システムログの取り込みを設定する
システムログ(syslog)の取り込みをルールに適用できるようにするには、まずsyslogデータを送信するようにデバイスを設定し、イベントパターンを追加してパターンセットにパターンを適用してsyslog取り込みを設定し、syslogヘッダーを設定する必要があります。このセクションを参照して、パターン設定のクローンを作成したり、ヘッダー設定を編集したりすることもできます。
次のステップ
Paragon Insightsでsyslogを設定する際、ポート、デバイスのタイムゾーンなどを構成することを選択できます。オプション設定の詳細については、「 システム ログのオプション設定」を参照してください。
デバイス構成
syslogデータをParagon Insightsに送信するようにネットワークデバイスを設定します。ここでは、前のセクションのデバイス設定例を繰り返します。
set system syslog host 10.10.10.1 any any set system syslog host 10.10.10.1 allow-duplicates set system syslog host 10.10.10.1 structured-data
## 10.10.10.1 = ロードバランサーのIPアドレス
Syslogイベントパターンの設定
イベントパターンは、syslogイベントを監視するための設定です。監視するイベントごとにパターンを作成します。この例では、パターンを使用して4つのsyslogイベント(2つの構造化イベントと2つの非構造化イベント)を監視しています。
設定内容の詳細については、このセクションの最後にある使用上の注意を参照してください。
GUI で Syslog パターンを設定するには、次の手順に従います。
- 表示されるポップアップウィンドウで、snmp-if-link-down という名前の最初のパターンに次のパラメーターを入力します。
- プラス(+)をもう一度クリックし、fpc-offline という名前の 2 番目のパターンに次のパラメーターを入力します。
手記:[フィルター] フィールドに入力する完全な値は fpc%{NUMBER:fpc} です。 ポートのマーキング %{WORD:port-status}
パターンの使用上の注意
構造化された syslog の場合:
-
イベントID(SNMP_TRAP_LINK_DOWN)は、syslogメッセージ内にあるイベント名を参照します。
-
構造化された syslog メッセージでは、フィールドはオプションです。フィールドを設定しない場合、メッセージの属性名はフィールド名として扱われます。
-
ただし、この例では、ユーザー定義フィールドがあります。
-
フィールド名 (if-name、 snmp-index)はユーザーが定義したものです。
-
フィールドinterface-name値は、syslogメッセージからの属性です(例:
ge-0/3/1.0;このフィールドはif-nameに名前が変更されます -
フィールド snmp-interface-index 値は、syslogメッセージからの属性です(例:
ifIndex 539;このフィールドは snmp-indexに名前が変更されます。 -
ここでのフィールド snmp-interface-index は整数として定義されています。デフォルトでは、syslogメッセージから抽出されるフィールドは文字列型ですが、整数型では値が整数として扱われるよう変更されます
-
-
-
定数セクションはオプションで、この例ではユーザー定義の定数があります。
-
定数名 ifOperStatus はユーザー定義です。この場合、整数値は「2」です
-
-
構造化された syslog のフィルタ設定はオプションですが、必要に応じて設定することもできます。使用すると、フィルターで生成されたフィールドが syslog メッセージに含まれるフィールドを上書きします。
-
キー フィールド セクションは省略可能です。デフォルトでは、ホスト名とイベントIDがParagon Insightsで使用されるキーになります。ここにキーフィールドを追加します。この例では、 key-fields、すなわち interface-nameがあり、名前と値がsyslogメッセージの属性と値のペアから抽出されます
非構造化 syslog の場合:
-
イベント ID はユーザーが定義しています。この場合、それはPSEUDO_FPC_DOWNです
-
たとえば、非構造化 syslog
Nov 22 02:27:05 R1 fpc1 Marking ports downも、それに対応する構造化<166>1 2019-11-22T02:38:23.132-08:00 R1 - - - - fpc1 Marking ports downsyslog にも、イベント ID は含まれていません。
-
-
フィルタは、(適切な構造化された syslog とは異なり)フィールドを導出するために使用する必要があります。この例では
fpc%{NUMBER:fpc} Marking ports %{WORD:port-status}を使用しており、 FPC がフィールド名になり、 NUMBER はメッセージの特定の部分から文字を抽出するために使用される構文を示します (例: "2")。-
grok フィルターに一致する syslog メッセージの例は、「fpc2 Marking ports down」です。
-
-
定数 fpc-status - 文字列値は 'online' です。
フィルターについて:
-
パターンのデフォルトでは、フィールド値と定数値は文字列です。整数または浮動小数点数として扱うには、パターンのフィールドタイプを整数または浮動小数点数として定義します。
-
非構造化パターンの場合、メッセージは基本的にプレーンテキストとして送信され、それ自体にはフィールド情報が含まれないため、フィルターを構成する必要があります。
-
フィルターは、常にイベント ID の後のメッセージの部分と一致するように記述する必要があります。これにより、非構造化形式と構造化形式のどちらで到着したかに関係なく、フィルターはsyslogメッセージを解析できます。
-
たとえば、フィル ター
fpc%{NUMBER:fpc} Marking ports %{WORD:port-status}は、以下の syslog メッセージの両方のバージョンと一致します。-
構造:
<166>1 2019-11-22T02:38:23.132-08:00 R1 - - - - fpc1 Marking ports down -
非構造化:
Nov 22 02:27:05 R1 fpc1 Marking ports down
-
-
パターンセットにパターンを追加する
パターンを設定したら、それらをパターンセットにグループ化します。
- 表示されるポップアップウィンドウで、次のパラメータを入力します。
ヘッダーパターンの設定
Paragon Insightsでは、syslogメッセージのヘッダー部分を解析するパターンを設定できます。このリリースでは、ジュニパー以外のデバイスの非構造化syslogメッセージがサポートされています。以前のリリースでは、 RFC 5424 標準で規定されている構造化された syslog メッセージ、またはジュニパー デバイスの非構造化された syslog メッセージのいずれかのペイロード部分のみを解析できました。
一般的に、構造化されていないsyslogメッセージは、ジュニパーsyslogメッセージパターンと一致するものと見なされます。例えば、ジュニパーヘッダーパターンはParagon Insightsに組み込まれているため、設定する必要はありません。ただし、ジュニパー以外のデバイスの非構造化syslogメッセージが組み込みパターンと一致しない場合は、ユーザーが設定したヘッダーパターンの1つと最初の一致が行われます。一致が成功すると、フィールドが抽出されます。一致しない場合、受信 syslog メッセージはドロップされます。
ヘッダーパターンを設定するには:
ヘッダーパターンの編集
設定済みのヘッダーパターンを編集するには:
Syslogイベントパターンの複製
既存のSyslogパターンをクローニングするには、次の手順に従います。
パターンセットを複製する
既存のSyslogパターンセットを複製するには、次の手順に従います。
デバイスに複数の元 IPアドレスを設定する
Paragon Insights GUIで最初に設定されたものとは異なる送信元IPアドレスを使用してsyslogメッセージを送信するデバイスに対して、送信元IPアドレスを追加することができます。
追加の送信元 IP アドレスをサポートするには: