Syslogを使用したルールの設定
syslog の取り込み設定が完了したら、syslog をセンサーとして使用してルールを作成できます。
このルールには、次の 3 つの要素が含まれます。
Syslogセンサー
対象のデータをキャプチャする 4 つのフィールド
インターフェイスがダウンしたことを示すトリガー
設定内容の詳細については、このセクションの最後にある使用上の注意を参照してください。
- [+ センサーの追加] ボタンをクリックし、[センサー] タブに次のパラメーターを入力します。
- 次に、[フィールド] タブに移動し、[ + フィールドの追加 ] ボタンをクリックして、次のパラメーターを入力して、 event-id という名前の最初のフィールドを構成します。
- [+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、fpc-slot という名前の 2 番目のフィールドを構成します。
- [+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、if-name という名前の 3 番目のフィールドを構成します。
- [+ フィールドの追加] ボタンをもう一度クリックし、次のパラメーターを入力して、snmp-index という名前の 4 番目のフィールドを構成します。
- 次に、[トリガー] タブに移動し、[ + トリガーの追加 ] ボタンをクリックして、次のパラメーターを入力して、 link-down という名前のトリガーを構成します。
ルールの使用上の注意
[センサー] タブ
センサー名 if-status-sensor はユーザー定義です。
センサーのタイプは syslog です。
パターンセット check-interface-status :パターンセットが以前に設定されていることを前提としています。
設定しない場合、[最大保持期間] の既定値は 1 です。
[フィールド] タブ
4 つのフィールドが定義されています。パターンは 4 つ以上のデータ フィールドをキャプチャしていますが、この例では 4 つの対象フィールドを定義します。これらのフィールドは、トリガー設定で使用されます。
フィールド名(event-id、 fpc-slot、 if-name、 snmp-index)はユーザーが定義します。
パス イベントID - 生のテーブルに syslog インジェストによって作成されたデフォルトフィールド。パターン設定から フィールドを参照します。
パス FPC - 非構造化パターン構成で使用されるフィルターからの値を参照します。
path if-name - パターン設定のインターフェイス名フィールドを参照します。 システムログの取り込みの設定を参照してください。
すべてのインターフェイスが欠落している場合のデータ - if-name 値が syslog メッセージに含まれていない場合は、文字列値「all interfaces」を使用します。
パス snmp-index - パターン設定からフィールドを参照します。
[トリガー] タブ
トリガー名の リンクダウン はユーザーが定義します。
頻度 2s - Paragon Insightsが2秒ごとにリンクダウンsyslogメッセージを確認する
term is-link-down - $event-id が like SNMP_TRAP_LINK_DOWN の場合、過去 300 秒間の syslog メッセージで、 赤色 にして $if-name(snmp-id: $snmp-index)のリンク ダウン メッセージを表示します。
$event-id - $ は、ルール フィールドの イベント ID を参照することを示します。
$if-name(snmp-id: $snmp-index)の場合はリンク ダウンします。 たとえば、「FPC 2 の ge-2/0/0 の場合はリンク ダウン」とします。
$if-name :フィールド値、つまりsyslogメッセージ内のインターフェイスの名前を参照します。
term is-fpc-down - $event-id が like PSEUDO_FPC_DOWN の場合、最後の 300 秒間の syslog メッセージで、 赤 にして FPC$fpc-slot の$if名に対して Link down というメッセージを表示します。
$event-id - $ は、ルール フィールドの イベント ID を参照することを示します。
$if名 - "すべてのインターフェイス"。
FPC$fpc-slot $if-name の場合はリンク ダウン します。たとえば、「FPC 2 のすべてのインターフェイスのリンク ダウン」などです。