ネットワークアプライアンスのログ情報収集のため、Syslogサーバを構築しました。
ある日、ネットワークの調子が急に悪くなり原因調査を命じられたのですが、Syslogの設定をしていなかったために調査を断念した背景があります。
ただ、いかんせんお金をかけられないため、今回は無料版でやりました。
これからSyslogサーバを無料版で構築しようとされている方に少しでも参考になればと思います。
Syslogとは?
syslogはカーネルや各種のデーモン、アプリケーションなどが出力するログを取得し、あらかじめユーザの指定した方法でファイルに記録したり、特定のサーバに送信したりする。syslogを適切に設定することで、システムの状態を一元的に把握して記録に残すことができる。
出典:http://e-words.jp/w/syslog.html
ネットワーク機器で障害が発生した場合など、追跡調査を行うにはログ情報が全てになります、そのためsyslogサーバを構築して集中管理する手法がとられます。また、ログ情報は膨大になることが多いため、ネットワーク機器で保管できる容量に限度があり、容量の大きいサーバにログを送信して世代管理することが多いです。
Kiwi Syslog Server Free Editionをインストールする手順
昔はWindows Serverの標準機能でSyslogサーバを構築できたのですが、2008からはベンダーが販売しているソフトウェアをインストールしなければできません。
有償版はやはり結構な値段がしますので、今回はジュピターテクノロジー社の無料ソフトを使います。
無料版のSyslogサーバはどこまでできる?
Kiwi Syslog Server Free Editionでは、送信元IPアドレスが最大5台に制限(有償版は無制限)、ログのローテーション管理ができない、送信元IPアドレス単位でファイルを分割することができない、などなど・・
有償版に比べて様々な機能が利用できません。
ただ、バッチを自力で組めばログのローテーションや送信元IP単位で分割することは可能です。
そういうわけで、小規模なネットワーク環境であれば、無料版で必要十分だと思います。
製品ダウンロード
ジュピターテクノロジーのソフトウェアダウンロード画面にアクセス。
http://www.jtc-i.co.jp/freeware/index.html#kiwisyslog
ユーザー情報を入力したあと「プライバシーポリシーに同意して次へ進む」をクリック。
登録したメール宛てにダウンロードサイトのURLが送られてきますので、サイトにアクセスします。
ダウンロードアイコンをクリックしてください。Zipファイルがダウンロードされます。
製品のインストール
さきほどダウンロードしたZipファイルを解凍。
フォルダの中身を確認するとEXEファイルが一つありますので、これを実行します。
次の画面が表示されたら、インストールは完了です。「Finish」をクリックして終了します。
画面が起動したら続けて初期設定を済ませます。
初期設定の手順
ログファイルの出力先を変更
左ペインから「Rules」-「Action」-「Log to file」を選択します。
一番上のテキストボックスが出力先を表していますので、任意で出力先フォルダを変更できます。
変更を反映する場合は、下にある「Apply」をクリックします。
送信元IPアドレスの登録(最大5件)
IPアドレスを入力して「Add」をクリックします。
最大で5台分登録が可能です。
登録が終わりましたら、設定を反映するために「Apply」をクリックします。
ファイアウォールの設定変更
標準では、UDPの514番ポートを使って通信を行います。
Windowsファイアウォールを使用している場合は、下記の手順でポートを開放する必要があります。
「コントロールパネル」-「Windowsファイアウォール」の順に起動
↓
左ペインの「詳細設定」をクリック
↓
左ペインの「受信の規則」をクリック
↓
右ペインの「新しい規則」をクリック
①「ポート」を選択し、②「次へ」をクリック
①「UDP」を選択し、②「特定のローカルポート」で「514」を入力、③「次へ」をクリックします。
これでポート開放は終わりました。
ログの世代管理
ログファイルは1日単位でファイル出力されます。拡張子は*.txtです。
有料版では、出力単位を細かく設定できますが、無料版では自力でなんとかするしかありません。
私のところではあまりムズカシイことはやっていません。1ヶ月分を残し、それより過去のものは削除するようにしています。
この程度でよければ、簡単なバッチコマンドでなんとかなります。
D:¥logsがログの出力先フォルダを指しています。この中にある*.txtのファイルで30日以上前のファイルを削除する、という意味です。これをタスクとして毎日実行するだけでOKです。