Nagios Log Server – インプット設定目的この資料では、Nagios Log Server に「インプット」定義を追加する方法を説明します。対象読者この資料は、Nagios Log Server で「インプット」をカスタマイズする方法を知りたい Nagios Log Server 管理者を対象としています。「インプット」とはインプットは Nagios Log Server の「グローバル構成」ページの「インプット」セクションで設定します。インプットは Logstash の構文を使用して設定します。Nagios Log Server には設定が正しいかをテストする機能もあります。 Nagios Log Server にはデフォルトで以下４つのインプットが登録されています。 • Syslog：汎用的な Syslog/Linux ログ用。 RFC3164 syslog をサポートします。日付フォーマットは RFC3164 形式または ISO8601 をサポートします。詳しくは、Logstash Inputs:syslog をお読みください。ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 1 Nagios Log Server – インプット設定 UDP または TCP の 5544 ポートから送信されてくる全てのログが syslog としてラベルづけされます（type が syslog に変換されます）。これによりダシュボードやクエリで簡単にログを管理できるようになります。 • Windows Event Log (Default) ： Windows イベントログ用。 UDP または TCP の 3515 ポートから送信されてくる json 形式のログ（エンコード： CP1252）が eventlog としてラベルづけされます（type が eventlog に変換されます）。詳詳しくは、Logstash Inputs:tcp をお読みください。 • Import Files - Raw (Default)：ファイルインポート（raw データ）用。 UDP または TCP の 2056 ポートから送信されてくる全てのログが import_raw としてラベルづけされます（type が import_raw に変換されます）。詳しくは、Logstash Inputs:tcp をお読みください。 • Import Files - JSON (Default)：ファイルインポート用（JSON 形式）ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 2 Nagios Log Server – インプット設定 UDP または TCP の 2057 ポートから送信されてくる json 形式のログが import_json としてラベルづけされます（type が import_json に変換されます）。詳しくは、Logstash Inputs:tcp をお読みください。設定したインプットは Logstash のコンフィグレーションファイルに保存されます。以下は、インプット構造例です。 Input { <Input_type> { <Input_event> => “<event_value>” } } <Input_type> <Input_type> には、使用するインプットプラグインのタイプを指定します。メモ： Logstash には利用可能なインプットタイプがたくさんあります。Logstash で利用可能なインプットタイプについては、Logstash docs ページの「Inputs plugins」をご覧ください。 <Input_event> <Input_event> には、イベントを指定します。 <event_value> <event_value> には、このイベントの値を指定します。インプットの設定インプットは Nagios Log Server の「グローバル構成」ページで設定します。インプットの追加手順は以下の通りです。 Step 1. 画面上部のメニューで「管理」を選択します。ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 3 Nagios Log Server – インプット設定 Step 2. 画面左のメニューから「グローバル構成」を選択します。 Step 3. インプットセクションにある「インプットを追加 -> カスタム」をクリックします。入力フォームが表示されます。 Step 4. 「アクティブ」ボタン横のフィールドにインプットの名前を入力します。 Step 5. インプット定義を入力します。メモ：ここで記入した定義が Logstash のコンフィグレーションファイルに追加されます。 Step 6. 「保存」ボタンをクリックします。保存に成功すると、以下のメッセージが表示されます。ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 4 Nagios Log Server – インプット設定 Step 7. 「確認」ボタンをクリックし、保存したフィルタシンタックスが正しいかを検証します。この処理にはしばらく時間がかかります。フィルタシンタックスの検証が正常に完了すると、以下のメッセージが表示されます。 Step 8. 「閉じる」をクリックします。 Step 9. 画面左側のメニューから「構成適用」をクリックします。 Step 10. 「適用」ボタンをクリックします。ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 5 Nagios Log Server – インプット設定 Step 11. 確認画面で「はい、今すぐ適用します」をクリックします。メモ：全てのインスタンスに保存したコンフィグレーションが適用されます。 Step 12. 構成の適用が完了するまで待ちます。メモ：構成の適用が完了したインスタンスにはチェックマークが表示されます。適用が正常に完了すれば、この定義がインスタンス上で機能するようになります（定義がアクティブの場合）。全インスタンスの Logstash サービスが再起動されます。インプットの確認現在の構成を確認したい場合は、以下の操作を行ってください。 Step 1. 「管理 -> グローバル構成」を選択します。 Step 2. 「ビュー -> インプットファイル」を選択します。ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 6 Nagios Log Server – インプット設定 Step 3. 新しいウィンドウに選択したファイルの内容が表示されます。メモ：「すべてのファイル」を選択した場合、インプット、フィルタ、アウトプットすべての定義が表示されます。以下は、「ビュー -> すべてのファイル」の表示例です。 # # # # # # # # Logstash Configuration File Dynamically created by Nagios Log Server DO NOT EDIT THIS FILE. IT WILL BE OVERWRITTEN. Created Thu, 02 Apr 2015 10:36:49 +0900 # # Global Configuration # インプット { syslog { type => 'syslog' port => 5544 } tcp { type => 'eventlog' port => 3515 codec => json { charset => 'CP1252' } } tcp { type => 'import_raw' tags => 'import_raw' port => 2056 } tcp { type => 'import_json' ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 7 Nagios Log Server – インプット設定 tags => 'import_json' port => 2057 codec => json } syslog { type => 'syslog' port => 514 } } filter { if [program] == 'apache_access' { grok { match => [ 'message', '%{COMBINEDAPACHELOG}'] } date { match => [ 'timestamp', 'dd/MMM/yyyy:HH:mm:ss Z' ] } mutate { replace => [ 'type', 'apache_access' ] convert => [ 'bytes', 'integer' ] convert => [ 'response', 'integer' ] } } if [program] == 'apache_error' { grok { match => [ 'message', '¥[(?<timestamp>%{DAY:day} %{MONTH:month} %{MONTHDAY} %{TIME} %{YEA R})¥] ¥[%{WORD:class}¥] ¥[%{WORD:originator} %{IP:clientip}¥] %{GREEDYDATA:errmsg}'] } mutate { replace => [ 'type', 'apache_error' ] } } } # # Local Configuration # インプットの移動定義したインプットの処理順序を変更したい場合は、移動させたいインプット定義のボックスをマウスで選択し、希望の場所にドラッグ＆ドロップします。ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 8 Nagios Log Server – インプット設定移動が完了したら、保存と構成適用（「構成適用 -> 適用」）を実行します。インプット名の編集定義済みのインプット名を変更したい場合は、インプット名フィールド横のフィールドに新しい名前を入力します。アイコンをクリックし、編集が完了したら、保存と構成適用（「構成適用 -> 適用」）を実行します。インプット定義の編集定義済みのインプットを編集したい場合は、編集したいインプットのット定義を編集します。アイコンをクリックし、インプ編集が完了したら、保存と構成適用（「構成適用 -> 適用」）を実行します。インプットのコピー既存のインプット定義をコピーして新しいインプットを作成したい場合は、コピーしたいインプットのアイコンをクリックします。コピーしてできたインプットを編集します。ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 9 Nagios Log Server – インプット設定編集が完了したら、保存と構成適用（「構成適用 -> 適用」）を実行します。インプットの無効化定義済みのインプットを一時的に無効化したい場合は、無効化したいインプットの「アクティブ」ボタンをクリックします。無効化されたインプット定義は「非アクティブ」と表示されます。保存と構成適用（「構成適用 -> 適用」）を実行します。インプットの削除不要なインプットを削除したい場合は、削除したいインプットのアイコンをクリックします。保存と構成適用（「構成適用 -> 適用」）を実行します。ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 10 Nagios Log Server – インプット設定お問い合わせ弊社では、Nagios Log Server に関するご意見、フィードバックをお待ちしております。 Nagios Log Server についてご不明な点がございましたら、以下までお問い合わせください。ジュピターテクノロジー株式会社（Jupiter Technology Corp.）住所：〒183-0023 東京都府中市宮町 2-15-13 第 15 三ツ木ビル 8Ｆ URL： http://www.jtc-i.co.jp/ 電話番号： 042-358-1250 FAX 番号： 042-360-6221 ご購入のお問い合わせ：お問い合わせフォーム https://www.jtc-i.co.jp/contact/scontact.php メール [email protected] 製品サポートのお問い合わせ：カスタマーポータル https://www.jtc-i.co.jp/support/customerportal/ ジュピターテクノロジー株式会社 Nagios Log Server – インプット設定 rev 1.1 11 Nagios Log Server – インプット設定日本語マニュアル発行日 2015 年 08 月 06 日本マニュアル原文 Configuring-Nagios-Log-Server-inputs.pdf Revision 1.0 – October, 2014 （原文の内容を追加・変更しています）ジュピターテクノロジー株式会社 Nagios Log Server –インプット設定 rev 1.1