support/kb/EventLog_Analyzer/?p=1478

3.
収集したログは、生ログ(未加工のログ)としてアーカイブフォルダーに保存され、*1 解析(パース)・インデックスされた情報は*2indexesフォルダ(ManageEngine\elasticsearch\ES\data)に保存されます。

*1 ログの解析(パース)とは、収集したログの「ソース」・「メッセージ」・「時間」といった項目を、ログ種別ごとに自動的に認識し、振り分ける操作を指します。
*2 indexesフォルダ(ManageEngine\elasticsearch\ES\dataフォルダ)に格納されている情報は、ログの表示・検索の際に利用されます。本フォルダーはEventLog Analyzerフォルダー外に存在します。EventLog AnalyzerがLog360と連携していない(連携が解除された)場合は、indexデータは ManageEngine\EventLog Analyzer\ES\dataに保存されます。

4.
一定時間経過後、アーカイブフォルダは圧縮(*zipファイル形式)され、保管されます。

*ビルド12100以上では、gzファイル形式に圧縮されます。

以上です。