VMware vRealize Log Insight 開発者ガイド

VMware vRealize Log Insight 開発者
ガイド
vRealize Log Insight 2.5
このドキュメントは新しいエディションに置き換わるまで、
ここで書いてある各製品と後続のすべてのバージョンをサ
ポートします。このドキュメントの最新版をチェックする
には、http://www.vmware.com/jp/support/pubs を参
照してください。
JA-001660-00
VMware vRealize Log Insight 開発者ガイド
最新の技術ドキュメントは VMware の Web サイト（http://www.vmware.com/jp/support/）にあります
VMware の Web サイトでは最新の製品アップデートも提供されています。
このドキュメントに関するご意見およびご感想がある場合は、[email protected] までお送りください。
Copyright © 2014 VMware, Inc. 無断転載を禁ず。著作権および商標情報。
VMware, Inc.
3401 Hillview Ave.
Palo Alto, CA 94304
www.vmware.com
2
ヴイエムウェア株式会社
105-0013　東京都港区浜松町 1-30-5
浜松町スクエア 13F
www.vmware.com/jp
VMware, Inc.
目次
1 vRealize Log Insight 開発者ガイドについて 5
2 Log Insight Ingestion API の使用 7
3 SSL のみの接続を強制する 9
4 API サービス 11
メッセージ/取り込みサービスの使用
インデックス
VMware, Inc.
11
15
3
VMware vRealize Log Insight 開発者ガイド
4
VMware, Inc.
vRealize Log Insight 開発者ガイドについ
て
1
『VMware vRealize Log Insight 開発者ガイド』には、Log Insight Ingestion API に関する情報が記載されています。
対象読者
この情報は、Log Insight Ingestion API の利用者を対象としています。読者は REST の概念および JSON のシリアル化
形式に精通している必要があります。
VMware, Inc.
5
VMware vRealize Log Insight 開発者ガイド
6
VMware, Inc.
Log Insight Ingestion API の使用
2
Log Insight Ingestion API を操作して、Log Insight サーバにイベントを送信できます。
すべての API 要求および応答の本体は、Content-Type: application/json ヘッダーフィールドを含む、UTF8 で
エンコードされた JSON 文字列です。成功すると、すべての呼び出しで HTTP 応答コード 200 が返されます。
VMware, Inc.
7
VMware vRealize Log Insight 開発者ガイド
8
VMware, Inc.
SSL のみの接続を強制する
3
Log Insight Web UI を使用して、サーバへの接続に SSL のみを許可するように Log Insight Agents および Ingestion
API を構成できます。
注意 Log Insight の現在のバージョンは、syslog SSL 接続をサポートせず、Log Insight Ingestion API でのみ機能し
ます。
開始する前に
管理者の編集権限を持っているユーザーとして Log Insight Web ユーザーインターフェイスにログインしていることを
確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス
の IP アドレスまたはホスト名です。
手順
1
構成ドロップダウンメニューアイコン
2
[構成] で [SSL] をクリックします。
3
[API サーバ SSL] で、[SSL 接続を要求する] チェックボックスを選択します。
4
[保存] をクリックします。
をクリックし、[管理] を選択します。
Log Insight API では、サーバへの SSL 接続のみが許可されます。非 SSL 接続は拒否されます。
VMware, Inc.
9
VMware vRealize Log Insight 開発者ガイド
10
VMware, Inc.
4
API サービス
Log Insight Ingestion API が提供するサービスのリストです。
メッセージ/取り込みサービスの使用
メッセージ/取り込みサービスによって HTTP POST 要求を使用して Log Insight サーバにイベントを送信できます。
メッセージ/取り込みサービスは次の構文を使用します。
プロトコル
値
HTTP
http://<loginsight_host:9000>/api/v1/messages/ingest/<agentId>
HTTPS
https://<loginsight_host:9543>/api/v1/messages/ingest/<agentId>
Web UI から SSL を強制した場合、使用できるのは HTTPS のみになります。第 3 章「SSL のみの接続を強制する (P. 9)」
を参照してください。
HTTP メソッド
POST
注意 Log Insight Ingestion API では、HTTP POST 要求あたり 100 KB の制限があります。
VMware, Inc.
11
VMware vRealize Log Insight 開発者ガイド
パラメータ
パラメータ
agentId
タイ
プ
文字
列
渡し先
説明
URL 内
UUID 標準の後に送信エージェントの ID が続きます。エージェントは、公式
Log Insight の Windows Agent、Linux Agent、または Ingestion API を利用し
ている任意のクライアントの場合があります。
Content-Type:
application/json
文字
列
Events array
アレ
イ
POST 本
Content-Type パラメータは、POST 本文でデータの種類を指定します。
文内
POST 本
文内
イベントのアレイ。各イベントは次の形式にする必要があります。
{"messages":
[{
"text": optional, message text as a string,
"timestamp": optional, timestamp encoded as
number of milliseconds since Unix epoch,
"fields": optional array of
[{
"name": the name of the field,
"content": optional, the content of the field,
"startPosition": optional, the start position
in the "text",
"length": optional, the length of the string
in the "text",
},...]
},...]
}
注意 Log Insight サーバは、指定された "timestamp" と Log Insight サーバ
上のローカル時刻を比較します。デフォルトである 10 分間の許容誤差範囲外の
"timestamp" を指定すると、Log Insight サーバは指定された "timestamp"
を無視してローカル時刻を使用します。"timestamp" が存在しない場合、
Log Insight サーバは着信時刻を使用します。
注意フィールドの "content" が存在しない場合は、"startPosition" お
よび "length" が存在し、"text" フィールド文字列の有効な位置を指している
必要があります。
HTTP 戻り値
名前
タイプ
説明
200 OK
Integer
標準 HTTP 応答コード
400 Bad Request
500 Internal Server Error
503 Service Unavailable
この応答は、サーバが過負荷になっているこ
とを示します。Retry-After 応答ヘッ
ダーは、推奨再試行時間を秒数で指定します。
要求の例
POST http://loginsight:9000/API/v1/messages/ingest/4C4C4544-0037-5910-805AC4C04F585831
Host: loginsight:9000
Connection: keep-alive
Content-Type: application/json
charset: utf-8
12
VMware, Inc.
第 4 章 API サービス
Content-Length: ??
{"messages": [{
"fields":
{"name":
{"name":
{"name":
{"name":
{"name":
{"name":
{"name":
{"name":
[
"Channel", "content": "Security"},
"EventID", "content": "4688"},
"EventRecordID", "content": "33311266"},
"Keywords", "content": "Audit Success"},
"Level", "content": "Information"},
"OpCode","content": "Info"},
"ProcessID", "content": "4"},
"ProviderName", "content": "Microsoft-Windows-Security-
Auditing"},
{"name": "Task", "content": "Process Creation"},
{"name": "ThreadID", "content": "64"}
],
"text": "A new process has been created.",
"timestamp": 1396622879241
}
]
}
応答の例
HTTP/1.1 200 OK
{"status":"ok","message":"messages ingested","ingested":18}
VMware, Inc.
13
VMware vRealize Log Insight 開発者ガイド
14
VMware, Inc.
インデックス
A
API
サービス 11
使用 7
メッセージ/取り込みサービス 11
S
SSL 接続の強制 9
た
対象読者 5
VMware, Inc.
15
VMware vRealize Log Insight 開発者ガイド
16
VMware, Inc.

Download Report