Comments
Description
Transcript
Kiwi Syslog Server v9.4 ユーザーマニュアル
Kiwi Syslog Server ver.9.4 Syslog Server for Windows Rev. 1.2 2015.5.7 目次 1 Kiwi Syslog Server.................................................................................................................................................. 1 1.1 Kiwi Syslog Server の機能 .................................................................................................................................. 2 1.2 システム要件 ............................................................................................................................................................ 6 1.3 インストール ............................................................................................................................................................... 6 1.4 ライセンスキーの入手と登録 ...........................................................................................................................19 1.4.1 ライセンスキーの入手 ........................................................................................................................................................... 19 1.4.2 ライセンス登録手順:製品をインストールしたコンピューターがインターネットに接続できる場合....... 21 1.4.3 ライセンス登録手順:製品をインストールしたコンピューターがインターネットに接続できない場合 .. 26 1.5 Kiwi Syslog Server 9.4.x のライセンス非登録手順 ..................................................................................34 1.5.1 ライセンス非登録前の準備 ................................................................................................................................................ 34 1.5.2 既存のサーバーマシンに SolarWinds License Manager をインストールする手順 ..................................... 34 1.5.2.1 スタート -> SolarWinds -> SolarWinds License Manager Setup を実行する方法 ......................... 35 1.5.2.2 SolarWinds 社カスタマーポータルの Reset License から License Manager をダウンロードし、 License Manager をインストールする方法 ............................................................................................................................... 38 1.5.3 1.6 1.6.1 2 既存のライセンスの Deactivate(非登録)手順 .......................................................................................................... 43 Kiwi Syslog Server の初期設定 ......................................................................................................................47 概要 - インストール直後の設定..................................................................................................................................... 47 1.7 エンドユーザライセンス条項(EULA) ............................................................................................................48 1.8 謝辞 ............................................................................................................................................................................54 メイン表示ウィンドウ ............................................................................................................................................55 2.1 メイン表示ウィンドウ.............................................................................................................................................55 2.2 File メニュー .............................................................................................................................................................56 2.2.1 Setup (設定) .............................................................................................................................................................................. 56 2.2.2 Send test message to local host (テストメッセージ送信) ...................................................................................... 56 2.2.3 Purge (パージ) .......................................................................................................................................................................... 57 2.2.4 Import settings from INI file (設定ファイルのインポート) ................................................................................... 57 2.2.5 Export settings to INI file (設定情報を INI ファイルにエクスポート) ................................................................ 57 2.2.6 Create Tech-Support File(Zip) (サポートファイルの作成) ................................................................................ 58 2.2.7 Exit (終了)................................................................................................................................................................................... 59 2.3 Edit (編集)メニュー ...............................................................................................................................................59 2.3.1 Select All(全て選択) ............................................................................................................................................................ 59 2.3.2 Copy selected items to the clipboard(選択した項目をクリップボードにコピー)........................................ 59 2.3.3 Copy selected items as HTML the clipboard(選択した項目を HTML としてクリップボードにコピー) 60 Kiwi Syslog Server Ver.9.4 Rev. 1.2 2.4 View (ビュー)メニュー ..........................................................................................................................................60 2.4.1 View Syslog Statistics (syslog 統計の表示) ............................................................................................................... 60 2.4.2 View e-mail log file (E メールログファイルの表示) .................................................................................................. 60 2.4.3 View error log file (エラーログファイルの表示) ......................................................................................................... 60 2.4.4 Adjust width to fit screen (画面幅の自動調節) ....................................................................................................... 61 2.4.5 Highlighting options (ハイライト表示オプション)......................................................................................................... 61 2.4.6 Clear display (画面消去) ...................................................................................................................................................... 63 2.4.7 Choose font (表示フォント選択) ....................................................................................................................................... 64 2.4.8 Show/Hide Columns オプション (列の表示/非表示) ........................................................................................... 64 2.5 Manage (管理)メニュー ........................................................................................................................................64 2.5.1 Start the Syslogd service (Syslogd サービスの開始) ............................................................................................ 64 2.5.2 Stop the Syslogd service (Syslogd サービスの停止) ............................................................................................. 65 2.5.3 Ping the Syslogd service (Syslogd サービスに Ping) .............................................................................................. 65 2.5.4 Show the Syslogd service state (Syslogd サービス状態の表示)...................................................................... 65 2.5.5 Debug options (デバッグオプション)メニュー............................................................................................................... 66 2.5.5.1 Display the service version (サービスのバージョンの表示) .................................................................... 66 2.5.5.2 Get diagnostic information (診断情報の入手) ............................................................................................... 66 2.5.5.3 Reset the Syslogd service sockets (Syslogd サービスソケットのリセット) ......................................... 66 2.5.5.4 Clear all the DNS cache entries (すべての DNS キャッシュエントリのクリア) ................................. 67 2.5.5.5 Clear the Dynamic DNS cache entries (動的 DNS キャッシュのクリア) ............................................. 67 2.5.5.6 Apply new settings (新しい設定の適用) ........................................................................................................... 67 2.5.5.7 Retrieve last messages (最終メッセージの取得) .......................................................................................... 67 2.5.5.8 Enable Service Debug Mode (Debug モードの有効化) .............................................................................. 67 2.6 3 Help (ヘルプ)メニュー ..........................................................................................................................................68 2.6.1 Context based Help (ヘルプ、F1)..................................................................................................................................... 68 2.6.2 Help Topics (ヘルプトピックス) .......................................................................................................................................... 68 2.6.3 Online FAQ (オンライン FAQ) ............................................................................................................................................ 68 2.6.4 Purchase the licensed version (正規版の購入) ........................................................................................................ 68 2.6.5 Enter license details (ライセンスの登録)...................................................................................................................... 68 2.6.6 Make a suggestion or report a bug (ご要望またはバグレポート作成) ............................................................ 69 2.6.7 Check for update... (更新の確認) .................................................................................................................................... 69 2.6.8 About Kiwi Syslog Server (Kiwi Syslog Server について).................................................................................... 69 Syslog プロパティの設定....................................................................................................................................70 3.1 Syslog Server 初期設定ガイド ........................................................................................................................70 3.2 キーボードの使用方法 .......................................................................................................................................71 3.3 Rules / Filters / Actions (ルール/フィルター/アクション) ...................................................................71 3.3.1 ルールエンジンの動作.......................................................................................................................................................... 71 Kiwi Syslog Server Ver.9.4 Rev. 1.2 3.3.1.1 3.3.2 ルール、フィルター、アクションの追加/削除/名前変更方法................................................................... 72 フィルター .................................................................................................................................................................................... 76 3.3.2.1 Simple (シンプル) フィルター ................................................................................................................................. 76 3.3.2.2 Complex (複合) フィルター...................................................................................................................................... 78 3.3.2.3 RegExp (正規表現) フィルター .............................................................................................................................. 80 3.3.2.4 IP Range (アドレス範囲) フィルター .................................................................................................................... 84 3.3.2.5 IP Mask (IP マスク) フィルター .............................................................................................................................. 85 3.3.2.6 Priority (プライオリティ) フィルター ..................................................................................................................... 86 3.3.2.7 Time of day (時刻) フィルター ............................................................................................................................... 88 3.3.2.8 Time interval (タイムインターバル) フィルター .............................................................................................. 90 3.3.2.9 Threshold (閾値)フィルター ..................................................................................................................................... 91 3.3.2.10 Timeout (タイムアウト) フィルター ....................................................................................................................... 93 3.3.2.11 Input source(入力ソース) ....................................................................................................................................... 95 3.3.2.12 フィルターのテスト ....................................................................................................................................................... 96 3.3.3 アクション ..................................................................................................................................................................................... 97 3.3.3.1 Display (表示) ................................................................................................................................................................ 97 3.3.3.2 Log to file (ファイル記録) ......................................................................................................................................... 98 3.3.3.3 Forward to another host (他のホストへ転送).............................................................................................. 110 3.3.3.4 Play a sound (音を鳴らす) .................................................................................................................................... 114 3.3.3.5 Run external program (外部プログラム実行)............................................................................................... 115 3.3.3.6 E-mail message (E メールメッセージ送信) .................................................................................................... 118 3.3.3.7 Send Syslog message (Syslog メッセージ送信) ........................................................................................... 124 3.3.3.8 Log to Database (データベース記録) .............................................................................................................. 126 3.3.3.9 Log to NT event log (NT event log への記録) ............................................................................................ 132 3.3.3.10 Send SNMP Trap (SNMP トラップ送信) .......................................................................................................... 134 3.3.3.11 Stop processing message (メッセージ処理終了)........................................................................................ 136 3.3.3.12 Send ICQ instant message (ICQ インスタントメッセージ送信).............................................................. 136 3.3.3.13 Run Script (スクリプト実行).................................................................................................................................. 140 3.3.3.14 Send message via NotePage Pro (NotePage Pro 経由でメッセージ送信) ...................................... 178 3.3.3.15 Log to Syslog Web Access (Syslog Web Access への記録).............................................................. 181 3.3.3.16 Reset Flags/Counters (フラグ/カウンターのリセット) .............................................................................. 182 3.3.3.17 アクションのテスト ..................................................................................................................................................... 182 3.4 Schedules (スケジュール) ............................................................................................................................... 183 3.4.1 スケジューラーの動作........................................................................................................................................................ 183 3.4.2 On a schedule (スケジュールに従って実行) ............................................................................................................ 186 3.4.3 On app/service startup (アプリケーション/サービスの起動時に実行) ....................................................... 191 3.4.4 On app/service shutdown (アプリケーション/サービスの終了時に実行) .................................................. 192 Kiwi Syslog Server Ver.9.4 Rev. 1.2 3.4.5 Archive (アーカイブ) タスク ............................................................................................................................................. 192 3.4.6 Clean-up (クリーンアップ) タスク .................................................................................................................................. 201 3.4.7 Run Program (プログラム実行) タスク ....................................................................................................................... 203 3.4.8 Run Script (スクリプト実行) タスク............................................................................................................................... 206 3.4.9 スケジュールレポート ......................................................................................................................................................... 210 3.5 3.5.1 Custom File Formats (カスタムファイルフォーマット) ........................................................................................... 211 3.5.2 Custom DB formats (カスタム DB フォーマット) ..................................................................................................... 214 3.6 5 DNS Resolution (DNS の解決) ..................................................................................................................... 218 3.6.1 DNS Setup (DNS 設定)...................................................................................................................................................... 221 3.6.2 DNS Cache (DNS キャッシュ).......................................................................................................................................... 224 3.7 Modifiers (修正) .................................................................................................................................................. 227 3.8 Scripting (スクリプト) ......................................................................................................................................... 230 3.9 Display (ディスプレイ) ....................................................................................................................................... 231 3.10 Appearance (外観) ............................................................................................................................................. 234 3.11 E-mail (E メール) ................................................................................................................................................ 236 3.12 Alarms (アラーム) ............................................................................................................................................... 244 3.12.1 Min message count (最少メッセージカウント) ................................................................................................. 244 3.12.2 Max message count (最多メッセージカウント) ................................................................................................ 246 3.12.3 Disk space monitor (ディスク容量監視) ............................................................................................................ 247 3.12.4 Message queue monitor (メッセージキュー監視)........................................................................................... 248 3.13 4 Formatting (フォーマッティング) .................................................................................................................... 211 Input (入力) ........................................................................................................................................................... 250 3.13.1 UDP ....................................................................................................................................................................................... 251 3.13.2 TCP ....................................................................................................................................................................................... 253 3.13.3 Secure TCP....................................................................................................................................................................... 255 3.13.4 SNMP ................................................................................................................................................................................... 258 3.13.5 Keep-alive (キープアライブ) ...................................................................................................................................... 263 3.14 Test message (テストメッセージ) ............................................................................................................... 266 3.15 Defaults/Import/Export (デフォルト/インポート/エクスポート) .................................................... 268 3.16 Product Updates (製品の更新) ................................................................................................................. 269 Syslog Statistics (Syslog 統計) ウィンドウ ............................................................................................. 271 4.1 History [1hr] (1 時間の受信履歴) ............................................................................................................... 271 4.2 History [24hr] (24 時間の受信履歴) .......................................................................................................... 271 4.3 Severity (重要度) ............................................................................................................................................... 272 4.4 Top 20 Hosts (上位 20 ホスト) ...................................................................................................................... 272 4.5 Counters (カウンター)....................................................................................................................................... 272 Kiwi Syslog Server サービス版 ................................................................................................................... 275 Kiwi Syslog Server Ver.9.4 Rev. 1.2 6 5.1 Kiwi Syslog Server Service サービス版のシステム要件 .................................................................. 275 5.2 サービス版のインストール .............................................................................................................................. 275 5.3 サービス版の管理 ............................................................................................................................................. 277 5.4 サービス版の問題解決.................................................................................................................................... 279 5.5 Kiwi Syslog Server のアップグレード......................................................................................................... 279 5.5.1 アンインストール ................................................................................................................................................................... 279 5.5.2 新バージョンのインストール ............................................................................................................................................ 280 Syslog 送信デバイスの設定......................................................................................................................... 282 6.1 SNARE で Windows イベントログを取得する.......................................................................................... 282 6.2 3Com NetServer の設定 ................................................................................................................................ 283 6.3 3Com Total Control Chassis の設定 ........................................................................................................ 284 6.4 Alliant Cellular Gateway の設定 ................................................................................................................. 285 6.5 Allied Telesyn ルーターの設定.................................................................................................................... 286 6.6 Arris Cable Modem Termination System の設定 ................................................................................. 287 6.7 Extreme Summit スイッチの設定 ................................................................................................................ 287 6.8 Barracuda Spam Firewall の設定 ............................................................................................................... 288 6.9 Bay Networks デバイスの設定.................................................................................................................... 289 6.10 BinTec アクセスルーターの設定 ................................................................................................................ 296 6.11 Buffalo AirStation ルーターの設定 ............................................................................................................. 297 6.12 Checkpoint FW-1 ファイアーウォールの設定 ....................................................................................... 298 6.13 Cisco 3000 シリーズ VPN コンセントレータの設定 ............................................................................. 298 6.14 Cisco Catalyst スイッチの設定.................................................................................................................... 298 6.15 Cisco PIX の設定 .............................................................................................................................................. 299 6.16 Cisco ルーターの設定..................................................................................................................................... 300 6.17 Cisco ワイヤレスデバイス(Aironet)の設定............................................................................................. 301 6.18 D-Link DFL-700 ファイアーウォールの設定 ......................................................................................... 301 6.19 DLink DL-840V ルーターの設定 ................................................................................................................ 302 6.20 FortiGate アンチウィルスファイアーウォールの設定 ......................................................................... 302 6.21 FREESCO ルーター/ファイアーウォールの設定.................................................................................. 304 6.22 HP JetDirect プリンタの設定 ....................................................................................................................... 305 6.23 Intertex ADSL ルーターの設定 ................................................................................................................... 305 6.24 Linksys ファイアーウォールの設定 ............................................................................................................ 306 6.25 Linksys ワイヤレス VPN ルーターの設定 ............................................................................................... 307 6.26 Lucent ルーターの設定 .................................................................................................................................. 307 6.27 Meinberg タイムサーバーの設定 ................................................................................................................ 308 6.28 Netgear / ZyXEL RT311/RT314 .................................................................................................................. 311 6.29 Netgear ADSL ファイアーウォールルーター DG834 .......................................................................... 311 Kiwi Syslog Server Ver.9.4 Rev. 1.2 7 6.30 Netgear FVS318 VPN ファイアーウォール ............................................................................................. 312 6.31 Netgear RP114 ルーター ................................................................................................................................ 312 6.32 NetScreen ファイアーウォールの設定 ..................................................................................................... 314 6.33 Nortel Networks ルーターの設定 ............................................................................................................... 315 6.34 Pack X IDScenter の設定 ............................................................................................................................... 316 6.35 SnapGear SOHO+ の設定 ............................................................................................................................. 316 6.36 SonicWall ファイアーウォールの設定 ........................................................................................................ 317 6.37 Symantec ファイアーウォール/VPN 200 ................................................................................................. 318 6.38 Unix マシンの設定 ............................................................................................................................................ 318 6.39 VegaStream テレフォニーゲートウェイの設定 ....................................................................................... 320 6.40 Watchguard Firebox と Dshield の連携設定 .......................................................................................... 321 6.41 WatchGuard SOHO ファイアーウォールの設定 .................................................................................... 321 6.42 W-Linx MB ブロードバンドルーターの設定 ............................................................................................ 322 6.43 ZyXEL ZyWALL 10 の設定 ............................................................................................................................. 322 SNMP トラップ送信デバイスの設定 ........................................................................................................... 324 7.1 8 9 Cisco IOS SNMP トラップのサポート設定 ............................................................................................... 324 Syslog Server エラーと E メールログ ......................................................................................................... 325 8.1 エラーログ ............................................................................................................................................................. 325 8.2 エラーログファイルの表示 .............................................................................................................................. 325 8.3 SMTP メールログ................................................................................................................................................ 325 8.4 E メールログファイルの表示 .......................................................................................................................... 325 Syslog プロトコル .............................................................................................................................................. 326 9.1 Syslog ファシリティ ............................................................................................................................................ 326 9.2 Syslog レベル ...................................................................................................................................................... 327 9.3 Syslog プライオリティ ....................................................................................................................................... 329 9.4 転送 ......................................................................................................................................................................... 329 9.5 Syslog RFC 3164 ヘッダーフォーマット .................................................................................................... 330 9.6 Kiwi Reliable Delivery Protocol (KRDP) .................................................................................................... 330 9.6.1 10 KRDP エラーメッセージ..................................................................................................................................................... 334 問題の解決 ..................................................................................................................................................... 336 10.1 問題を解決するには ......................................................................................................................................... 336 10.2 Windows XP SP2 / Windows 2003 Server SP1 上で使用する場合の注意事項...................... 337 11 上級者向け情報 ............................................................................................................................................ 339 11.1 Kiwi Syslog Server のレジストリ設定 ......................................................................................................... 339 11.1.1 Display (表示) – 有効列 ......................................................................................................................................... 340 11.1.2 表示 – デフォルトの行の高さ.................................................................................................................................. 341 11.1.3 統計メール配信時刻 ..................................................................................................................................................... 341 Kiwi Syslog Server Ver.9.4 Rev. 1.2 11.1.4 サービス – 開始/停止 タイムアウト.................................................................................................................... 342 11.1.5 サービス – プロパティ更新タイムアウト ............................................................................................................. 342 11.1.6 サービス – アプリケーション間通信ポート ........................................................................................................ 343 11.1.7 サービス – 依存関係 .................................................................................................................................................. 343 11.1.8 サービス – デバッグ開始.......................................................................................................................................... 344 11.1.9 DNS – ビジー時に待機を無効にする................................................................................................................... 345 11.1.10 DNS – 最大キャッシュサイズ ................................................................................................................................... 346 11.1.11 DNS キャッシュの参照失敗........................................................................................................................................ 346 11.1.12 DNS 設定- DNS/NetBIOS キューバッファバースト係数............................................................................ 347 11.1.13 DNS 設定 - DNS/NetBIOS キューバッファクリア率.................................................................................... 347 11.1.14 DNS 設定 - DNS/NetBIOS キュー制限 ........................................................................................................... 348 11.1.15 DNS 設定 – デバッグモード.................................................................................................................................... 348 11.1.16 メッセージバッファサイズ ............................................................................................................................................. 349 11.1.17 E メール – 件名追加テキスト .................................................................................................................................. 350 11.1.18 E メール – 本文追加テキスト .................................................................................................................................. 351 11.1.19 E メール – 送信メッセージの制限 ......................................................................................................................... 352 11.1.20 ファイル書き込みキャッシュ ....................................................................................................................................... 353 11.1.21 ファイルへの記録 – 日付区切り文字 .................................................................................................................. 356 11.1.22 ファイルへの記録 – 時間区切り文字 .................................................................................................................. 357 11.1.23 ファイルへの記録 – エンコード形式 .................................................................................................................... 358 11.1.24 スクリプトエディター ....................................................................................................................................................... 359 11.1.25 スクリプトのタイムアウト .............................................................................................................................................. 360 11.1.26 データベースコマンドのタイムアウト ...................................................................................................................... 361 11.1.27 アーカイブ – 置換文字............................................................................................................................................... 361 11.1.28 アーカイブ – 区切り文字 ........................................................................................................................................... 362 11.1.29 アーカイビング – 旧アーカイブ名規則を使用する ........................................................................................ 363 11.1.30 アーカイビング – アーカイブ処理時 Temp フォルダのパス指定 ............................................................ 363 11.1.31 アーカイビング – Temp ファイルの有効化 ......................................................................................................... 364 11.1.32 エラーログフォルダ ........................................................................................................................................................ 364 11.1.33 メールログフォルダ ........................................................................................................................................................ 365 11.1.34 KRDP - ACK タイマー .................................................................................................................................................. 365 11.1.35 KRDP – キープアライブタイマー............................................................................................................................. 366 11.1.36 KRDP - ディスクキャッシュフォルダ ...................................................................................................................... 366 11.1.37 KRDP - Rx デバッグ .................................................................................................................................................... 367 11.1.38 KRDP - Tx デバッグ .................................................................................................................................................... 367 11.1.39 KRDP – キューサイズ ................................................................................................................................................. 368 11.1.40 KRDP – キューの最大サイズ(MB) ........................................................................................................................ 368 Kiwi Syslog Server Ver.9.4 Rev. 1.2 11.1.41 KRDP – 自動接続 ......................................................................................................................................................... 369 11.1.42 KRDP - 接続時間 ......................................................................................................................................................... 369 11.1.43 KRDP – 送信スピード .................................................................................................................................................. 370 11.1.44 KRDP – アイドルタイムアウト................................................................................................................................... 370 11.1.45 KRDP – SeqNum の追加 ............................................................................................................................................ 371 11.1.46 Syslogd プロセスのプライオリティ .......................................................................................................................... 371 11.1.47 送信元アドレス – カスタムの開始 / 終了タグ .............................................................................................. 373 11.1.48 ルール - 最大ルール数 ............................................................................................................................................ 374 11.1.49 データベースロガー – キャッシュクリアの頻度 ............................................................................................... 375 11.1.50 データベースロガー - キャッシュのタイムアウト ............................................................................................ 375 11.1.51 データベースロガー – データベースキャッシュを無効化 ........................................................................... 376 11.2 コマンドライン引数 ............................................................................................................................................. 376 11.2.1 起動時デバッグ ............................................................................................................................................................... 376 11.2.2 サービス版のインストール.......................................................................................................................................... 377 11.2.3 サービス版のアンインストール ................................................................................................................................. 378 11.3 Kiwi Syslog Server の自動インストール .................................................................................................. 378 11.4 INI ファイルの使用(自動設定) ................................................................................................................... 379 11.5 Kiwi Syslog Server で使用するポート ........................................................................................................ 380 12 その他の Kiwi 製品 ...................................................................................................................................... 381 12.1 Kiwi CatTools ....................................................................................................................................................... 381 12.2 Kiwi SyslogGen .................................................................................................................................................... 381 12.3 Kiwi Log Viewer ................................................................................................................................................... 382 12.4 Kiwi Secure Tunnel ............................................................................................................................................ 383 12.5 Kiwi Harvester ..................................................................................................................................................... 383 リリースノート................................................................................................................................................................. 385 Kiwi Syslog Server Ver.9.4 Rev. 1.2 変更履歴 この資料の変更履歴は以下の通りです。 版 発行日 変更内容 第 1.0 版 2013/11/18 新規 第 1.1 版 2015/04/08 ・v9.4.2 リリース (リリースノート追加) ・Copyright 更新 ・問い合わせ窓口をカスタマーポータルのみに更新 ・システム要件等に Windows Server 2012 R2 追加 ・.NET Framework 3.5/3.5 SP1 に修正 ・ライセンス登録・非登録作業時のキャプチャ、文言の更新、スタ イルと書式の統一 ・SyslogCatchAll-%DateISO.txt へ変更 ・メイン表示ウィンドウの日本語化 ・レジストリ MsgBufferSize デフォルト値:500,000 へ変更 ・レジストリ DebugStart セクション\Options へ変更 ・Display キャプチャ 25 用に差し替え ・誤字、スペルミスの訂正、段落番号振り直し、インデント調整 ・目次をレベル 4 まで表示するように変更 ・Alarm 設定の更新 第 1.2 版 2015/05/07 ・バッファリング機能のデフォルト値 記載修正(500,000 へ) ・「3.3.1.1 ルール、フィルター、アクションの追加/削除/名前変更 方法」追加 Kiwi Syslog Server Ver.9.4 Rev. 1.2 1 Kiwi Syslog Server Program copyright 1998 - 2014 SolarWinds, Inc. All rights reserved. 最新版の入手先: www.kiwisyslog.com サポート: http://www.solarwinds.com/support/ • 本日本語マニュアルはできうる限り忠実に実際のプログラムに沿うよう書き換えてありま すが、検証が取れない部分等は原文のまま翻訳してあります。参照先のリンク切れ等が 含まれておりますが、ご了承ください。 • 製品版を弊社よりご購入された方は文中のサポート窓口として示されている SolarWinds 社の連絡先ではなく、下記の弊社カスタマーポータルからご連絡ください。 カスタマーポータル: https://www.jtc-i.co.jp/support/customerportal/index.php Kiwi Syslog Server は syslog メッセージをネットワークデバイスから受け取り、それらをリアルタイム に表示します。 さらに、syslog メッセージに対し下記のようなイベント処理を行います。 • メッセージをスクロールウィンドウに表示 • メッセージをテキストファイルに記録 • 他の syslog サーバーへのメッセージ転送 • ODBC データベースへの記録 • NT アプリケーションイベントログへの書き込み • SMTP 経由でメッセージを E メール送信 • 音によるアラーム発生 • ポケットベルシステムなどの外部プログラムの実行 • SNMP トラップメッセージの送信 • NotePager Pro による通知 • Kiwi Syslog Web Access への記録 受信メッセージに対してアクションを実行します。メッセージはホスト名、ホストの IP アドレス、プラ イオリティ、本文あるいは時刻でフィルター可能です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 1 インストール用パッケージのインストール方法: Kiwi Syslog Server は以下の2通りの方法でインストールできます。 • Windows XP、Windows 2003、Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows Server 2012 R2 に Windows サービス(as a Service)として • Windows XP、Windows 2003、Windows Vista、Windows 7、Windows Server 2008、Windows Server 2008 R2、Windows 8、Windows Server 2012、Windows Server 2012 R2 の標準的な 対話式アプリケーション(as an Application)として サービス版(インストール時に ”as a Service” を選択)は Windows サービスとして自動的に実行さ れます。操作のためにログオンする必要はありません。 アプリケーション版(インストール時に ”as an Application” を選択)は対話方式で実行され、ユー ザーがログインしている間だけ操作できます。 Kiwi Syslog Service Manager プログラムを使用すれば、インターフェイスから Windows サービスの 設定・管理を行うことができます。 BSD Syslog プロトコルは RFC3164 で定義されています。 http://community.roxen.com/developers/idocs/rfc/rfc3164.html syslog プロトコルについては次の Web ページを参照してください。 http://www.sans.org/infosecFAQ/unix/syslog.htm (リンク切れ) 注記: Kiwi Syslog Server v9.3.1 以降は評価版の提供になります。評価版は正規登録版と同じプログラ ムですが、ライセンス登録なしで 14 日間、フリーで使用できます。 Kiwi Syslog Server 評価版は下記の弊社 Web サイトからダウンロードができます。 http://www.jtc-i.co.jp/product/kiwisyslogserver/kiwisyslogserver.html 1.1 Kiwi Syslog Server の機能 Kiwi Syslog Serve 有する機能および特長は以下の通りです。 • GUI ベースによる syslog 管理 Kiwi Syslog Server Ver.9.4 Rev. 1.2 2 • 受信メッセージのリアルタイム表示 • 最大 25 個の仮想ディスプレイ • 受信したすべてのメッセージ、プライオリティまたは日時フィルター後のメッセージの記録 または転送 • プライオリティ、日時によるログファイルの自動分割 • UDP、TCP または SNMP 経由で送信されたメッセージの受信 • UDP または TCP 経由でのメッセージ転送 • 1時間ごとの音または E メールによるアラーム通知 • 音や E メールによるログファイルサイズに関するアラーム通知 • 1日の syslog トラフィック統計の E メール送信 • システムトレイへの最小化 • 送信元アドレスを保持して他の syslog ホストへのメッセージ転送 • syslog 統計機能(直近 24 時間/直近 1 時間の傾向グラフ) • 高負荷時でもメッセージ喪失の無いバッファリング機能 • 送信元ホスト IP の名前解決機能とドメイン消去機能 • 最大 100 エントリの DNS キャッシュ • 最大 10 スレッドの先行 DNS ルックアップ • プログラム外観を変更する 6 種類のスキン • 表示フォント、表示色、背景の選択 • Windows サービスとして実行 • RFC3164 送受信オプション • コンテキストベースのヘルプ Kiwi Syslog Web Access への記録 • ネットワーク上のどこからでも syslog データを閲覧できる機能 Kiwi Syslog Server Ver.9.4 Rev. 1.2 3 • カスタムフィルタやハイライトルールを設定した Web Access ビューの保存 ログファイル自動分割機能 • ホスト名 • ホスト IP アドレス • ドメイン名 • WELF フォーマットタグ • 入力ソース(TCP/UDP/SNMP) フィルターオプション • IP アドレス、ホスト名、メッセージテキストによるフィルター • 不要なホストメッセージの除去あるいはホスト名によって異なるロギングアクション • 特定キーワードを含むメッセージのフィルター • 期間、閾値、タイムアウトを含むいくつかのフラグ、カウンターによるフィルター アクション • フィルタリング、文脈解析、カスタム統計およびそれらに引き続いて実行するアクションな どを実現する強力なスクリプトエンジン • ODBC データベース(Access/SQL/Oracle/MySQL/Informix 等)へのロギング • Windows NT アプリケーションイベントログへの書き込み • フィルター条件に合致したときの任意の音声ファイルによるアラーム • E メールによる syslog メッセージ転送 • フィルター条件に合致した syslog メッセージの他ホストへの転送 • SNMP トラップ送信 (Version 1、Version 2) • NotePager Pro によるポケットベルや SMS メッセージの送信 • 外部プログラムの実行 • 下記の受信 syslog メッセージの値を外部プログラム、E メールメッセージまたは syslog メッ Kiwi Syslog Server Ver.9.4 Rev. 1.2 4 セージへ渡す • メッセージテキスト • メッセージ時刻 • メッセージ日付 • ホスト名 • ファシリティ • レベル • アラーム閾値 • 現在の syslog 統計 バッファリング機能 • デフォルト値 500,000 の syslog メッセージバッファにより高負荷時でのメッセージ喪失があ りません。 • 1,000 の E メールメッセージバッファにより高負荷時やメールサーバーの一時的な停止時 での E メールメッセージロスがありません。 DNS機能 • メッセージテキストに含まれる IP アドレスの名前解決 • IP アドレスをホスト名で置換、または IP アドレスの後にホスト名を追加 • 20,000 エントリの DNS キャッシュ。最大 1,000,000 エントリをサポート(レジストリで "DNSCacheMaxSize"に"1000000"を設定) • 200 スレッドの先行 DNS ルックアップ アラームオプション • 任意の音声ファイルの実行 • 任意の外部プログラムの実行(ポケットベルや SMS など) その他の特長 Kiwi Syslog Server Ver.9.4 Rev. 1.2 5 • Kiwi Syslog Server で作成したログファイルの管理や調査の柔軟性が高められています。 特に大規模なネットワークを管理している管理者にとって最新のステータスとイベント情報 をタイムリーに得られるという点は非常に大きな魅力です。拡張されたログファイルの自 動分割(Auto Split)機能を使用すれば、受信メッセージを容易に分類しそれぞれのログフ ァイルに記録することができます。その後、これらのログファイルをもとに特定のデバイス、 イベント、条件、あるいは興味に従ったレポートを作成することができます。 • 拡張されたフィルター機能で必要なアクションコントロールを多様かつ容易に行えます。多 数の拡張アクションがメッセージの受信、フィルター、ルール処理の結果、自動的に実行 されます。特に多くのアラート機能はモバイル環境の増加に対応できます。 • 大容量バッファ機能。大規模なネットワークに対応でき、一時的なメッセージの大量発生 時も信頼できるメッセージ処理が可能です。 • カスタマーポータル/E メールによる優先処理サポート。フリーウェア版ユーザーより優先 的にサポートを受けることができます。 1.2 システム要件 システム要件は以下の通りです。 注記: 基本的に Kiwi Syslog Server をインストールするサーバーマシンには、最小限必要なアプリケーシ ョンのみをインストールするようにしてください。他のアプリケーションが同時に稼動していると Kiwi Syslog Server のパフォーマンス劣化をまねく可能性があります。 OS Windows Server 2012 (x64*), Windows Server 2012 R2 (x64*), Windows Server 2008 R2 (x64*), Windows Server 2008 (x86、x64*), Windows 8 (x86、x64*), Windows 7 (x86、x64*) Windows Vista (x86、x64*), Windows 2003 (x86、x64*), Windows XP (x86、x64*) * Kiwi Syslog Server は 64 ビットシステムの WOW64 (Windows-on-Windows 64-bit)上で起動します。 CPU 1.2 GHz 以上 メモリー 256MB 以上 ディスク 350 MB 以上 必須モジュール .NET Framework 3.5/3.5 SP1 Web Access SQL CE – 4GB 以上のディスクスペース 1.3 インストール ここでは、Kiwi Syslog Server を手動でインストールする手順について説明します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 6 注記: • ローカル管理者権限を持つアカウントで Kiwi Syslog Server をインストールするコンピュー タにログインしてください。 • インストールを行う前に、アンチウィルスソフトを一時的に停止してください。 • 以前のバージョンでの設定内容は、新しいバージョンに引き継がれます。 • 事前に Kiwi Syslog Server のプロセスが停止していることを確認してください。 • 各 OS の必要要件については、以下のサイトをご参照ください。 http://www.kiwisyslog.com/products/kiwi-syslog-server/system-requirements.aspx (Kiwi Syslog Web Access のインストールに必要なコンポーネントは、自動でダウンロードおよ びインストールされます。) Kiwi Syslog Server のインストール手順 1. Kiwi Syslog Server のインストーラーパッケージ(.zip ファイル)を入手します(弊社 Home ペ ージから評価版ソフトウェアをダウンロードいただけます)。 2. Kiwi Syslog Server をインストールするコンピュータに管理者権限をもつアカウントでログイ ンします。 3. Kiwi Syslog Server のインストーラーパッケージ(.zip ファイル)を展開します。 4. .NET Framework 3.5 / 3.5 SP1 を有効にします。 5. exe ファイル(例: Kiwi_Syslog_Server_9.4.X.Eval.setup.exe)を実行します。 6. セキュリティの警告画面が表示された場合は、実行 をクリックします。 7. License Agreement (ライセンス同意)画面で I Agree をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 7 8. Kiwi Syslog Server をサービスとしてインストールする場合は Install Kiwi Syslog Server as a Service、アプリケーションとしてインストールする場合は Install Kiwi Syslog Server as an Application を選択し、Next をクリックします。 注記: サービス版とアプリケーション版の違いについては、こちらをご参照ください。 9. (前の手順で Install Kiwi Syslog Server as a Service を選択した場合は)サービス起動に 使用するアカウントを選択し、Next をクリックします。初期値は LocalSystem アカウント です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 8 注記: 前の手順で Install Kiwi Syslog Server as an Application を選択した場合は、この画面 は表示されません。 10. Kiwi Syslog Web Access および Web Access に記録するルールを作成するかを選択し、Next をクリックします。初期設定では、Kiwi Syslog Web Access をインストールし、Web Access に 記録するためのルールを作成します。 注記: Kiwi Syslog Web Access をインストールしない場合は、Install Kiwi Syslog Web Access (Kiwi Syslog Web Access をインストールする)のチェックをはずしてください。 必要に応じてインストールするコンポーネントを選択し、Next をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 9 11. 必要に応じてインストールフォルダを変更し、Install をクリックします。 初期値は、C:\Program Files\Syslogd (64bit OS の場合は C:\Program Files (x86)\Syslogd)です。 12. Installing 画面にインストール処理の進捗が表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 10 13. (Kiwi Syslog Web Access をインストールしない場合は) 手順 28 にすすみます。 14. (Kiwi Syslog Web Access をインストールする場合は) Kiwi Syslog Web Access の Setup 画 面が表示されます。次へをクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 11 15. Prerequisites(事前要件)画面に、Kiwi Syslog Web Access のセットアップ前に必要なプログ ラムがリストされます。次へをクリックします。 注記: チェックを付けたプログラムが自動的にダウンロードまたはインストールされます。 Kiwi Syslog Web Access をインストールするコンピュータがインターネットに接続できない場合 は、事前に必要なプログラムを手動でインストールしてください。 必要なプログラムについては、上記の Kiwi Syslog Web Access Setup 画面をご参照ください。 16. Welcome to the SolarWinds Kiwi Syslog Server Web Access Prerequisites Wizard 画面で、 Kiwi Syslog Server Ver.9.4 Rev. 1.2 12 次へをクリックします。 17. End-User License Agreement(エンドユーザライセンス同意)画面で、I accept ~を選択し、 Next をクリックします。 18. 必要に応じて作成するショートカットメニューを選択し、Next をクリックします。初期設定では、 Kiwi Syslog Server Ver.9.4 Rev. 1.2 13 デスクトップ、スタートメニュー、クイック起動ツールバーにショートカットが作成されます。 19. 必要に応じて Kiwi Syslog Web Access のインストール先を変更し、Next をクリックします。 初期設定では、C:\Program Files\SolarWinds\Kiwi Syslog Web Access\ (64bit OS の場合は C:\Program Files (x86)\SolarWinds\Kiwi Syslog Web Access\) 注記: Kiwi Syslog Server 本体のインストール先と異なるフォルダを選択できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 14 20. 必要に応じて Web サイトのルートディレクトリと使用するポートを指定します。 注記: Website Root Folder フィールドには、前の手順の Installation Folder フィールドで 指定したパスと同じパス\html を指定してください。異なるパスを指定すると Kiwi Syslog Server のインストールに失敗します(下図の赤枠の部分を共通にしてください。) 21. Check Port (ポートチェック)をクリックすると、指定したポート番号が現在使用中かどうか を確認できます。初期値は 8088 です。他のアプリケーションが既にこのポートを使用して いる場合、Kiwi Syslog Web Access のインストールに失敗します。未使用のポート番号に変 更してください。 22. (Kiwi Syslog Web Access のインストール時に Windows ファイアーウォールの例外を自動定 義しない場合は)Automatically configure Web Server exception with Windows Firewall (Windows ファイアーウォールに Web サーバーの例外を自動構成する)チェックボックスの チェックを外します。 23. Next をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 15 24. Kiwi Web Access の初期ログインユーザ(Administrator)のログイン名とパスワードを 設定し、Next をクリックします。 25. Ready to Install (インストール準備)画面で Install をクリックします。 26. Kiwi Syslog Web Access のインストールが開始します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 16 27. Completing the Kiwi Syslog Web Access Setup Wizard 画面で Finish をクリックします。 28. Completing the Kiwi Syslog Server 9.4.X Setup Wizard 画面で Finish をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 17 注記: 初期設定で Run Kiwi Syslog Server 9.4.X が選択されています。この状態で Finish を クリックすると、Kiwi Syslog Service Manager が起動します。 ライセンスを保有している場合は、インストール後にライセンスを適用してください。 詳しい手順については「1.4 ライセンスキーの入手と登録」をご参照ください.。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 18 1.4 ライセンスキーの入手と登録 ここでは、ライセンスキーを入手し、登録する手順について説明します。 1.4.1 ライセンスキーの入手 1. SolarWinds カスタマーID とパスワードを準備します。 注記: Kiwi Syslog Server のライセンスをご購入いただきますと、ご登録のメールアドレス宛 に SolarWinds 社から SolarWinds カスタマーID と パスワード を通知する電子メールが届 きます。 2. (Kiwi Syslog Server をインストールしたコンピュータがインターネットに接続できる場合は) Kiwi Syslog Server をインストールしたコンピュータにログインし Web ブラウザを開きます。 (Kiwi Syslog Server をインストールしたコンピュータがインターネットに接続できない場合 は)インターネットに接続できる別のコンピュータにログインし Web ブラウザを開きます。 注記: バージョン 6 以前の Internet Explorer では、SolarWinds 社のカスタマーポータルサイ トにログインできません。Internet Explorer バージョン 7 以上または別の Web ブラウザをご 利用ください。 3. SolarWinds Customer Portal(カスタマーポータル)ページを開きます。 URL: http://www.solarwinds.com/customerportal/ 4. 手順1で準備した Customer ID(カスタマーID)と Password(パスワード)を入力し、Log in (ログイン)をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 19 5. 初回の場合は、ログインユーザーの登録が必要です。必要な情報を記載しログインユーザ ーを登録し作成します。SolarWinds 社のカスタマーポータル プロファイルについての詳し い 説 明 は 、 https://www.jtc-i.co.jp/support/documents/ksddoc.html 「 SolarWinds 社 Customer Portal のログイン説明」をご参照ください。 https://www.jtc-i.co.jp/support/documents/solarwinds_docs/portalloginmanual_solarwinds. pdf カスタマーポータルが開きます。 LICENCE MANAGEMENT タブのプルダウンメニューより、 License Management を選択します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 20 + をクリックしてリストを開きます。 6. ライセンスを登録したい製品を見つけ、 7. Activation Key(アクティベーションキー)をクリップボードにコピーします。(このコピーした Activation Key(アクティベーションキー)は次のライセンス登録手順で使用します。 1.4.2 ライセンス登録手順:製品をインストールしたコンピューターがインターネットに接 続できる場合 1. Kiwi Syslog Server9.4.x を起動します。Help の Enter license details をクリックします。 Activate KiwiSyslog ウィンドウが表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 21 2. Activate KiwiSyslog ウィンドウの Activation Key(アクティベーションキー)フィールドに、コピ ーした Activation Key(アクティベーションキー)を貼り付けます。(貼り付ける Activation Key (アクティベーションキー)は「1.4.1 ライセンスキーの入手」の手順で取得した Activation Key(アクティベーションキー)です。) 3. インターネットアクセスにプロキシサーバーを使用している場合は、I access the internet through a proxy server(プロキシサーバーを経由してインターネットにアクセスします)を選 択し、プロキシサーバーのアドレスとポート番号を入力します。 4. Next をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 22 5. First Name(名)、Last Name(姓)、Email(required)(E メール)、Phone Number(電話番号)を 入力し、Next をクリックします。(半角英数をご使用ください。電話番号に-(ハイフン)は入 れないでください。) 6. Finish(完了)をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 23 ライセンスが登録されました。 7. License Type が Commercial になっており Activation Key が表示されていることを確認しま す。 8. Restart Syslog Server をクリックします。 注記: 保守期間の残日数が 90 日以下の場合、以下の画面が表示されます。 表示される保守期間の残日数が実際の保守期間の残日数と違う場合があります。 Remind Me Later をクリックしてこの画面を閉じます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 24 9. Kiwi Syslog Server9.4.x を起動します。 Help の About Kiwi Syslog Server をクリックします。 About ウィンドウが表示されます。 10. License Type が Commercial になっており Activation Key が表示されていることを確認しま す。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 25 1.4.3 ライセンス登録手順:製品をインストールしたコンピューターがインターネットに接 続できない場合 1. Kiwi Syslog Server9.4.x を起動します。Help の Enter license details をクリックします。 Activate KiwiSyslog ウィンドウが表示されます。 2. This server does not have internet access(このサーバーはインターネットにアクセスできま せん)を選択した後、Next をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 26 3. Copy Unique Machine ID(一意のマシン ID のコピー)をクリックします。 Unique Machine ID (一意のマシン ID)がクリップボードにコピーされました。 4. メモ帳などのテキストエディタで新しいドキュメントを作成し、コピーしたデータを貼り付けた 後、保存します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 27 5. このドキュメントをインターネットにアクセスできるコンピューターに移します。(例: 共有フォ ルダ、USB 経由など) 6. インターネットアクセスが可能なコンピューターで、Web ブラウザを起動し、SolarWinds 社の カスタマーポータル (http://www.SolarWinds.com/customerportal/)を開きます。 7. Customer ID(カスタマーID)と Password(パスワード)を入力して、Log in をクリックします。 8. 初回の場合は、ログインユーザーの登録が必要です。必要な情報を記載しログインユーザ ーを登録し作成します。 SolarWinds 社のカスタマーポータル プロファイルについての詳しい説明は「SolarWinds 社 Customer Portal のログイン説明」をご参照ください。 https://www.jtc-i.co.jp/support/documents/solarwinds_docs/portalloginmanual_solarwinds. pdf Kiwi Syslog Server Ver.9.4 Rev. 1.2 28 9. カスタマーポータルが開きます。 LICENCE MANAGEMENT タブのプルダウンメニューより、 License Management を選択し ます。 + 10. ライセンスを登録したい製品を見つけ、 をクリックしてリストを開きます。 ライセンスを登録したい製品を見つけ、Manually Register License (手動でライセンスを登 録する)をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 29 11. Continue をクリックします。 12. 名前、E メールアドレス、電話番号、コンピューター名、手順 2 で保存した Unique Machine ID をそれぞれ適切なフィールドに入力し、Generate license File(ライセンスファイル生成)をク リックします。(半角英数をご使用ください。電話番号には-(ハイフン)を入れないでください) Kiwi Syslog Server Ver.9.4 Rev. 1.2 30 13. License file here(ライセンスファイルはここです)のリンク先をクリックし、ライセンスファイル を保存します。 メモ: 登録した E メールアドレス宛にもライセンスファイルが送付されます。 14. ライセンスキーファイルを共有フォルダにおきます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 31 15. インターネットに接続できない Kiwi Syslog Server サーバーの Activate KiwiSyslog 画面から、 Browse(参照)をクリックし、共有フォルダに置いたライセンスキーファイルを License Key File location に指定します。 Next をクリックします。 16. Finish(完了)をクリックします。 17. ライセンスが登録されました。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 32 18. License Type が Commercial になっており Activation Key が表示されていることを確認しま す。 19. Restart Syslog Server をクリックします。 注記: 保守期間の残日数が 90 日以下の場合、以下の画面が表示されます。 表示される保守期間の残日数が実際の保守期間の残日数と違う場合があります。 Remind Me Later をクリックしてこの画面を閉じます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 33 1.5 Kiwi Syslog Server 9.4.x のライセンス非登録手順 本章では、Kiwi Syslog Server 9.4.x のライセンス非登録手順について説明します。 本章で扱う Kiwi Syslog Server 9.4.x のライセンス非登録手順は、以下の通りです。 ・ライセンス非登録前の準備 ・既存のサーバーマシンに SolarWinds License Manager をインストールする手順 ・既存のライセンスの Deactivate(非登録)手順 注記:既存のライセンスの Deactivate(非登録)の必要がなければ、上記の SolarWinds License Manager をインストールする必要はありません。 また、サーバーマネージャーより .NET Framework 3.5 /3.5 SP1 を有効にしてください。 重要:必ずライセンス非登録(解除)を行ってから Kiwi Syslog Server のアンインストールを実施し てください。もし、先にアンインストールした場合は、再度 Kiwi Syslog Server をインストールしてか らライセンス非登録を実施してください。(もし、その手順でもライセンス非登録ができなかった場 合は、弊社カスタマーポータルからご連絡ください。) カスタマーポータル: https://www.jtc-i.co.jp/support/customerportal/index.php ライセンス非登録前の準備 1.5.1 必要なバックアップをライセンス非登録前に実施することをお勧めします。 また、既存のサーバーマシンがインターネットに接続されていることを確認します。 注記:インターネットに接続されていないと SolarWinds License Manager による既存のライセンスの Deactivate(非登録)はできませんのでご注意ください。 既存のサーバーマシンに SolarWinds License Manager をインストールする手 1.5.2 順 SolarWinds License Manager をインストールする方法は 2 通りあります。 ① スタート -> SolarWinds -> SolarWinds License Manager Setup を実行する方法 ② SolarWinds 社カスタマーポータルの Reset License から License Manager をダウンロ ードし、License Manager をインストールする方法 Kiwi Syslog Server Ver.9.4 Rev. 1.2 34 1.5.2.1 スタート -> SolarWinds -> SolarWinds License Manager Setup を実行する方 法 1. スタート -> SolarWinds -> SolarWinds License Manager Setup をクリックします。 2. SolarWinds License Manager のインストーラーが起動します。 ライセンス契約書の同意す るをクリックします。 3. インストールをクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 35 注意: 以下のようなメッセージが表示された場合は、最新版の License Manager がインストールされ ませんので、「License Manager をダウンロードして実行する手順」を参照して、最新版の License Manager をインストールしてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 36 4. License Manager がインストールされました。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 37 1.5.2.2 SolarWinds 社カスタマーポータルの Reset License から License Manager を ダウンロードし、License Manager をインストールする方法 1. インターネットアクセスが可能なコンピューターで、Web ブラウザを起動し、SolarWinds 社の カスタマーポータル http://www.SolarWinds.com/customerportal/を開きます。 2. Customer ID(カスタマーID)と Password(パスワード)を入力して、Log in をクリックします。 初回の場合は、ログインユーザーの登録が必要です。必要な情報を記載しログインユーザ ーを登録し作成します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 38 SolarWinds 社のカスタマーポータル プロファイルについての詳しい説明は「SolarWinds 社 Customer Portal のログイン説明」をご参照ください。 https://www.jtc-i.co.jp/support/documents/solarwinds_docs/portalloginmanual_solarwinds. pdf 3. カスタマーポータルが開きます。 LICENSE MANAGEMENT タブのプルダウンから、Reset License (ライセンスのリセット)をク リックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 39 4. SolarWinds 社の License Manager のページが表示されます。 (https://customerportal.solarwinds.com/Licenses/LicenseManager) 画面右側の[Download License Manager]のリンクをクリックし、LicenseManager.zip をダウン ロードします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 40 5. License Manager をインストールするコンピューターに管理者権限をもつアカウントでログイ ンします。 6. License Manager のインストーラーパッケージ(.zip ファイル)を展開します。 7. LicenseManager.exe をダブルクリックしてインストールを開始します。 8. SolarWinds License Manager のインストーラーが起動します。 ライセンス契約書の「同意する」をクリックします。 9. インストールをクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 41 10. License Manager がインストールされました。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 42 1.5.3 既存のライセンスの Deactivate(非登録)手順 1. SolarWinds License Manager の License Product の欄に Kiwi Syslog Server v9 のライセン スがあることをご確認後、チェックします。 2. 次に、Deactivate(非登録)が選択できるようになるので、Deactivate(非登録)をクリックしま す。 3. Deactivate licenses(ライセンスの非登録)が表示されたら、Next をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 43 4. 「This server has internet access.」を選択し、Next をクリックします。 5. □Yes, I want to deactivate these licenses にチェックを入れて、「Deactivate」をクリックしま す。 6. 以下のように表示されます。Finish をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 44 7. ライセンスが Not Applicable であることを確認します。これでライセンスが非登録されました。 注記:既存のサーバーマシンがインターネットに接続されていないと Network Communication Error メッセージが表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 45 Kiwi Syslog Server Ver.9.4 Rev. 1.2 46 1.6 Kiwi Syslog Server の初期設定 Kiwi Syslog Server は可能な限り柔軟に、容易に使用できるように設計されています。そのため初 期設定は非常に簡単です。 Kiwi Syslog Server の設定に必要なことは、アプリケーションを希望の場所にインストールすること だけです。デフォルトでは UDP 514 ポートで syslog メッセージを受信します。 基本構成での利用においては、これ以上の設定は必要ありません。 Kiwi Syslog Server が syslog メッセージを受信するには、送信ネットワークデバイス側で Kiwi Syslog Server をインストールしたシステムの IP アドレスに、syslog を送信するように設定します。 多くのデバイスの設定手順については「Syslog 送信デバイスの設定」を参照してください。 本書に記載されていない syslog メッセージ送信可能デバイスについての情報をお持ちでしたら、 下記からお知らせください。次回のマニュアル更新時に情報を追加させていただきます。 http://www.solarwinds.com/support/ 1.6.1 概要 - インストール直後の設定 Kiwi Syslog Server のインストール直後は、フィルターなしのルールが 1 つだけ定義されており、受 信するすべての syslog メッセージに対しこのルールで定義されているアクションが適用されます。 ルールには Display アクションと Log to file アクションの 2 つが定義されています。受信したメッセ ージは、Display アクションによってリアルタイムに画面表示され、Log to file アクションによって SyslogCatchAll-%DateISO.txt(%DateISO には日付が入ります)という名前のファイルに その情報が記録されます。このファイルは Kiwi Syslog Server のインストールフォルダの \Logs デ ィレクトリにあります。 これは、ごく基本的な初期設定です。このルールをオフにしたり削除したりした場合は、メッセージ の表示もファイルへの記録も行われません。 syslog メッセージを管理するためのフィルターやアクションは、これ以外にも必要に応じて作成し、 追加することができます。 注記: Kiwi Syslog Server のインストール時に Kiwi Syslog WebAccess も合わせてインストールし た場合は、上記に加えて Kiwi Syslog WebAccess にログを記録するルールが定義されています。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 47 フィードバック – コメントやバグ プログラムについてのコメントや改良提案は下記のサイトからお知らせください。 http://www.solarwinds.com/support/ また、下記の Thwack (SolarWinds コミュニティ) Web フォーラムもご利用いただけます。 http://thwack.solarwinds.com/community/tools_tht/kiwi-syslog ライセンスを弊社よりご購入された方は、下記の弊社カスタマーポータルからご連絡ください。 カスタマーポータル: https://www.jtc-i.co.jp/support/customerportal/index.php 1.7 エンドユーザライセンス条項(EULA) SOLARWINDS END USER LICENSE AGREEMENT IMPORTANT -- READ CAREFULLY BEFORE USING THIS SOFTWARE: THIS IS A LEGAL AGREEMENT BETWEEN YOU (EITHER AN INDIVIDUAL OR A SINGLE ENTITY) AND SOLARWINDS WORLDWIDE, LLC ("SOLARWINDS") COVERING YOUR USE OF ANY SOLARWINDS SOFTWARE APPLICATION ("SOFTWARE") THAT YOU HAVE ACQUIRED. YOU ACKNOWLEDGE UPON INSTALLATION OF ANY SOFTWARE THAT YOU HAVE REVIEWED AND AGREED TO ALL OF THE TERMS AND CONDITIONS SET FORTH IN THIS DOCUMENT. IF YOU DO NOT AGREE WITH THESE TERMS AND CONDITIONS, DO NOT INSTALL OR USE THE SOFTWARE. IF YOU HAVE ALREADY INSTALLED THIS SOFTWARE AND DO NOT AGREE TO THESE TERMS, PLEASE UNINSTALL THE SOFTWARE AND IMMEDIATELY DISCONTINUE ITS USE. YOU AGREE THAT YOUR USE OF THE SOFTWARE ACKNOWLEDGES THAT YOU HAVE READ THIS LICENSE, UNDERSTAND IT, AND AGREE TO COMPLY WITH ITS TERMS AND CONDITIONS. BY CLICKING ON THE "ACCEPT" BUTTON, OPENING THE PACKAGE, DOWNLOADING THE PRODUCT, OR USING THE EQUIPMENT THAT CONTAINS THIS SOFTWARE, YOU ARE CONSENTING TO BE BOUND BY THIS AGREEMENT. IF YOU DO NOT AGREE TO ALL OF THE TERMS OF THIS AGREEMENT, CLICK THE "DO NOT ACCEPT" BUTTON AND THE INSTALLATION PROCESS WILL NOT CONTINUE. IN ADDITION: (1) IF YOU PURCHASED THE PRODUCT, RETURN THE PRODUCT TO THE PLACE OF PURCHASE FOR A FULL REFUND; OR, (2) IF YOU ARE OTHERWISE ATTEMPTING TO DOWNLOAD THE PRODUCT AND YOU DO NOT AGREE WITH THE TERMS OF THIS AGREEMENT, DO NOT COMPLETE THE DOWNLOAD; OR, (3) IF YOUR SOFTWARE WAS INCLUDED IN EQUIPMENT WHICH YOU PURCHASED AND YOU Kiwi Syslog Server Ver.9.4 Rev. 1.2 48 DO NOT AGREE WITH THE TERMS OF THIS AGREEMENT, DO NOT USE THE SOFTWARE. As used herein, "EULA" means an end user license agreement. This EULA is a legal agreement between you (either an individual or an entity) and SolarWinds and its suppliers and licensors (collectively "SolarWinds") for the Software which may include components provided by suppliers and third-parties to SolarWinds. "Software" means the object code versions of the product, together with the updates, upgrades, modifications or enhancements owned and provided by SolarWinds to you pursuant to this agreement. As used herein, "Computer" means the hardware, if the hardware is a single computer system whether physical or virtual, or shall mean the computer system with which the hardware operates, if the hardware is a computer system component. This Software is an application made up of individual software components, each of which was individually written and copyrighted. ANY THIRD PARTY SOFTWARE, INCLUDING ANY THIRD PARTY'S PLUG-IN, THAT MAY BE PROVIDED WITH THE SOFTWARE IS INCLUDED FOR USE AT YOUR OPTION. IF YOU CHOOSE TO USE SUCH THIRD PARTY SOFTWARE, THEN SUCH USE SHALL BE GOVERNED BY SUCH THIRD PARTY'S LICENSE AGREEMENT. SOLARWINDS IS NOT RESPONSIBLE FOR ANY THIRD PARTY'S SOFTWARE AND SHALL HAVE NO LIABILITY FOR YOUR USE OF THIRD PARTY SOFTWARE. YOU MAY ACCESS ANY THIRD PARTY LICENSE INCLUDED WITH THE SOFTWARE YOU HAVE PURCHASED AT WWW.SOLARWINDS.COM. The third-party components contained in this Software may include or contain software licensed under the following licenses, GNU General Public License ("GPL") or Lesser GNU General Public License ("Open Source Programs"). These Open Source Programs are licensed pursuant to a EULA that permits the End User to copy, modify, and redistribute the software, in both source code and binary code forms. These EULAs can be located at http://www.solarwinds.com/support/3rdPartySoftware/3rdParty.htm. Nothing in this EULA limits End User's rights under, or grants the End User rights that supersede, the terms of any applicable Open Source Program EULA. The Software is a collective work under U.S. Copyright Law. Upon installation of this Software, SolarWinds hereby grants you the following license to use the Software in your facility subject to the terms contained herein subject to the licenses referenced herein. Kiwi Syslog Server Ver.9.4 Rev. 1.2 49 1. GRANT OF LICENSE. Upon payment of the fees applicable under this Agreement, SolarWinds hereby grants to you a perpetual, non-exclusive, nontransferable license to use the Software and any related documentation ("Documentation") subject to the following terms: a) For each registered serial number and Software license key that you purchase, you may: (i) use the Software on any single Computer; and (ii) copy the Software for back-up and archival purposes, provided any copy must contain all of the original Software's proprietary notices within the United States and its territories or any other country to which this program can legally be exported. b) The Software is "in use" on a computer when it is loaded into temporary memory or installed in permanent memory (Hard Drive, CD-ROM or other storage device). You agree to use your best efforts to prevent and protect the contents of the Software and Documentation from unauthorized use or disclosure. You agree that you will register this Software and its Serial Number only with SolarWinds and that you will only install a Software License Key obtained directly from SolarWinds. 2. LICENSE RESTRICTIONS. a) You may not: (i) permit other individuals to use the Software except under the terms listed above; (ii) modify, translate, reverse engineer, decompile, disassemble (except to the extent that this restriction is expressly prohibited by law) or create derivative works based upon the Software or Documentation; (iii) copy the Software or Documentation (except for back-up or archival purposes); (iv) rent, lease, transfer, or otherwise transfer rights to the Software or Documentation; (v) remove any proprietary notices or labels on the Software or Documentation. Any such forbidden use shall immediately terminate your license to the Software. The recording, playback and download features of the Software are intended only for use with public domain or properly licensed content and content creation tools. You may require a patent, copyright, or other license from a third party to create, copy, download, record or save content files for playback by this Software or to serve or distribute such files to be played back by the Software. b) You may not delete, remove, hide, move or alter any Icon, Image or Text that represents either the company name of SolarWinds or any derivation thereof. All representations to the company name "SolarWinds" must remain as originally distributed regardless of the presence or absence of a trademark or copyright symbol. c) This EULA does not grant you any rights in connection with any trademarks or service marks of SolarWinds or its suppliers. All title and intellectual property rights in and to the Software Kiwi Syslog Server Ver.9.4 Rev. 1.2 50 (including but not limited to any images, photographs, animations, video, audio, music, and text incorporated into the Software, the accompanying printed materials, and any copies of the Software) are owned by SolarWinds, its suppliers, or are publicly available. All title and intellectual property rights in and to the content which may be accessed through use of the Software is the property of the respective content owner and may be protected by applicable copyright or other intellectual property laws and treaties. This EULA grants you no rights to use such content. All rights not expressly granted under this EULA are reserved by SolarWinds and its suppliers. You agree that you will not export or re-export the Software to any country, person, or entity subject to U.S. export restrictions. you specifically agree not to export or re-export the Software (i) to any country to which the U.S. has embargoed or restricted the export of goods or services, or to any national of any such country, wherever located, who intends to transmit or transport the products back to such country; (ii) to any person or entity who you know or have reason to know will utilize the Software or portion thereof in the design, development, or production of nuclear, chemical or biological weapons; or (iii) to any person or entity who has been prohibited from participating in U.S. export transactions by any federal agency of the U.S. government. d) You agree that you shall only use the Software and Documentation in a manner that complies with all applicable laws in the jurisdictions in which you use the Software and Documentation, including, but not limited to, applicable restrictions concerning copyright and other intellectual property rights. e) SolarWinds strictly prohibits the use of the Software to sell or provide Network Monitoring Services to users who are not individually licensed by SolarWinds except as described herein. • If you represent a Web Hosting company (also referred to as Managed Service Providers, Internet Service Providers, or xSPs), you may use the Software to test and report the applications, servers and equipment Resources you use to provide hosting services to your customers; • If you operate a Data Center or provide Infrastructure Services, you may use the Software to test and report applications, servers and equipment whether such Resources are owned by you or your customers; • If you are an IT Consultant, IT Solution Provider, or Facilities Management Provider, who deploy or maintain networks, security solutions, communications solutions, hardware, software components, upgrades, etc, you are required to individually license each of your customers. Kiwi Syslog Server Ver.9.4 Rev. 1.2 51 3. TITLE. Title, ownership, rights, and intellectual property rights in and to the Software and Documentation shall remain in SolarWinds and/or its suppliers. The Software and the Services are protected by the copyright laws of the United States and international copyright treaties. Title, ownership rights and intellectual property rights in and to the content accessed through the Software and the Services ("Content") shall be retained by the applicable Content owner and may be protected by applicable copyright or other law. This license gives you no rights to such Content. 4. DATA RIGHTS. You should be aware that SolarWinds' Software contains functions for collecting information related to your use of the Software. SolarWinds may also collect and track non-personally identifiable information about you including but not limited to your IP address, the type of hardware you use and the type of browser you employ. SolarWinds analyze any and all of your data (registration data, and use history). SolarWinds intends to use such data for internal purposes only, including without limitation for the purposes of responding to your requests for information and for contacting you. SolarWinds may provide aggregated statistics about your use of the Software to third parties, but such information will be aggregated so that it does not identify a particular individual or company. 5. LIMITED WARRANTY. SolarWinds warrants to you that for a period of thirty (30) days following delivery of the Software to you that the Software will perform substantially in conformance with the published documentation. SolarWinds does not warrant that the Software will meet all of your requirements or that the use of the Software will be uninterrupted or error-free. The foregoing warranty applies only to failures in operation of the Software that are reproducible in standalone form and does not apply to: (i) Software that is modified or altered by you or any third party that is not authorized by SolarWinds; (ii) Software that is otherwise operated in violation of this Agreement or other than in accordance with the published you documentation; or (iii) failures which are caused by other software or hardware products. To the maximum extent permitted under applicable law, SolarWinds and its supplier's entire liability and your exclusive remedy under the express warranty for any breach of the foregoing warranty, SolarWinds will, at its sole option and expense, promptly repair or replace any medium or Software which fails to meet this limited warranty or, if SolarWinds is unable to repair or replace the medium or the Software, refund to you the applicable license fees paid upon return, if applicable, of the nonconforming item to SolarWinds (in the case of a subscription license, the unused prepaid subscription fees). The warranty is void if failure of the Software has resulted from accident, abuse or misapplication. Any replacement Software will be warranted for 30 days. SOLARWINDS WARRANTS THAT THE SOFTWARE AND RELATED DOCUMENTATION DO NOT Kiwi Syslog Server Ver.9.4 Rev. 1.2 52 INFRINGE ON ANY PATENTS, COPYRIGHTS OR TRADEMARKS OR CONSTITUTE MISAPPROPRIATION OF THIRD PARTY PROPRIETARY INFORMATION. EXCEPT AS EXPRESSLY STATED IN THIS SECTION, SOLARWINDS IS PROVIDING AND LICENSING THE SOFTWARE TO YOU "AS IS" WITHOUT WARRANTY OF ANY KIND, EITHER EXPRESS OR IMPLIED, INCLUDING, BUT NOT LIMITED TO, THE IMPLIED WARRANTIES OF MERCHANTABILITY, NON-INFRINGEMENT, AND FITNESS FOR A PARTICULAR PURPOSE. 6. LIMITATION OF LIABILITY. TO THE MAXIMUM EXTENT PERMITTED BY APPLICABLE LAW, IN NO EVENT WILL SOLARWINDS BE LIABLE TO YOU FOR MORE THAN THE AMOUNT OF LICENSE FEES THAT YOU HAVE PAID TO SOLARWINDS IN THE PRECEDING (12) TWELVE MONTHS OR BE LIABLE TO YOU FOR ANY INCIDENTAL OR CONSEQUENTIAL DAMAGES, INCLUDING LOST PROFITS, LOST SAVINGS, OR OTHER INCIDENTAL OR CONSEQUENTIAL DAMAGES, ARISING OUT OF THE USE OR INABILITY TO USE THE SOFTWARE OR SOFTWARE PROGRAMS, EVEN IF SOLARWINDS OR A DEALER AUTHORIZED BY SOLARWINDS HAD BEEN ADVISED OF THE POSSIBILITY OF SUCH DAMAGES. 7. GENERAL. If any provision of this Agreement is held to be unenforceable, that shall not affect the enforceability of the remaining provisions. This Agreement shall be governed by the laws of the State of Texas and of the United States, without regard to any conflict of laws provisions, except that the United Nations Convention on the International Sale of Goods shall not apply. 8. COMPLETE AGREEMENT. This Agreement constitutes the entire agreement between the Parties and supersedes all prior or contemporaneous communications, agreements and understandings, written or oral, with respect to the subject matter hereof including without limitation the terms of any EULA contained in the software or any purchase order issued in connection with this Agreement. This Agreement shall not be amended or modified except in a writing signed by authorized representatives of each party. 9. RESTRICTED RIGHTS. SolarWinds' software is provided to non-DOD agencies with RESTRICTED RIGHTS and its supporting documentation is provided with LIMITED RIGHTS. Use, duplication, or disclosure by the government is subject to the restrictions as set forth in subparagraph "C" of the Commercial Computer Software – Restricted Rights clause at FAR 52.227-19. In the event the sale is to a DOD agency, the government's rights in software, supporting documentation, and technical data are governed by the restrictions in the Technical Data Commercial Items clause at DFARS 252.227-7015 and DFARS 227.7202. Manufacturer is SolarWinds Worldwide LLC, 3711 South MoPac Expressway, Kiwi Syslog Server Ver.9.4 Rev. 1.2 53 Building Two, Austin,Texas 78746. Copyright © 1999-2012 SolarWinds Worldwide, LLC. All Rights Reserved. End User License Agreement. Revised April, 2012 1.8 謝辞 Kiwi Syslog Server の前バージョンのユーザーの方から多数の激励のメールをいただき、真にあり がとうございます。お寄せいただいたフィードバックやご提案に感謝し、これからもユーザーのニー ズに合う改良を行っていきます。 正規登録版を購入していただき製品の改良をサポートしていただいたすべてのユーザーに感謝 いたします。 Kiwi Syslog Server チーム Kiwi Syslog Server Ver.9.4 Rev. 1.2 54 2 メイン表示ウィンドウ この章では、Kiwi Syslog Server Manager のメニュー、セットアップオプションについて説明します。 画面に表示されるメニュー、メニューオプションおよびメニューの表示順序は、アプリケーション版 をインストールしたかサービス版をインストールしたかによって多少変わります。 2.1 メイン表示ウィンドウ 以下は、Kiwi Syslog Server を起動して最初に表示されるメイン表示ウィンドウのイメージです。 Setup アラーム・警告 Syslog Statistics エラーログの閲覧 Display のクリア 表示 Display の選択 表示 スクロール表示 一時停止/再開 メッセージバッファ の空き% メッセージ数/時間 このアイコンは、「Cancel the alarm」アイコン(警告ベルアイコン)です。黄と赤で点滅し ます。Alarm 設定で、Audible Alarm を有効にした場合や、ルールで、Action:Play a sound を設定している場合に、Alarm 発報されると、このアイコンが点滅します。 この「Cancel the alarm」アイコンのクリックで、アラーム音はキャンセルされ、アイコンの点滅は消 えます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 55 2.2 File メニュー ここでは、File メニューについて説明します。 下の左がアプリケーション版、右がサービス版の File メニューです。 2.2.1 Setup (設定) Kiwi Syslog Server Setup 画面が開きます。この画面から syslog 構成の設定を行います。 2.2.2 Send test message to local host (テストメッセージ送信) 127.0.0.1(ローカルホスト)に UDP syslog メッセージを送信し、プログラムが機能的に正常であるこ とを確認します。このメッセージは syslog の受信を待機しているポートに送られます。プログラムの TCP 設定を確認するには、Kiwi SyslogGen をお使いください。次の Web サイトから入手できます。 http://www.kiwisyslog.com/downloads.aspx 次のようなテストメッセージが送信されます。 Kiwi Syslog Server - Test message number 0001 末尾の番号はテストを実行するたびに、1 ずつ増加します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 56 2.2.3 Purge (パージ) 次の内容をクリアします。 • E メールログ (Kiwi Syslog Server のインストールフォルダ\SendMailLog.txt) • エラーログ (Kiwi Syslog Server のインストールフォルダ\Errorlog.txt) • 内部 syslog メッセージキュー (最大 1,000 メッセージまで) • 内部 E メールキュー (最大 1,000 メッセージまで) • 失敗した MIB ルックアップファイル (Kiwi Syslog Server のインストールフォルダ \MIBs\UnknownIODs.txt) • 2.2.4 データベースキャッシュ Import settings from INI file (設定ファイルのインポート) 他のシステムでエクスポート(File -> Import setting from INI file)した設定ファイル(.ini)ファイルを インポートし、その設定を取り込むことができます。 2.2.5 Export settings to INI file (設定情報を INI ファイルにエクスポート) プログラムの構成を INI ファイルに保存します。 このファイルを他のシステムに転送し、その設定を File -> Export settings to INI file または File -> Setup -> Defaults/Import/Export オプションから取り込むことができます。 SolarWinds 社のサポートスタッフに報告したい問題がある場合は、詳細を下記のページからアク セスできるサポートフォームに記入し、エクスポートした INI ファイルを添付して送信してください。 http://www.solarwinds.com/support/ Kiwi Syslog Server Ver.9.4 Rev. 1.2 57 2.2.6 Create Tech-Support File(Zip) (サポートファイルの作成) SolarWinds 社が問題の調査に必要とする情報を集めて Zip ファイルを作成します。 作成されるファイル (C:\Program Files\Syslogd\Syslogd_TechSupport.zip) には 以下のいずれか、あるいはすべてのファイルが含まれています。 • ErrorLog.txt - Syslog Server のエラーログ (エラーログの総サイズが 1MB を超える場 合は、Errorlog0.txt という名前のファイルが含まれます。) • Syslog_Server_Settings.ini - Syslog Server の設定ファイル • Syslog_Diagnostics.txt – Syslog Server の診断レポートファイル • DNS-debug.txt - Syslog DNS/NetBIOS 詳細デバッグファイル • Syslogd-debug.txt - Syslog Server 受信メッセージのデバッグファイル • Syslogd_Startup.txt - Syslog Server の起動デバッグファイル (アプリケーション版) • Syslogd_Service_Startup.txt - Syslog Service の起動デバッグファイル(サービス版) • Syslogd_Manager_Startup.txt - Syslog Manager の起動デバッグファイル(サービス版) • KRDP_Sessions.ini - Kiwi Reliable Delivery Protocol (KRDP)セッションファイル • CacheSettings.ini - Kiwi Reliable Delivery Protocol (KRDP)キャッシュ設定ファイル • install.log - Kiwi Syslog Server インストーラーログファイル(アプリケーション版/サービス 版共通) • StaticHosts.txt - DNS 名前解決固定 hosts ファイル • Unknown_OID_list.txt - MIB ルックアップの不明または未解決 OID リスト • Standard-YYYYMMDDHHNNSS-DebugLogN.txt - Syslog Debug バージョンのみ(アプリ ケーション版の詳細デバッグファイル) • Manager-YYYYMMDDHHNNSS-DebugLogN.txt - Syslog Debug バージョンのみ(サービ ス版(Manager)の詳細デバッグファイル) • Service-YYYYMMDDHHNNSS-DebugLogN.txt - Syslog Debug バージョンのみ(サービ ス版(Service)の詳細デバッグファイル) Kiwi Syslog Server Ver.9.4 Rev. 1.2 58 2.2.7 Exit (終了) プログラムを終了します。アプリケーション版ではプログラムを終了すると、メッセージの受信もロ ギングも停止します。システムからログオフ後もメッセージの受信、ロギング処理を継続する必要 がある場合は、サービス版としてインストールしてください。 サービスとしてインストールできる OS は、Windows XP Professional、Windows 2003、Windows Server 2008、Windows Server 2008 R2、Windows 7、Windows 8、Windows Server 2012、Windows Server 2012 R2 です。 File -> Setup -> Display の Minimize to system tray on [X] button オプションがチェックされてい ると、フォーム右上にある [X] ボタンでプログラムを閉じることができなくなります。その場合は、 システムトレイポップアップメニューの Close を選択してプログラムを閉じてください。 2.3 Edit (編集)メニュー ここでは、Edit メニューについて説明します。 2.3.1 Select All(全て選択) このオプションは現在表示されているすべての syslog メッセージを選択します。 このオプションを使った後、選択したメッセージを Copy selected items to the clipboard メニュー または Ctrl+C を押してクリップボードにコピーできます。 2.3.2 Copy selected items to the clipboard(選択した項目をクリップボードにコピ ー) 現在選択されている syslog メッセージをクリップボードにコピーします。 コピーするメッセージを選択するには、表示を中断しコピーしたいメッセージのセルをクリックして 反転表示状態にします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 59 2.3.3 Copy selected items as HTML the clipboard(選択した項目を HTML として クリップボードにコピー) 現在選択されている syslog メッセージを HTML 形式でクリップボードにコピーします。 コピーするメッセージを選択するには、表示を中断しコピーしたいメッセージのセルをクリックして 反転状態にします。 注記: このオプションは現在正しく機能しません(version 9.2.0 メーカに報告済み)。 2.4 View (ビュー)メニュー ここでは、View メニューについて説明します。 2.4.1 View Syslog Statistics (syslog 統計の表示) メッセージカウンターとトレンドグラフを含む Syslog Statistics ウィンドウを表示します。 Syslog Statistics ウィンドウに関する詳しい説明は、「Syslog Statistics (Syslog 統計)」を参照してく ださい。 2.4.2 View e-mail log file (E メールログファイルの表示) 送信済みメールメッセージのログファイルをメモ帳で表示します。 メールログファイル : Kiwi Syslog Server をインストールしたフォルダ\SendMailLog.txt 2.4.3 View error log file (エラーログファイルの表示) メモ帳でロギングエラーを記録したエラーログファイルを表示します。 エラーログファイル : Kiwi Syslog Server をインストールしたフォルダ\Errorlog.txt Kiwi Syslog Server Ver.9.4 Rev. 1.2 60 2.4.4 Adjust width to fit screen (画面幅の自動調節) Kiwi Syslog Server のメインウィンドウをディスプレイ幅いっぱいに広げて表示します。 2.4.5 Highlighting options (ハイライト表示オプション) ハイライト表示ルールを作成し、画面に表示されるメッセージごとに適用できます。このルールは 上から順に適用されます。syslog メッセージがルールにマッチすると、指定したハイライト表示が適 用されます。 以下の Highlighting Options 画面が開きます。 以下は、ハイライトオプションを適用した画面イメージです。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 61 Highlight Items 表示される syslog メッセージごとに適用されるハイライト表示ルール、検索対象の syslog メッ セージフィールド、検索対象の文字列パターン、適用される効果のリストです。ルールはリス トの左端にあるチェックボックスをオン/オフすることによって有効/無効を切り替えることがで きます。Field 列のドロップダウンリストに表示されるフィールド名は、メイン表示ウィンドウの 列名(例: Date、Time、Priority、Hostname、Message)に該当します。ハイライト表示 ルールはリストの右側にあるツールバーのボタンをクリックして追加/削除できます。ルール の適用順序はこのツールバーの上矢印と下矢印を使って変更できます。 注記: このオプションを初めて表示すると、No highlighting rules have been found. Do you want to create some default rules based on Syslog Priorities? (ハイライト表示ルールがあり ません。syslog の優先度に基づいたデフォルトのルールを作成しますか?) というメッセージ が表示されることがあります。Yes をクリックすると syslog の優先度に基づいたデフォルトのル ールが作成され、表示されます。 String to match: 選択した syslog メッセージフィールド内で検索する文字列パターンを指定します。 Regular 正規表現を使用して文字列を検索する場合にチェックします。 Expression (Regular Expression(正規表現)に関する項を参照してください。) Invert Match 文字列が見つからない場合に効果を適用する場合にチェックします。 Ignore Case 検索パターン(マッチする文字列)の大文字小文字を区別しない場合に チェックします。 Highlight Effects: Apply Foreground Color 選択した文字色を適用する場合にチェックします。 チェックされていない場合は、現在の文字色が使用されます。 Apply Background Color 選択した背景色を適用する場合にチェックします。 チェックされていない場合は、現在の背景色が使用されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 62 Bold Font 太字表示にする場合にチェックします。 Italic Font イタリック表示にする場合にチェックします。 Underline Font 下線表示にする場合にチェックします。 Selected Icon 現在の syslog メッセージに効果が適用される場合に表示する アイコンを選択します。 Icons: 図 1 のアイコンは(デフォルトで)Kiwi Syslog Server に内蔵されているアイコンです。他のアイ コンを使用したい場合は、<Program Files>\Syslogd\Icons ディレクトリにアイコンフ ァイルを保存してください。アイコンリストはプログラムの起動時にロードされます。そのため 新しいアイコンを追加した場合は、Kiwi Syslog Server を再起動する必要があります。再起動 後に新しいアイコンがこのリストに表示されます。 2.4.6 Clear display (画面消去) 選択した Display に表示されている全メッセージを消去します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 63 2.4.7 Choose font (表示フォント選択) メッセージ表示のフォント名、スタイル、カラー等を選択します。 ASCII 文字以外がブランクあるいは□で表示される場合、これはフォントが必要なユニコード文字 を含んでいないことを意味します。 Microsoft Office には Arial MS Unicode が付属します。このフォントはすべてのユニコード字体を含 んでいます。残念ですがこのフォントは再配布されず、Microsoft Office 所有者だけが利用可能で す。 代案としていくつかの無料ユニコードフォントが以下のリンクより入手できます。 http://www.unicode.org http://www.travelphrases.info/gallery/all_fonts.html ほとんどの無料フォントは字体のサブセットです。表示したい言語の字体を含む最適なフォントを 選択してください。 注記:日本語を含むフォント名(例: MS ゴシック)を選択した場合、Kiwi Syslog Server は フォントの設定に失敗します。名前に日本語を含むフォントの利用は避けてください。 2.4.8 Show/Hide Columns オプション (列の表示/非表示) Display に表示するカラムの表示非表示を制御できます。 2.5 Manage (管理)メニュー ここでは、Manage メニューについて説明します。 このメニューは、サービス版のみに表示されます。 2.5.1 Start the Syslogd service (Syslogd サービスの開始) Syslogd サービスを開始します。 サービスが開始(実行)されると、メッセージの受信、記録、転送が開始されます。 サービスが実行中かどうかは Manage -> Ping the Syslog service メニューで確認できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 64 2.5.2 Stop the Syslogd service (Syslogd サービスの停止) Syslogd サービスを停止します。 サービスを停止するとプログラムの実行は止まります。メッセージの記録は止まり、表示もされま せん。サービスは Kiwi Syslog Service Manager からの Ping またはどの通信にも応答しません。 注記: サービスが停止するまで、20 秒くらいかかります。 2.5.3 Ping the Syslogd service (Syslogd サービスに Ping) Kiwi Syslog Server サービスにテストメッセージを送り、応答を待ちます。5 秒以内に応答が無い場 合、サービスが停止中かインストールされていないことを示します。 結果はメインウィンドウ下部のステータスバーに表示されます。 Ping 応答があれば、The Syslogd Service is alive!と表示されます。 2.5.4 Show the Syslogd service state (Syslogd サービス状態の表示) 現在のサービスの状態をチェックします。 Uninstalled (インストールされていない)、Running (実行中)、Stopped (停止中)、Not Responding (無応答) のいずれかが結果として表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 65 2.5.5 Debug options (デバッグオプション)メニュー Debug をクリックすると、多数のカスケードメニューオプションが表示されます。ここでは、Debug options 下のメニューについて説明します。 注記: アプリケーション版でインストールした場合、このメニューアイテムは File メニュー下に表示 されます。 2.5.5.1 Display the service version (サービスのバージョンの表示) サービスバージョンが Service Manager のバージョンと同じか確認できます。 サービスのバージョン番号がステータスバーに表示されます。 2.5.5.2 Get diagnostic information (診断情報の入手) サービスの障害回復が必要な場合に、このオプションを使用すればサービスの全ての情報を取 得できます。診断情報はメモ帳で開きます。 Kiwi Syslog Server のサービスに問題がある場合は、このオプションを実行して診断情報を確認し てください。 2.5.5.3 Reset the Syslogd service sockets (Syslogd サービスソケットのリセット) プログラムや OS に問題は無いが、サービスが停止し理由の分からない問題が発生することがあ ります。このオプションでサービスを再起動し、初期状態に戻すことができます。 このオプションが問題を起こすことはありませんが、サービスの再起動時にわずかにメッセージの 喪失が発生する可能性があるので注意してください。 注記: このオプションが完了するまでに 3 秒程かかります。 受信ソケット、つまりサービスの Winsock のみがリセットされます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 66 2.5.5.4 Clear all the DNS cache entries (すべての DNS キャッシュエントリのクリア) サービスは IP アドレスをホスト名に解決できます。DNS キャッシュを使用すると、ネットワークトラフ ィックを減少させるのに役立ちます。Service Manager で DNS キャッシュをクリアすると、サービス 上のキャッシュもクリアされます。 このオプションは手動で強制的にサービスキャッシュをクリアする場合に使用します。 2.5.5.5 Clear the Dynamic DNS cache entries (動的 DNS キャッシュのクリア) Service Manager で動的 DNS キャッシュをクリアします。 このオプションは手動で強制的にサービスキャッシュをクリアする際に使用します。 2.5.5.6 Apply new settings (新しい設定の適用) レジストリから現在の Syslogd 設定を読み込み、その設定でサービスを開始します。 新しい設定を確実に適用したい場合にこのオプションを使用してください。 サービスに新しい設定が適用されたかどうかはステータスバーに表示されます。 2.5.5.7 Retrieve last messages (最終メッセージの取得) バーチャルディスプレイの現在の全メッセージを送信するよう要求します。これは Service Manager が起動したとき自動的に実行されます。 2.5.5.8 Enable Service Debug Mode (Debug モードの有効化) サービスマネージャがシスログメッセージを <Program Files>\Syslogd\Syslogd-debug.txt ファイルに記録します。 Debug モードはサービスの再起動時に無効化されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 67 2.6 Help (ヘルプ)メニュー ここでは、Help メニューについて説明します。 2.6.1 Context based Help (ヘルプ、F1) ヘルプファイルが開きます。 2.6.2 Help Topics (ヘルプトピックス) ヘルプファイルの目次が開きます。 2.6.3 Online FAQ (オンライン FAQ) Web ブラウザで Kiwi Syslog Server のナレッジベースページが開きます。 http://knowledgebase.solarwinds.com/kb/categories/Kiwi+Syslog/ 2.6.4 Purchase the licensed version (正規版の購入) SolarWinds 社のページが開きますが、正規版は、弊社 からご購入いただけます。 2.6.5 Enter license details (ライセンスの登録) 現在の登録状況を表示します。このウィンドウからライセンスコードを登録できます。正規ライセン スを登録すると、評価版のプログラムが正規登録版に自動的にアップグレードされます。 注記: Kiwi Syslog Server 評価版は下記の弊社 Web サイトからダウンロードができます。 http://www.jtc-i.co.jp/product/kiwisyslogserver/kiwisyslogserver.html Kiwi Syslog Server Ver.9.4 Rev. 1.2 68 2.6.6 Make a suggestion or report a bug (ご要望またはバグレポート作成) SolarWinds 社へのご要望や障害報告を行うためのサポートページが開きますが、弊社からご購入 の場合は、弊社カスタマーポータルからご連絡ください。 カスタマーポータル: https://www.jtc-i.co.jp/support/customerportal/index.php 2.6.7 Check for update... (更新の確認) Check for Update...(製品の更新通知)ダイアログを開き、Solarwinds 社の Web サイトに利用可能 な更新が存在するかどうかを確認します。 Kiwi Syslog Server の更新バージョンが利用可能な場合は、What’s New(更新情報の表示)と Download Update(更新のダウンロード)ボタンが利用できます。 注記: • Don't tell me about this again オプションをチェックすると、以降はこのダイアログが表示さ れなくなります。 • 製品更新確認の無効化に関する詳しい情報については、「Product Updates (製品の更 新)」を参照してください。 2.6.8 About Kiwi Syslog Server (Kiwi Syslog Server について) About ウィンドウが開きます。 著作権情報、バージョン、ライセンス登録内容、Kiwi Syslog Server の Web サイトへのリンクなどが 表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 69 3 Syslog プロパティの設定 この章では、Setup 画面について説明します。Kiwi Syslog Server の各種設定は、この Setup 画面 で行います。 3.1 Syslog Server 初期設定ガイド Kiwi Syslog Server を初めて起動したときはデフォルト設定が使用されます。デフォルトでは、すべ てのメッセージがウィンドウに表示され、SyslogCatchAll-%DateISO.txt というログファイ ルに記録されます(%DateISO には日付が入ります)。 このログファイルは Kiwi Syslog Server を インストールしたディレクトリの\Logs ディレクトリにあります。 File -> Setup メニューあるいは Ctrl+P でこれらの設定を変更できます。 File -> Setup -> Defaults/Import/Export メニューオプションの Load default Rules and Settings ボ タンをクリックすれば、いつでもデフォルト設定に戻すことができます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 70 3.2 キーボードの使用方法 以下は、Setup 画面でのキーボード操作とその処理内容の一覧です。 キー 説明 Delete 選択したルール、フィルター、アクション、アーカイブスケジュールの削除 Insert 新しいルール、フィルター、アクション、アーカイブスケジュールの追加 (選択アイテムはルール、フィルター、アクション、アーカイブのみ) Ctrl-V ルール、フィルター、アクション、アーカイブスケジュールの貼り付け (選択アイテムはルール、フィルター、アクション、アーカイブのみ) Ctrl-C 選択したルール、フィルター、アクション、アーカイブスケジュールのコピー F2 選択したルール、フィルター、アクション、アーカイブスケジュールの名前変更 F4 フィルター、アクション、アーカイブスケジュールに対する自動命名 Home ツリー先頭にカーソル移動 End ツリー末尾にカーソル移動 Enter 現在の選択位置でツリーを展開/折り畳み(マウスのダブルクリックと同じ) Space bar 選択したルール、フィルター、アクション、アーカイブスケジュールの 有効/無効切り替え Shift + ↑ 選択したルール、フィルター、アクション、アーカイブスケジュールを上に移動 Shift + ↓ 選択したルール、フィルター、アクション、アーカイブスケジュールを下に移動 3.3 Rules / Filters / Actions (ルール/フィルター/アクション) ここでは、ルール、フィルター、アクションについて説明します。 3.3.1 ルールエンジンの動作 最大 100 のルールを定義できます。各ルールには、最大 100 のフィルターと 100 のアクションを定 義することができます。 受信した syslog メッセージはルールで処理されます。ルールは上から順に適用されます。ルール Kiwi Syslog Server Ver.9.4 Rev. 1.2 71 の順序はツールバーに表示されている上下の矢印ボタンを使って調整できます。 ルールごとに、メッセージに対して指定したフィルターが適用されます。フィルターは上から順に適 用されます。フィルターのいずれかに合致しなかった場合は、そのルールの処理をストップし次の ルールに移ります。すべてのフィルター条件に合致した場合は、指定した 1 つもしくは複数のアク ションが上から順に実行されます。 ルールに含まれているすべてのアクションが完了すると、次のルールの処理を開始します。すべ てのルール処理を終了すると、次の syslog メッセージの受信を待ち、新しいメッセージの処理を最 上位のルールから行います。 各ルール、フィルター、アクションには分かり易い名前を付けてください。名前を編集するには、F2 をクリックするか、右クリックメニューから Rename オプションを選択します。名前は重複しても構い ませんが、どのような動作をするかを示す名前を付けておくとよいでしょう。名前に入力できる最 大文字数は 25 文字です。 ルール、フィルター、アクションの追加/削除/名前変更方法について、3.3.1.1「ルール、フィルター、 アクションの追加/削除/名前変更方法」に説明します。 「キーボードの使用方法」も参照してください。 ルールにフィルターが定義されていない場合は、すべてのメッセージが処理されます。 デフォルトでは、初期設定で Default という名前のルールが 1 つ定義されています。フィルターは定 義されていません。このためすべてのメッセージが処理されます。受信した全メッセージに対して 2 つのデフォルトアクション (Display、Log to file)が実行されます。これにより、すべてのメッセージ が画面に表示され、Kiwi Syslog Server をインストールしたフォルダの\Logs ディレクトリにある SyslogCatchAll-%DateISO.txt ファイル(%DateISO の部分は日付)に記録されます。 注記: インストール時に Kiwi Syslog WebAccess を選択した場合は、Log to Syslog Web Access という名前のルールも存在します。このルールにもフィルターは定義されていません。受信した全 てのメッセージが Kiwi Syslog Web Access 画面から閲覧できます。Kiwi Syslog Web Access につ いては、「Kiwi Syslog Web Access」マニュアルを参照してください。 3.3.1.1 ルール、フィルター、アクションの追加/削除/名前変更方法 概要 Kiwi Syslog Server Ver.9.4 Rev. 1.2 72 ルール、フィルター、アクションの追加/削除/名前変更方法などについて説明します。 詳細 Rule、Filters、Actions の上にカーソルを置き、マウス右ボタンの押下で以下のようなポップア ップメニューが表示されます。 Rules Add rule : New Rule が追加されます。文字が反転中にルール名を変更可能です。 Paste rule : Copy rule でバッファ上にコピーしたルールをペーストします。 Import rule : ファイル選択のダイアログが開くので、保存した Syslog Rules(*.ksr)を選択しイン ポートします。 Filters Add filter : New Filter が追加されます。文字が反転中にフィルター名を変更可能です。 Paste filter : Copy filter でバッファ上にコピーしたフィルターをペーストします。 Actions Kiwi Syslog Server Ver.9.4 Rev. 1.2 73 Add action : New Action が追加されます。文字が反転中にアクション名を変更可能です。 Paste action : Copy action でバッファ上にコピーしたアクションをペーストします。 ルールのポップアップメニュー ルール名上にカーソルを置き、マウス右ボタンの押下で以下のようなポップアップメニューが 表示されます。 Delete rule : ルールを削除します。 Rename rule : ルール名をリネームします。 Enable rule : ルールを有効にします。 Disable rule : ルールを無効にします。 Move up : ルールの順番を上に移動します。 Move down : ルールの順番を下に移動します。 Copy rule : ルールをバッファ上にコピーします。 Export rule : ルールをファイル(*.ksr)としてエクスポートします。 フィルターのポップアップメニュー フィルター名上にカーソルを置き、マウス右ボタンの押下で以下のようなポップアップメニュー が表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 74 Delete filter : フィルターを削除します。 Rename filter : フィルター名をリネームします。 Auto-name filter : 設定内容を元に、フィルター名を自動で命名します。 Enable filter : フィルターを有効にします。 Disable filter : フィルターを無効にします。 Move up : フィルターの順番を上に移動します。 Move down : フィルターの順番を下に移動します。 Copy filter : フィルターをバッファ上にコピーします。 アクションのポップアップメニュー アクション名上にカーソルを置き、マウス右ボタンの押下で以下のようなポップアップメニュー が表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 75 Delete action : アクションを削除します。 Rename action : アクション名をリネームします。 Auto-name action : 設定内容を元に、アクション名を自動で命名します。 Enable action : アクションを有効にします。 Disable action : アクションを無効にします。 Move up : アクションの順番を上に移動します。 Move down : アクションの順番を下に移動します。 Copy action : アクションをバッファ上にコピーします。 3.3.2 フィルター ここでは、使用できるフィルターを紹介します。 3.3.2.1 Simple (シンプル) フィルター 概要 単純な 1 行のフィルターです。メッセージに含まれている 1 つまたは複数のテキストや IP アド レスのマッチングに有効です。 Field リストで、IP address、Hostname、Message text のいずれかを選択した場合に使用でき ます。 文字列はダブルクォーテーション (””) で囲んで入力します。複数の検索文字列をダブルク ォーテーション (””) で囲んで指定すると、文字列 A または文字列 B のどちらかに一致する メッセージの検索が可能です。 Include: “link up” “link down” 上記のように指定すると link up もしくは link down という 2 つのテキストに対するマ Kiwi Syslog Server Ver.9.4 Rev. 1.2 76 ッチングが行われます。 詳細 Simple(シンプル)フィルターでは検索対象の文字列を 1 行で指定します。複数の文字列を指 定する場合、ダブルクォーテーション (””) で区切った各検索文字列を 1 行に並べて指定し ます。フィルターは指定された文字のいずれか(OR 条件)のマッチングを行います。 [C]: 大文字小文字を区別するかを指定します。オンの場合、大文字小文字を区別します。 [S]: 部分一致か完全一致検索かを指定します。オンの場合、部分一致検索を行います。 例: 上図のようにフィルターを指定した場合、大文字/小文字を問わず POP3、SMTP、MAPI という 文字列のいずれかがメッセージテキストに含まれていればフィルターは真となります。 注記: [S] ボタンが押下げられている場合、部分一致検索を行います。テキストのどこかに 検索文字列が含まれているものすべてが対象となります。 上図のようにフィルターを指定した場合は、メッセージテキストがフィルター文字列に完全に 一致していれば、フィルター結果が真となります。つまり、The link is down というメッセ ージテキストであれば、フィルターは真となります。 注記: • [C] ボタンが押下げられている場合、大文字小文字も完全に一致している必要が あります。 • [S] ボタンが押下げられていない場合、フィルター条件文字列とメッセージテキスト は一文字ごとに完全に一致している必要があります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 77 3.3.2.2 Complex (複合) フィルター 概要 複数行にわたる複雑なフィルターです。メッセージ内に指定したテキストや IP アドレスが含ま れているか含まれていないかを複雑に組み合わせて検索したいときに使用します。複数の検 索文字列をそれぞれダブルクォーテーション(””)で囲んで指定し、ブール演算処理を行いま す。 AND、OR、NOT-OR、NOT-AND 演算と含まない文字列の指定(Exclude)が可能です。 Field リストで、IP address、Hostname、Message text のいずれかを選択した場合に使用でき ます。 詳細 複合フィルターでは複数の検索文字列を指定できます。検索文字列は[(A または B) およ び (C または D)]しかし[(E または F)および(G または H)]は除外するというように互いに組 み合わせることで複雑なマッチング処理を実行できます。 各検索文字列はダブルクォーテーション(””)で囲み、1 行に並べて指定します。フィルターは 指定された文字のいずれか(OR 条件)のマッチングを行います。 [C]: 大文字小文字を区別するかを指定します。オンの場合、大文字小文字を区別します。 [S]: 部分一致か完全一致検索かを指定します。オンの場合、部分一致検索を行います。 ブランクのフィールドは無視されます。 最初の 2 つのフィールドがブランクで、3,4 番目でテキストを指定すると指定した文字列を含ま ないテキストを検索します。一致するテキストが見つからなかった場合に結果は真となりま す。 例 1: Kiwi Syslog Server Ver.9.4 Rev. 1.2 78 注記: [S] ボタンが押下げられている場合、部分一致検索を行います。テキストのどこかに 検索文字列が含まれていれば、フィルター結果が真となります。 上記のようにフィルターを指定した場合、大文字小文字を問わず fox、quick、hello のい ずれかの文字列を含み、さらに over あるいは the を含むが hello および brown を 含まないメッセージテキストがあれば、フィルター結果が真となります。 例 2: 上図は、指定した文字列を含まないメッセージをフィルターする例です。 chicken あるいは duck を含まないメッセージテキストがあれば、結果が真となります。最初 の 2 つのフィールドがブランクであることに注意してください。これらのフィールドはフィルター 処理で無視されます。 注記:: • And フィールドは指定する必要がなければブランクのままで構いません。 • And フィールドに文字列を指定した場合は、その上のフィールドにも何らかの文字 列を入力する必要があります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 79 3.3.2.3 RegExp (正規表現) フィルター 概要 Unix タイプの正規表現一致を使います。テキストの数字の範囲、文字やシンボルで合致条件 を作るのに有効です。テキスト中の位置の指定なども可能で、最も自由度の高いテキスト検 索方法です。 AND、OR、NOT-OR、NOT-AND 演算と含まない文字列の指定(Exclude)が可能です。 Field リストで、IP address、Hostname、Message text のいずれかを選択した場合に使用でき ます。 詳細 正規表現フィルターでは Unix タイプの正規表現引数を用いて “どこ” で “どんな” テキスト を検索するのかを厳密にコントロールできます。 各検索文字列はダブルクォーテーション(””)で囲み、1 行に並べて指定します。フィルターは 指定された文字のいずれか(OR 条件)のマッチングを行います。 [C]: 大文字小文字を区別するかを指定します。オンの場合、大文字小文字を区別します。 ブランクのフィールドは無視されます。 最初の 2 つのフィールドがブランクで、3,4 番目でテキストを指定すると指定した文字列を含ま ないテキストを検索します。一致するテキストが見つからなかった場合に結果は真となりま す。 例: Kiwi Syslog Server Ver.9.4 Rev. 1.2 80 上記のようにフィルターを指定した場合、The で始まり(大文字小文字の区別あり) dog で終 わるメッセージテキストで chicken と duck を含まないものがあれば、結果は真となります。 上図は、指定した文字列を含まないメッセージをフィルターする例です。 先頭が The で始まらず dog で終わないメッセージテキストがあれば、フィルターは真を返しま す。最初の 2 つのフィールドがブランクであることに注意してください。これらのフィールドはフ ィルター処理で無視されます。 注記: • And フィールドは指定する必要がなければブランクのままで構いません。 • And フィールドに文字列を指定した場合は、その上のフィールドにも何らかの文字 列を入力する必要があります。 正規表現構文 以下は、正規表現フィルターに使用できる特殊文字および文字列です。 文字 説明 Kiwi Syslog Server Ver.9.4 Rev. 1.2 81 ^ 文字列の始まり $ 文字列の終わり . 任意の文字 ? 直前の文字を0回あるいは1回含む文字列 例: 10? は 1 と 10 にマッチします。 * 直前の文字を0回あるいは 1 回以上繰り返す文字列 例: 10* は 1、10、1000 などにマッチします。 + 直前の文字を 1 回以上繰り返す文字列 例: 10+ は 10、1000 などにマッチします。 \ 次の文字をエスケープします。構文に特殊文字を含める場合に必須です。 例: \.\*\+\\ は .*+\ にマッチします。 特殊印字不能文字(タブなど)をエンコードする際にも必要です。 x|y xかyのどちらかにマッチします。 例: z|wood は z または wood にマッチします。 (z|w)oo は zoo または wood にマッチします。 {n} n は非負整数。直前の文字を n 回繰り返している文字列にマッチします。 例: o{2} は Bob の o にマッチしませんが、foooood の 最初の 2 つの o にマッチします。 {n,} n は非負整数。直前の文字を最低 n 回繰り返している文字列にマッチします。 例: o{2,} は Bob の o にマッチしませんが、foooood の すべての o にマッチします。 o{1,} は o+、o{0,} は o* と同等です。 {n,m} m と n は非負整数。直前の文字を最低 n 回、最高 m 回繰り返している文字列 にマッチします。 例: o{1,3} は fooooood の最初の 3 つの o にマッチします。 o{0,1} は o? と同等です。 [ xyz ] 文字セット。括弧内の文字が含まれているものすべてにマッチします。 例: [abc] は plain の a にマッチします。 [^ xyz ] 否定文字セット。括弧内以外の文字が含まれているものすべてにマッチします。 例: [^abc] は plain の p にマッチします。 [ a-z ] 文字の範囲。指定した範囲に含まれる文字にマッチします。 例: [a-z] はアルファベット小文字の a から z までの文字にマッチします。 [^ m-z ] 否定文字の範囲。指定した範囲に含まれない文字にマッチします。 例: [m-z] は m から z 以外の任意の文字にマッチします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 82 \b 語句の境界―すなわち語句の区切り位置やスペース(空白)にマッチします。 例: er\b は never の er にマッチしますが verb の er にはマッチしま せん。 \B 語句の境界以外にマッチします。 例: ea*r\B は never early の ear にマッチします。 \d 数字にマッチします。[0-9] と同等です。 \D 数字以外の文字にマッチします。 [^0-9] と同等です。 \f 改ページにマッチします。 \n 改行にマッチします。 \q 引用符または ASCII 34 \r キャリッジリターンにマッチします。 \s スペース、タブ、改ページ等空白文字にマッチします。 [ \f\n\r\t\v] と同等です。 \S 非空白文字にマッチします。[^ \f\n\r\t\v] と同等です。 \t タブにマッチします。 \v 垂直タブにマッチします。 \w 下線を含む文字にマッチします。 [A-Za-z0-9_] と同等です。 \W 文字以外の記号にマッチします。 [^A-Za-z0-9_] と同等です。 \num num(正の整数)にマッチします。記憶済みマッチに戻って参照します。 例: "(.)\1 は 2 つの連続した同一文字にマッチします。 \ n 8 進エスケープ値である n にマッチします。8 進エスケープ値は 1 桁、2 桁または 3 桁の値です。 例: \11 および\011 は両方ともタブ文字にマッチします。 \0011 は\001 および 1 と同等です。8 進エスケープ値は 256 以下の値を指定 してください。これを超える値を指定すると最初の 2 桁のみが対象となります。 正規表現では ASCII コードを使用できます。 \xn 16 進エスケープ値である n にマッチします。16 進エスケープ値は 2 桁です。 例: \x41 は A にマッチします。\x041 は\x04 および 1 と同等です。 正規表現では ASCII コードを使用できます。 例: "^stuff" stuff で始まる任意の文字列 "stuff$" stuff で終わる任意の文字列 "o.d" old、odd、ord 等 "o[ld]d" old または odd のみ "o[^l]d" odd、ord ではあるが old ではない Kiwi Syslog Server Ver.9.4 Rev. 1.2 83 "od?" o 又は od "od*" o、od、odd "od+" od、odd 等 "\." 小数点(エスケープ文字が必要) "[A-Z][a-z]*" 大文字で開始する単語 "[0-9]+" 任意の数字列 "[1-9]+[1-9]*" 0 で始まらない任意の数字列 "[+\-]?[0-9]*[\.]?[0-9]*" 符号と小数点つきの任意の数字 (2 つのエスケープ文字が必要) "dst=\qLOCAL MACHINE\q" dst=”LOCAL MACHINE”を検索 "dst=\x22LOCAL MACHINE\x22" dst=”LOCAL MACHINE”を検索 Hex(22) = ASCII 34 または (“) "(z|w)oo" zoo または woo を検索 3.3.2.4 IP Range (アドレス範囲) フィルター 概要 IP アドレスの範囲でフィルターします。ホストアドレスの範囲を含むかどうかを判断します。 Field リストで、IP address を選択した場合に使用できます。 詳細 含むあるいは含まない IP アドレスの範囲を指定できます。 Include あるいは Exclude の範囲はどちらかがブランクでも構いませんが、両方をブラン クにすることはできません。Include 範囲がブランクであれば除外条件フィルターとなります。 Exclude 範囲内の IP アドレスであれば結果が真となります。 例: Kiwi Syslog Server Ver.9.4 Rev. 1.2 84 上図の場合、IP アドレスが 203.185.100.0~203.185.100.255 の範囲内にあり、 203.185.100.10~203.185.100.20 の範囲内でなければ結果は真となります。 上図は除外する IP アドレス範囲を指定する例です。 IP アドレスが 203.185.100.10~203.185.100.20 の範囲内になければ結果は真とな ります。 3.3.2.5 IP Mask (IP マスク) フィルター 概要 IP アドレスの範囲でフィルターします。ホストアドレスを含むか含まないかをサブネットマスク を使用して判断します Field リストで、IP address を選択した場合に使用できます。 詳細 マスクマッチングに基づいて、含むあるいは含まない IP アドレスの範囲を指定できます。 Include あるいは Exclude のフィールドはどちらかがブランクでも構いませんが、両方をブ ランクにすることはできません。Include 範囲がブランクであれば除外条件フィルターとなり Kiwi Syslog Server Ver.9.4 Rev. 1.2 85 ます。Exclude 範囲内の IP アドレスであれば結果が真となります。 例: 指定した IP アドレスが Mask に指定した値と AND 演算され、メッセージのホスト IP と比較さ れます。 2 つのアドレスが同一サブネットであれば結果は真となります。 上図の例では、IP アドレスが 203.185.100.0~203.185.100.255 の範囲内であれば 結果は真となります。 上図は除外する IP アドレス範囲を指定する場合の例です。 IP アドレスが 203.185.100.0~203.185.100.255 の範囲内でなければ、結果は真とな ります。 3.3.2.6 Priority (プライオリティ) フィルター 概要 Kiwi Syslog Server Ver.9.4 Rev. 1.2 86 Priority(プライオリティ)値により受信メッセージをフィルターします。 Field リストで、Priority を選択した場合に使用できます。 詳細 各受信メッセージにはプライオリティ値が含まれています。この値は Facility(ファシリテ ィ)と Level(レベル)で構成されています。どのプライオリティでフィルター結果を真にするか を指定できます。 フィルターを設定するプライオリティを選択するには、ファシリティとレベルの交点にあるセル をダブルクリックします。緑の球が設定され、そのプライオリティにマッチするメッセージのフィ ルター結果が真になります。 セルを選択し右クリックするとポップアップメニューオプションが表示されます。 すべてのプライオリティに緑の球を設定すると、プライオリティ値に関わらずすべてのメッセー ジがマッチすることになります。すべてのプライオリティをマッチさせたい場合、フィルターを定 義する必要はありません。プライオリティフィルターが定義されていなければ、すべてのプライ オリティのメッセージが通過します。 Inverse は現在有効になっているボックスをブランクにするか、逆にブランクのボックスに緑の 球を追加するときに使います(有効ボックスを Inverse すると基本的に除外するプライオリティ を指定するフィルターが作成されます)。 Select all をクリックするとすべてのセルが選択されます。次に Enable または Disable をクリックして緑の球の設定をオン/オフします。 例: Kiwi Syslog Server Ver.9.4 Rev. 1.2 87 上図の設定例では、Warnig より高いレベルのファシリティを持つメッセージが真となります。 上図の設定例では、User ファシリティを持つすべてのメッセージが真となります。 上図の設定例は、除外するプライオリティを指定するものです。 このように指定すると User ファシリティ以外のすべてのメッセージが真となります。 3.3.2.7 Time of day (時刻) フィルター 概要 Kiwi Syslog Server Ver.9.4 Rev. 1.2 88 現在の時刻と表内に設定された時刻を比較します。 Field リストで、Time of day を選択した場合に使用できます。 詳細 フィルターするまたはフィルター除外する時刻を指定できます。 時刻(15 分単位)を選択するには、時刻と曜日の交点にあるセルをダブルクリックします。 緑の球が設定され、その時刻にマッチするメッセージが真となります。 セルを選択し右クリックするとポップアップメニューオプションが表示されます。 すべての時刻に緑の球を設定すると、メッセージの受信時刻に関わらずすべてのメッセージ がマッチします。時刻フィルターが指定されていなければ、すべての時刻のメッセージを通過 します。 Inverse は現在有効になっているボックスをブランクにするか、逆にブランクのボックスに緑の 球を追加するときに使います(有効ボックスを Inverse すると基本的に除外する時刻を指定す るフィルターが作成されます)。 Select all ですべてのセルが選択されます。次に Enable または Disable をクリック して緑の球の設定をオン/オフします。 例: Kiwi Syslog Server Ver.9.4 Rev. 1.2 89 上図の例は、月曜日から金曜日までの午前 8 時から午前 9 時 15 分までに受信したメッセー ジのフィルター結果が真となります。 月曜日から金曜日の午前 8 時から午後 5 時までを選択すれば、就業時間フィルターを作成で きます。設定済みのセルに対して Inverse オプションを適用するとその時刻は除外するフィル ターになります。例えば、月曜から金曜の午前 8 時から午後 5 時以外を指定するときに使用 します。 3.3.2.8 Time interval (タイムインターバル) フィルター 概要 1 回のトリガーから次のトリガーまで設定した時間待ちます。 他の全てのフィルターの後で Flags/Counters フィルターを配置してください。これにより、他の フィルターを先に処理できます。 Field リストで、Flags/Counters を選択した場合に使用できます。 詳細 特定のメッセージテキスト(例えば"link down")が見つかった時に実行される send e-mail message のような通知アクションに定義すると効果的です。 1 分間に接続と切断が何度も繰り返されると、通常ではそのたびに回線切断メッセージを受 信します。タイムインターバルフィルターを設定すると、通知アクションが 1 回実行されると X 分間待ってから次のアクションが実行されます。 タイムインターバルフィルターを使用した回線切断の通知例: Rule: Link down notify Filters Filter: Field=Hostname, Type=Simple Include: "central-router.company.com" [S] Filter: Field=Message Text, Type=Simple Kiwi Syslog Server Ver.9.4 Rev. 1.2 90 Include: "link down" [S] Filter: Field=Flags/Counters, Type=Time interval Fire this event once, then wait for 15 minutes before firing again. Actions Action: Send E-mail message E-mail body: The link has gone down, please call the helpdesk. Alert - %MsgText ホスト central-router.company.com から、テキストに link down を含むメッセージ を受信すると1つ目と2つ目のフィルターが真になります。次にタイムインターバルフィルター が処理されます。最初のタイムインターバルフィルターは真となり、指定されている次のアク ションが実行されます。指定された時間のカウントダウンが始まります。上の例では 15 分で す。同じホストから link down を含むメッセージを受信すると1つ目と2つ目のフィルターが 再び真になります。カウントダウンタイマーがまだゼロになっていなければタイムインターバ ルフィルターは偽になり、次のアクションは実行されません。 このフィルターはアタックを受けたときに受信する通知 E メールの量を少なくする目的で使用 することもできます。例えば、port scan detected というテキストを受信したことを知りた いが、毎回ではなく 1 時間に 1 回で良いような場合です。タイムインターバルフィルターを使用 して 1 回実行したら次の実行まで 60 分間待つように設定すればよいのです。 Time interval (タイムインターバル) フィルターの内部カウンターは、Reset Flags/Counters (フ ラグ/カウンターのリセット) アクションでリセットできます。 3.3.2.9 Threshold (閾値)フィルター 概要 このフィルターは前のフィルターが Y 秒に X 回の条件を満たすと真となります。 他の全てのフィルターの後で Flags/Counters フィルターを配置してください。これにより、他の フィルターを先に処理できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 91 Field リストで、Flags/Counters を選択した場合に使用できます。 詳細 あるレベルに達したイベントについてのみ知りたい場合に有効です。例えば、port scan detected を含むメッセージを 1 分間に 5 回以上受信した時だけアラートが必要な場合など です。このことは誰かが継続的にネットワークをスキャンしていることを示している可能性が あります。ログイン試行の失敗を監視するときにも有効です。30 秒に 5 回以上テキストに login failed が含まれるようなメッセージを受信している場合、ブルートフォースアタック の可能性があります。 タイムインターバルフィルターを使用した link down 通知例: Rule: Failed login Filters Filter: Field=Hostname, Type=Simple. Include: "unixhost.company.com" [S] Filter: Field=Message Text, Type=Simple. Include: "login failed" [S] Filter: Field=Flags/Counters, Type=Threshold Filter is true if event occurs 10 times in 120 seconds. Actions Action: Send E-mail message E-mail body: Intruder Alert – Login failed 10 times in 2 minutes. Alert - %MsgText ホスト central-router.company.com から、120 秒間に 10 回、テキストに login failed を含むメッセージを受信するとフィルターは真になり、以降のアクションが実行されま す。 このフィルターは送信される通知 E メールの量を少なくする目的で使用することもできます。 Threshold フィルターを使って通知を受けるための閾値を設定すればよいのです。 Maintain individual threshold counts for each host address (ホストアドレスごとの閾値カウントを 保持) チェックすると Kiwi Syslog Server の内部でメッセージを送信するホストごとに個別の閾値カウ ントが保存されます。つまり、Y 秒に X 回送信されたメッセージに対して標準閾値カウントを適 Kiwi Syslog Server Ver.9.4 Rev. 1.2 92 用するのではなくホスト Z から Y 秒に X 回送信されたメッセージの回数が記録されます。 以下はこの設定を利用した例です。あるデバイス上で一定の閾値を超える port-flapping が検出されると管理者に E メールで通知します。E メールは閾値を超える デバイスごとに 1 通送信されます。閾値イベントを起動する原因となったホストまたはデバイ スは%MsgHost を使ってレポート可能です。 Rule: Link Up Filters Filter: Field=Message Text, Type=Simple Include: "Link Up" [S] Filter: Fields=Flags/counters, Type=Threshold Filter is true is event occurs 10 times in 120 seconds, maintain individual threshold counts for each host address. Actions Action: Send E-mail message E-mail body: Port Flapping Detected - Link Up message on device '%MsgHost'received 10 times in 2 minutes. Device - %MsgHost Alert - %MsgText Threshold (閾値) フィルターの内部カウンターは、Reset Flags/Counters (フラグ/カウンター のリセット) アクションでリセットできます。 3.3.2.10 Timeout (タイムアウト) フィルター 概要 このフィルターは前のフィルターデバイスに何も問題が起きていないことを知りたいときに有 効です。例えば、ファイアーウォールは通常 1 時間に 200 メッセージ以上を生成します。メッセ ージ量が突然 1 時間に 10 メッセージ以下になった時、あるいはメッセージがなくなった時に E Kiwi Syslog Server Ver.9.4 Rev. 1.2 93 メールで通知できます。 このフィルターは他の Flags/Counters フィルターのように受信メッセージにより起動されるも のとは異なります。メッセージが無くなるとカウントダウンタイマーにより起動されます。したが って、このフィルターが起動されるときはイベントにメッセージが関連付けられていません。そ の代わりにフィルター以降のアクションに渡す通知メッセージが生成されます。このメッセージ は次のようになります。 Priority: Local7.Debug (191) HostIP: 127.0.0.1 (localhost) MsgText: The rule 'Rule name here' has only been matched X times in Y minutes. The threshold was set for Z times. Rule: Firewall Monitor Filters Filter: Field=Hostname, Type=Simple. Include: "firewall.company.com" [S] Filter: Field=Flags/Counters, Type=Timeout Filter is true if event doesn't occur 1 times in 5 minutes. Filter: Field=Time of Day, Type= Time of Day Monday to Friday 8:00 a.m. to 6:00 p.m. Actions Action: Send E-mail message E-mail body: Firewall is not alive Alert - %MsgText %MsgText は次のようなテキストになります。 The rule 'Firewall Monitor' has only been matched 0 times in 5 minutes. The threshold was set for 1 times. firewall.company.com から 5 分間メッセージを受信しないでいると、カウントダウンタイ マーが起動します。Timeout フィルターの次に定義されているフィルター(8:00 a.m.~ 6:00 p.m の時間) を通過すると、アクションが実行されます。このフィルターは他のフィルタ ーとは異なり特定のメッセージがトリガーになりません。カウントダウンタイマーが終わったと きに限られます。現在のメッセージとして通知メッセージが生成されます。この通知メッセージ はアクションとして定義されているアラートテキストなどで使用できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 94 Timeout (タイムアウト) フィルターの内部カウンターは、Reset Flags/Counters (フラグ/カウン ターのリセット) アクションでリセットできます。 3.3.2.11 Input source(入力ソース) 概要 現在のメッセージの入力ソースが以下のフィルターの入力ソースと一致するかどうかを判断 します。 選択可能な入力ソース • UDP • TCP • Secure (TLS) TCP • SNMP • Keep alive 詳細 UDP メッセージのみをフィルターする場合: UDP を選択し、他のチェックボックスが選択されていないことを確認します。 TCP メッセージのみをフィルターする場合: TCP を選択し、他のチェックボックスが選択されていないことを確認します。 Secure (TLS) TCP メッセージのみをフィルターする場合: Secure (TLS) TCP を選択し、他のチェックボックスが選択されていないことを確認しま す。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 95 SNMP メッセージのみをフィルターする場合: SNMP を選択し、他のチェックボックスが選択されていないことを確認します。 Keep alive メッセージのみをフィルターする場合: Keep alive を選択し、他のチェックボックスが選択されていないことを確認します。 3.3.2.12 フィルターのテスト 設定したフィルターをテストする場合は、Test をクリックします。 フィルターのテストが成功すると Test ボタンの隣に緑色のチェックマークが表示されます。 テストメッセージがフィルター設定にマッチしない場合は、Test ボタンの隣に赤のチェックマークが 表示されます。 これを修正するには、Test ボタンの左の Test Setup (テスト設定)ボタンをクリックして Test message (テストメッセージ)ページを開き、テストメッセージをテスト中のフィルターにマッチするよ うに変更します。 変更が終わったら、Test message ページの Show filter (フィルターの表示)をクリックしてフィルタ ーページに戻り、再度 Test をクリックします。今度はボタンの隣に緑色のチェックマークが表示さ れるはずです。 注記: テストメッセージについては、「Test message (テストメッセージ)」を参照してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 96 3.3.3 アクション ここでは、使用可能なアクションを紹介します。 3.3.3.1 Display (表示) メッセージを画面に表示します。 メッセージ送信先として 25 個のバーチャルディスプレイから1つを選びます。Kiwi Syslog Server の メイン表示ウィンドウのドロップダウンリストから表示する画面を選択します。 ディスプレイの名前を変更するには、File -> Setup -> Display の Modify display names ドロップダ ウンリストからディスプレイを選択して、フィールドに名前を入力し、Update ボタンを押します。詳し くは「Display (ディスプレイ)」を参照してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 97 3.3.3.2 Log to file (ファイル記録) 選択したファイルフォーマットに従いメッセージを指定のファイルに記録します。 Path and file name of log file フィールドにログファイルのファイル名をフルパスで入力するか、 […] ボタンで保存先を参照してファイルを選択します。 デフォルトでは、以下のファイルに受信したメッセージが記録されます。 Kiwi Syslog Server のインストールフォルダ\Logs\SyslogCatchAll-%DateISO.txt (%DateISO の部分は日付) 3.3.3.2.1 AutoSplit (自動分割)値 AutoSplit 値を使用すれば、受信メッセージを複数のログファイルに分割するためにフィルター やアクションを定義する必要がなくなります。 AutoSplit 値を使用するには、新しい値を挿入したい場所にカーソルを置き、Insert AutoSplit value リンクをクリックします。表示されるメニューから挿入したい項目を選択します。変数が現在 のカーソルの位置に挿入されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 98 メッセージを受信すると変数はメッセージの値に置換されます。例えば、%PriLevAA はメッセージ のプライオリティレベルに置換されます。 AutoSplit 値は結果が有効なファイル名になるのであれば、パスやログファイル名のどこでも 使用できます。 例: • メッセージを日付で分割する場合 C:\Logs\MyLogFile%DateD2.txt %DateD2 は現在の日付に置換されます。 23 日に受信したメッセージは C:\Logs\MyLogFile23.txt ファイルに記録されます。 パスおよびファイル名に AutoSplit 値がいくつ含まれていても構いません。 • プライオリティレベルと現在の日付に基づいてメッセージを分割する場合 C:\Logs\%PriLevAA\MyLogFile-%DateISO.txt 結果例: C:\Logs\Debug\MyLogFile-2002-04-09.txt • 送信ホストに基づいてメッセージを分割した後、プライオリティレベルで分割する場合 C:\Logs\%HostName.%HostDomain\MyLogFile-%PriLevAA.txt 結果例: C:\Logs\myhost.mycompany.com\MyLogFile-Debug.txt Run Script ア ク シ ョ ン を 使 え ば 、 任 意 の VarCustom ま た は VarGlobal フ ィ ー ル ド を AutoSplit 値として使用できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 99 各%変数名を覚える必要はありません。メニューアイテムから選択して値を挿入できます。 以下は、現在使用可能な AutoSplit 値の全リストです。 Date (日付)値 メニュー名 パラメータ 説明 例 ISO Date %DateISO 国際日付形式 YYYY-MM-DD 2002-10-15 先行ゼロ付き、常に 10 文字。 (YYYY-MM-DD) Year (YYYY) %DateY4 4 桁の年、常に 4 文字 2002 Year (YY) %DateY2 2 桁の年、常に 2 文字 02 Month (MM) %DateM2 先行ゼロ付きの 2 桁の月、常に 2 文字。 12 %DateM3 英語 3 文字の月名、常に 3 文字。 Nov with leading zero Month (MMM) 先頭は大文字(Jan, Feb, Mar, Apr…) in English Date (DD) %DateD2 先行ゼロ付きの 2 桁の日、常に 2 文字。 05 %DateD3 英語 3 文字の曜日、常に 3 文字。 Fri with leading zero Day (DDD) 先頭は大文字(Sun, Mon, Tue…) in English Time (時間)値 メニュー名 パラメータ 説明 例 Hour (HH) %TimeHH 2 桁の時間、常に 2 文字。24 時間表示。 14 3 p.m. = 15 with leading zero Minute (MM) %TimeMM 2 桁の分、常に 2 文字。 59 %TimeAMPM 2 文字の時刻、常に 2 文字。 AM with leading zero AM/PM indicator 00:00 ~ 11:59 = AM. (AM or PM) 12:00 ~ 23:59 = PM Kiwi Syslog Server Ver.9.4 Rev. 1.2 100 Priority (プライオリティ)値 メニュー名 パラメータ 説明 例 Level (Alpha) %PriLevAA プライオリティレベル名 Critical Debug, Notice, Info 等… Facility %PriFacAA (Alpha) Level ファシリティ名 User Local1, News, Cron… %PriLev00 (2 digit プライオリティレベル(2 桁の数字) 05 00~07 numeric) Facility %PriFac00 (2 digit ファシリティレベル(2 桁の数字) 23 00~23 numeric) Priority %Pri000 (3 digit メッセージプライオリティ(3 桁の数字) 016 000~191 numeric) Input Source(入力ソース)値 メニュー名 パラメータ 説明 例 Input Source %InpSrc メッセージの入力ソース UDP (メッセージ受信待機方式) (UDP/TCP/SNMP) Host IP (ホスト IP)値 メニュー名 パラメータ 説明 例 IP Address %IPAdd4 メッセージ送信デバイスの IP アドレス。 192.168.001 各桁はゼロ埋め。常に 15 文字 .024 メッセージ送信デバイスの IP アドレスの 192.168.001 (4 octets, zero padded) IP Address %IPAdd3 (3 octets, 先頭 3 桁。 zero padded) 各桁はゼロ埋め。常に 11 文字。 IP Address %IPAdd2 メッセージ送信デバイスの IP アドレスの (2 octets, 先頭 2 桁。 zero padded) 各桁はゼロ埋め。常に 7 文字。 203.056 Kiwi Syslog Server Ver.9.4 Rev. 1.2 101 Hostname (ホスト名)値 メニュー名 パラメータ 説明 例 Hostname %HostName メッセージ送信デバイスのホス sales-router ト名。ドメイン名は含まない。 (no domain) Domain %HostDomain mycompany.co.nz イン名。ホスト名は含まない。 (no host) Reversed メッセージ送信デバイスのドメ %HostDomRev メッセージ送信デバイスのドメ domain イン名の逆順序。ホスト名は含 (no host) まない。 nz.co.mycompany Message Text - WELF format WELF フォーマットとは WebTrends 拡張ロギングフォーマットのことです。このフォーマットは GNATBox、SonicWall、CyberWallPlus、NetScreen 等、多くのファイアーウォールで使用されてい ます。メッセージテキストの各フィールドには先頭にタグが付けられています。例えば fw=ファイア ーウォール名、 src=パケット送信元などです。将来はより多くのフィールドが AutoSplit リスト に追加されます。追加が必要な場合は http://www.kiwisyslog.com/support まで連絡してください。 メニュー名 パラメータ 説明 例 Firewall name %TextFW メッセージを生成したファイアーウォ protector ール名 (WELF format) Source %TextSrc ファイアーウォールでロギングされ address たパケットの送信元 IP アドレス (WELF format) (既にファイアーウォールで処理済 192.168.1.6 みでない限りゼロパディング無し) Destination %TextDst ファイアーウォールでロギングされ address たパケットの宛先 IP アドレス (WELF format) (既にファイアーウォールで処理処 203.57.12.1 理済でない限りゼロパディング無し) Protocol %TextProto (WELF format) http たパケットのプロトコル (WELF format) Serial Number ファイアーウォールでロギングされ %TextSn WELF メッセージのようなデバイス abcdDDDXSD のシリアル番号 Kiwi Syslog Server Ver.9.4 Rev. 1.2 102 Custom/Global Script fields (カスタム/グローバルスクリプトフィールド)値 メニュー名 パラメータ 説明 例 VarCustom01 %VarCustom01 Run Script アクションで編集可能な スクリプトが ~ ~ カスタムフィールドが 16 個ありま 生成する任意の VarCustom16 %VarCustom16 す。 値 これらのフィールドがスクリプトで編 集されていない場合、ブランクにな ります。ブランクの AutoSplit 値が挿 入されるとファイル名が不正である というエラーが発生する可能性があ ります。 新しいメッセージを受信するとカスタ ムフィールドの値はクリアされます。 カスタムフィールド値は現在のメッ セージに対してのみ有効です。 単一のメッセージより長く値を保存 する場合は、VarGlobal フィール ドを使用します。 VarGlobal01 %VarGlobal01 Run Script アクションで編集可能な スクリプトが ~ ~ グローバルフィールドは 16 個ありま 生成する任意の VarGlobal16 %VarGloabl16 す。これらのフィールドがスクリプト 値 で編集されていない場合、ブランク になります。 ブランクの AutoSplit 値が挿入され るとファイル名が不正であるという エラーが発生する可能性がありま す。 グローバルフィールドはメッセージ 間で値を保持できます。 3.3.3.2.2 Log file format (ログファイルフォーマット) ドロップダウンリストからファイルに記録するログフォーマットを選択できます。このリストには様々 な標準フォーマットが含まれています。ログフォーマットを変更することで、ファイルに記録するフィ ールドやメッセージの内容を変更できます。使用したいログファイルフォーマットが存在しない場合 は、カスタムフォーマットを作成できます。カスタムフォーマットを作成するには、Formatting ->Custom file formats メニューからで新しいフォーマットを追加し、各フィールドを適宜設定します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 103 次に Log to file アクションで作成した新しいログファイルフォーマットを Log file format ドロップダウ ンリストから選びます(カスタムフォーマットはリストの最後に表示されます)。 プログラムに付属している標準ファイルフォーマットは以下の通りです。 Kiwi format ISO yyyy-mm-dd (Tab delimited) フォーマット: 日付時刻 (YYYY-MM-DD HH:MM:SS) [TAB] プライオリティ (ファシリティ.レベル) [TAB] ホスト名 [TAB] メッセージテキスト 例: 2002-07-22 12:34:56 [TAB] Local5.Debug [TAB] firewall-inside [TAB] prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64 Kiwi format ISO UTC yyyy-mm-dd (Tab delimited) フォーマット: UTC 日付時刻 (YYYY-MM-DD HH:MM:SS) [TAB] プライオリティ (ファシリティ.レベル) [TAB] ホスト名 [TAB] メッセージテキスト 例: 2002-07-22 12:34:56 [TAB] Local5.Debug [TAB] firewall-inside [TAB] prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64 Kiwi Syslog Server Ver.9.4 Rev. 1.2 104 Kiwi format mm-dd-yyyy (Tab delimited) フォーマット: 日付 (MM-DD-YYYY) [TAB] 時刻 (HH:MM:SS) [TAB] プライオリティ (ファシリティ. レベル) [TAB] ホスト名 [TAB] メッセージテキスト 例: 07-22-2002 [TAB] 12:34:56 [TAB] Local5.Debug [TAB] firewall-inside [TAB] prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64 Kiwi format dd-mm-yyyy (Tab delimited) フォーマット: 日付 (DD-MM-YYYY) [TAB] 時刻 (HH:MM:SS) [TAB] プライオリティ (ファシリティ. レベル)[TAB] ホスト名 [TAB] メッセージテキスト 例: 22-07-2002 [TAB] 12:34:56 [TAB] Local5.Debug [TAB] firewall-inside [TAB] prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64 Kiwi format UTC mm-dd-yyyy (Tab delimited) フォーマット: UTC 日付 (MM-DD-YYYY) [TAB] UTC 時刻 (HH:MM:SS) [TAB] プライオリティ (フ ァシリティ.レベル) [TAB] ホスト名 [TAB] メッセージテキスト 例: 07-22-2002 [TAB] 12:34:56 [TAB] Local5.Debug [TAB] firewall-inside [TAB] prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64 Kiwi format UTC dd-mm-yyyy (Tab delimited) フォーマット: UTC 日付 (DD-MM-YYYY) [TAB] UTC 時刻 (HH:MM:SS) [TAB] プライオリティ (フ ァシリティ.レベル) [TAB] ホスト名 [TAB] メッセージテキスト 例: 22-07-2002 [TAB] 12:34:56 [TAB] Local5.Debug [TAB] firewall-inside [TAB] prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64 Comma Separated Values yyyy-mm-dd (CSV) フォーマット: 日付時刻 (YYYY-MM-DD HH:MM:SS), プライオリティ (ファシリティ.レベル),ホスト名, メッセージテキスト Kiwi Syslog Server Ver.9.4 Rev. 1.2 105 例: 2002-07-22 12:34:56,Local5.Debug,firewall-inside, "prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64" Comma Separated Values UTC yyyy-mm-dd (CSV) フォーマット: UTC 日付時刻 (YYYY-MM-DD HH:MM:SS), プライオリティ (ファシリティ.レベル),ホス ト名, メッセージテキスト 例: 2002-07-22 12:34:56,Local5.Debug,firewall-inside,"prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64" BSD Unix syslog format フォーマット: 日付時刻 (Mmm DD HH:MM:SS) [SPACE] ホスト名 [SPACE] メッセージテキスト (先 頭 PID タグ付き) 例: Jul 22 12:34:56 [SPACE] firewall-inside [SPACE] amd[308]: key sys: No value component in "rw,intr" XML tagged format フォーマット: <Message> <DateTime>日付 (YYYY-MM-DD HH:MM:SS)</DateTime> <Priority>プライオリティ (ファシリティ.レベル)</Priority> <Source_Host>ホスト名</Source_Host> <MessageText>メッセージテキスト</MessageText> </Message> 例: <Message> <DateTime>2002-07-2321:53:35</DateTime> <Priority>Local7.Debug</Priority> <Source_Host>firewallinside</Source_Host> <MessageText> prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64</MessageText> </Message> Kiwi Syslog Server Ver.9.4 Rev. 1.2 106 RnRsoft ReportGen format フォーマット: rnrsoft [TAB] 日付 (YYYY-MM-DD) [TAB] 時刻 (HH:MM:SS) [TAB] ホスト名 [TAB] レベル (0-7 の数字) [TAB] メッセージテキスト 例: rnrsoft [TAB] 2002-07-23 [TAB] 22:02:51 [TAB] firewall-inside [TAB] 7 [TAB] prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64 その他: SonicWall, PIX, GNATbox および Netscreen 用 ReportGen に関しては次の Web ページを 参照してください。http://www.reportgen.com WebTrends format フォーマット: WTsyslog [SPACE] 日付 (YYYY-MM-DD) [SPACE] 時刻 (HH:MM:SS) [SPACE] ip=ホストアドレス (a.b.c.d) [SPACE] pri=レベル(0-7 の数字) [SPACE] メッセ ージテキスト 例: WTsyslog [2001-11-12 12:44:45 ip=192.168.168.1 pri=6] <134>id=firewall time="2001-11-15 08:43:42" fw=192.168.1.1 pri=6 src=192.168.1.34 proto=http その他: Webtrends firewall suite に関しては次の Web ページを参照してください。 http://www.netiq.com/products/fwr Cisco PIX PFSS format (Raw logging) フォーマット: <プライオリティ値 (0-191)> メッセージテキスト 例: <191>Built outbound TCP connection 12004 for faddr grc.com/80 gaddr 192.168.2.2/4120 laddr 192.168.1.1/4391 3Com 3CDaemon format (BSD space delimited) フォーマット: 日付時刻 (Mmm DD HH:MM:SS) [SPACE] ホストアドレス [SPACE] メッセージテキスト 例: Jul 22 12:34:56 [SPACE] 192.168.1.1 [SPACE] key sys: No value component in "rw,intr" Kiwi Syslog Server Ver.9.4 Rev. 1.2 107 Raw - Message text only (no priority) フォーマット: メッセージテキストのみ 例: Built outbound TCP connection 12004 for faddr grc.com/80 gaddr 192.168.2.2/4120 laddr 192.168.1.1/4391 Sawmill format ISO yyyy-mm-dd (Tab delimited) フォーマット: 日付 (YYYY-MM-DD HH:MM:SS) [TAB] プライオリティ (ファシリティ.レベル) [TAB] ホスト名 [TAB] メッセージテキスト 例: 2002-07-22 12:34:56 [TAB] Local5.Debug [TAB] firewall-inside [TAB] prot=UDP port=53 dst=203.25.36.47 src=192.168.1.2 bytes=64 その他: Sawmill ログ処理ソフトウェアに関しては次の Web ページを参照してください。 http://www.sawmill.net 3.3.3.2.3 Log File Rotation(ログファイルローテーション) ログファイルローテーションを使用することによってログファイルが無制限に肥大することを防ぎ、 ログデータとして適切なサイズに保つことができます。 ディスクの空き領域が少ない等何らかの制限がある場合は、特にこの機能を使用することを検討 してください。ファイルローテーションはディスク容量の問題を解決する有効な手立てとなります。 ログファイルが一定のサイズや経過時間に達すると、現在のログファイルに別の名前(例: logfile.txt.001)が付けられて移動されます。ログ処理は空のファイルに対して継続されま す。このファイルも所定のサイズや経過時間に達すると同じ処理が実行されます。 こ の と き logfile.txt.001 は logfile.txt.002 に 、 現 在 の ロ グ フ ァ イ ル は logfile.txt.001 に移動されます。この処理はローテーションによって作成されたログファイ ルが設定した数になるまで繰り返されます。それ以降は一番旧いファイルが削除されます(下 図参照)。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 108 Log to file アクションでのログファイルローテーションオプション Enable Log File Rotation (ログファイルローテーションの有効化) このオプションにチェックすると上記のようにログファイルがローテートされます。 チェックをしないとログファイルはローテートされず、通常通りデータがファイルに記録され続 けます。 Total number of log files (ログファイル総数) ローテートするログファイルの総数を指定します。ファイルローテーション処理中に作成される ログファイルの数は指定値を超えることはありません。 例:この値を 4 に設定した場合、 <logfile>、<logfile.001>、<logfile.002>、<logfile.003> という名前の 4 つ までのログファイルが作成されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 109 Maximum log file size (ログファイルの最大サイズ) ローテートするログファイルのサイズが一定のサイズを超えないようにしたいときに設定しま す。各ログファイルのサイズは、バイト、キロバイト、メガバイト、ギガバイトの中から指定でき ます。 Maximum log file age (ログファイルの経過時間) ローテートするログファイルの経過時間が一定の値を超えないようにしたいときに設定します。 各ログファイルの経過時間は、分、時間、日、営業日、週、月、四半期、年の中から指定でき ます。 3.3.3.3 Forward to another host (他のホストへ転送) 他の Syslog ホストに UDP、TCP、KRDP プロトコルを使って受信メッセージを転送します。 Destination IP address or hostname (宛先 IP アドレスまたはホスト名) メッセージの転送先ホストの IP アドレスまたはホスト名を指定します。複数のホストにメッセー ジを送信する場合は、IP アドレスまたはホスト名をカンマで区切って指定します。 例: Myhost.com, SecondHost.net, 203.75.21.3 Kiwi Syslog Server Ver.9.4 Rev. 1.2 110 Protocol (プロトコル) 転送時に使用するプロトコルを UDP(デフォルト)、TCP、KRDP から選択します。 Kiwi Reliable Delivery Protocol (KRDP)は 2 台の Kiwi Syslog Server 間を TCP で転送する信頼性の高い送信です。 New Facility (新しいファシリティ)/ New Level (新しいレベル) すべての送信メッセージに対して指定したファシリティおよびレベルを強制的に適用します。 多くの場合、このオプションは -No Change- (変更無し)に設定して構いません。これは受信 したファシリティとレベルのまま転送することを意味します。 Port (ポート) メッセージを送信するポート番号を指定します。 推奨値は以下の通りです。 UDP 514 TCP 1468 または 601 KRDP 1468 KDRP connection identifier (KDRP 接続識別子) KDRP 接続に対する重複しない固有の名前を指定します。送信元と宛先間の接続が試行さ れるたびに Syslog Server を識別しなければなりません。接続が途切れ、再確立されるとシー ケンス番号が交換され、送信されなかったメッセージが再送されます。メッセージシーケンス 番号は接続 ID ごとに割り当てられます。 例: Source: RemoteOffice1 または SyslogServer1 テキストは送信元から宛先 Syslog Server への接続を識別するために使用されます。 複数の Forward to another host アクションを作成している場合、同一の接続 ID をすべての アクションに使用することができます。これは送信元と宛先間での KRDP 接続は 1 回のみ確 立されることを意味しています。異なる接続 ID を指定すると複数の KRDP セッションが生成さ れます。 ID が重複しない固有な値であることを確実にするために %MACAddress 変数を使用するこ とを推奨します。この変数はマシンの最初の MAC アドレスで置き換えられます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 111 例: Source: RemoteOffice1-%MACAddress 実行時の ID は次のようになります。 Source: RemoteOffice1-AA-BB-CC-DD-EE-FF-00 MAC アドレスは各マシンのネットワークカードに対してグローバルに固有な値が割り当てられ ています。 Send with RFC3164 header information (RFC3164 ヘッダー情報の送信) 送信メッセージに RFC3164 ヘッダーを追加します。 フォーマット: <Priority>Date Hostname PID Message text Priority 0-191 の値を指定します。 Date Mmm DD HH:NN:SS(July 4 12:44:39)の形式で指定します。 年を指定することはできません。 PID 最大 32 文字のプログラム識別子を指定します。 Retain the original source address of the message (オリジナルの送信元アドレスの保持) 通常 syslog プロトコルは syslog をフォワード/リレーする場合には本来の送信元アドレスを保 持できません。なぜならば送信アドレスは UDP または TCP パケットで受信するからです。 Kiwi Syslog Server はメッセージテキストに本来の送信元アドレスを含むタグを埋めることでこ の問題を解決しました。デフォルトでは、タグは Original Address=192.168.1.1 のよ うになります。すなわち Original Address= タグの後に IP アドレス、その後にスペース が来ます。 このタグは Retain the original source address of the message オプションをチェックした場合 だけ挿入されます。 また、このタグは OriginalAddressStartTag および OriginalAddressEndTag という 2 つのレジス トリ設定によって上書きされます。 デフォルトの送信元アドレスの開始/終了タグを変更する方法については「送信元アドレス – カスタムの開始 / 終了タグ」を参照してください。 注記: Spoof Network Packet (ネットワークパケットのスプーフ)オプションにチェックすると、 Original Address= タグは使用されません。syslog パケットは宛先アドレスにあたかも本 来の送信元 IP アドレスから送信されたように転送されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 112 Use a fixed source IP address このオプションは Original Address=タグに固定 IP アドレスを使います。すべての送信メ ッセージが特定のホストから送信されている場合にそれらを識別するのに有効です。たとえ ば多くのリモート Syslog Server から 1 台の Syslog Server に集中して送信するような場合で す。各リモート Syslog Server が 10.0.0.x というアドレス範囲を使っているとすると、すべての受 信メッセージは同一ホストから送信されているように見えます。リモート Syslog Server ごとに 異なる送信元 IP アドレスを指定することによって受信メッセージの識別が容易になります。 注記: Spoof Network Packet オプションにチェックすると、Original Address= タグは 使用されません。Syslog パケットは宛先アドレスにあたかも指定した固定 IP アドレスから送信 されたように転送されます。 Spoof Network Packet WinPcap 4.1 以上のインストールが必要です。 このオプションは UDP プロトコル経由で転送された syslog メッセージにのみ適用されます。ネ ットワークパケットは、転送メッセージがあたかも Syslog Server のアドレスではなく本来の送 信元デバイスの IP アドレスから直接受信したかのように見えます。Kiwi Syslog Server はこの 見せかけの UDP/IP パケットを送信する際 Selected Network Adapter に指定したネットワー クアダプタを使用します。 重要: WinPcap バージョン 4.1 以上がインストールされていなければなりません。WinPcap (Windows Packet Capture library)は http://www.winpcap.org/からダウンロードできま す。 Test ボタン Test ボタンをクリックすると指定ホストへの Syslog メッセージの送信テストが実行されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 113 3.3.3.4 Play a sound (音を鳴らす) 設定したフィルターにメッセージがマッチした場合、指定の音を鳴らします。 System beep (システムビープ音) システムビープ音を鳴らします。 Play sound file (音声ファイル) Filename of wav. sound file (wav 音声ファイル名) 音声ファイル名を入力するか、[…] ボタンでファイルを選択します。 \Sounds フォルダにサンプルの音声ファイルがあります。 Play sound once (1回音を鳴らす) ビープ音または指定した音声ファイルを1回鳴らします。 Play sound until cancelled (キャンセルするまで音を鳴らす) ビープ音または指定した音声ファイルをキャンセルするまで繰り返し鳴らします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 114 Play sound X times, or until cancelled (X 回またはキャンセルするまで音を鳴らす) ビープ音または指定した音声ファイルを X 回もしくはキャンセルするまで繰り返し鳴らします。 Test ボタン Test ボタンをクリックすると指定した音声ファイルの音を確認できます。 3.3.3.5 Run external program (外部プログラム実行) 設定したフィルターにメッセージがマッチした場合、外部プログラムを実行します。 注記: 外部プログラムの新しいインスタンスはメッセージごとに起動されます。このためメッセージ が外部プログラムの exit より速く到着すると問題が発生する可能性があります。特に Syslog がサ ービスとしてインストールされている(インタラクティブな Windows セッションなしでサービスにより外 部プログラムが実行される)場合は、この可能性が高まります。プログラムが実行中であるかどう かを調べる唯一の方法は、タスクマネージャを使うことです。このアクションは注意深く使用しない と複数の外部プログラムのインスタンスのフラッディングを引き起こす可能性があります。 コマンドライン引数としてメッセージの詳細と Syslog 統計を外部プログラムに渡すことが出来ます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 115 Program file name (プログラムファイル名) 外部プログラムのファイル名を入力するか、[…] ボタンでファイルを選択してください。 Command line options (コマンドラインオプション) プログラムに渡すコマンドラインオプションを指定してください。外部プログラムへ渡すメッセ ージの詳細や Syslog 統計の構文については ボタンをクリックしてヘルプページを参照し てください。 Insert message content or counter (メッセージ内容またはカウンターの挿入) 外部プログラムにプログラム変数、カウンター、スクリプトフィールド、統計を渡すには Insert message content or counter リンクをクリックし、ポップアップメニューからオプショ ンを選びます。値の詳細については「Insert message content or counter (メッセージ内容 /カウンターの挿入)」を参照してください。 変数をポップアップメニューから選択します。変数はメッセージの送信前に実際の値に 置換されます。例えば%MsgText は現在の Syslog メッセージに置換されます。 Command line options の入力例: "555-1234", "Syslog - A link has gone down - %MsgAll" または: "Warning, message received from host %MsgHost at %MsgTime" Process Priority (プロセス優先度) 作成する Windows プロセスの優先度を指定します。 以下の値を使用できます。 • Low (低) システムがアイドルのときのみに実行されるスレッドのプロセスに対して指定します。 この値が設定されたプロセススレッドは「低」以上のプライオリティクラスが設定され ているプロセスの実行後に実行されます。スクリーンセーバーなどが該当します。 プライオリティクラスがアイドルのプロセスは子プロセスに引き継がれます。 • BelowNormal (通常以下) アイドル以上通常以下のプライオリティのプロセスに対して指定します。 • Normal (通常)(デフォルト) 特にスケジュールする必要のないプロセスに対して指定します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 116 • AboveNomal (通常以上) 「通常」以上「高」以下のプライオリティのプロセスに対して指定します。 • High (高) 直ぐに実行する必要のある緊急度の高いタスクを実行するプロセスに対して指定し ます。「通常」やアイドルのプロセススレッドよりも先に処理されます。例えば、タスク リストなど OS にかかる負荷を無視してでもユーザーに呼び出されたらすぐに応答 する必要のあるプロセスに対して設定します。この値を適用すると、使用可能なほ ぼすべての CPU 時間が消費されるため使用するときは特に注意が必要です。 • Realtime (リアルタイム) 注記: この値に設定するとシステムがロックアップする可能性があります。 最優先のプロセスに対して指定します。この値の設定されたプロセススレッドは他 のすべてのプロセスよりも先に実行されます。重要なタスクを実行する OS のプロセ スなどがこれに該当します。例えば、非常に短い間隔でアルタイムプロセスが繰り 返し実行されると、ディスクキャッシュへの書き込みが不能になったり、マウスが応 答しなくなったりすることがあります。 Window Mode (ウィンドウモード) プロセスがユーザーインターフェイスを有するときに Window Mode にします。ユーザーインタ ーフェイスの無いプロセスには無効です。サービス版の Syslog Server では使用できません。 以下の値を使用できます。 • Hide (非表示) • Normal (通常) • Minimized (最小化) • Maximized (最大化) Wait for program initialization to complete before continuing (継続前に初期化が完了するのを待 つ) チェックすると、Syslog Server は新たなプロセスが初期化されるまで待ちます。すなわち新た なプロセスがアイドルになるまで待ちます。 注記: これはブロック操作です。プロセスから InputIdle シグナルを受信するまで Syslog Server によるメッセージ処理は実行されません。そのため、どのくらい Syslog Server がプロセ Kiwi Syslog Server Ver.9.4 Rev. 1.2 117 スの初期化を待つかを Maximum time to wait X ms (最大 X ms 待つ)オプションで指定する 必要があります。この時間が過ぎると、Syslog Server はプロセスが正常に開始されたとみな します。 この設定は後にプロセスと相互連携するためプロセスが開始したことを確認するのに有効で す。 3.3.3.6 E-mail message (E メールメッセージ送信) 設定したフィルターにメッセージがマッチした場合、E メールを送信します。 受信した Syslog メッセージの詳細や Syslog 統計を E メールの件名やメッセージ本文に挿入するこ とができます。事実上 Syslog から E メールへのコンバータとして使うことが出来ます。 最初に E-mail オプション(「E-mail (E メール)」を参照してください)で SMTP サーバーと E メール形 式(HTML/プレーンテキスト)オプションの設定が必要です。 E-mail Recipients (E メール受信者) 受信者アドレスを指定します。複数のアドレスを指定する場合は、各アドレスをカンマ区切り で入力します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 118 E-mail From (E メール From) 送信者アドレスを指定します。 E-mail Subject (E メール件名) 件名を指定します(1 行のみ)。件名の最大送信文字数は Max subject length (最大件名長) オプションで指定した文字数です。 E-mail Message (E メールメッセージ) メッセージを指定します(複数行可能)。このメッセージをポケットベルに送るのであれば、メッ セージ本文を指定せず空白のままほうが良いでしょう。ポケットベルシステムの多くはディス ク領域が限られているため、件名のみを指定してください。メッセージ本体の送信データ文字 数を制限するには Max message length (最大メッセージ長)オプションを使用します。メッセ ージ本文に変数 %MsgText が含まれているときに大きな syslog メッセージを受信してしまう と、E メールで送信するには大きすぎて送れなくなる可能性があります。このオプションを指定 することによって、メッセージ本文を扱いやすい長さに制限することが可能です。 Insert message content or counter (メッセージ内容またはカウンターの挿入) プログラム変数、カウンター、スクリプトフィールド、統計をメッセージや件名に渡すことができ ます。値の詳細については「Insert message content or counter (メッセージ内容/カウンター の挿入)」を参照してください。 カーソルを E-mail Subject(E メール件名)や E-mail Message (E メールメッセージ)フィール ド内に置き、Insert message content or counter リンクをクリックします。表示されたポップアッ プメニューから変数を選択します。この変数はメッセージ送信前に実際の値に置換されます。 例えば %MsgText は現在の Syslog メッセージテキストに置換されます。 例: E-mail Subject: Syslog Alert from %MsgHost E-mail Message: Message from Host %MsgHost at %MsgTime on %MsgDate Message: %MsgText Kiwi Syslog Server を、syslog メッセージを E メールに変換するコンバータとして使うには、 E-mail Message (E メールメッセージ)フィールドに %MsgAll キーワードを挿入し、受信した すべての syslog メッセージ情報を E メールメッセージに渡します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 119 大量のメッセージを受け取ると、E メールサーバーに輻輳が発生する可能性があるので注意 が必要です。E メールバッファは最大 1,000 メッセージまでしか保持できず、それ以降のメッセ ージは失われます。これは大量の syslog メッセージを一度に受信し、メールサーバーがビジ ーになったときに有効な機能です。 E メールは送信前に 1 分間キューされます。メッセージ送信の都度メールサーバーに接続す るよりもこの方が効率的です。キューに入ったメッセージは 1 分後にバッチ送信されます。 E-mail Delivery Options このオプションを使用すると、E メールメッセージに Importance (重要度)、Priority (プライオリ ティ)、Sensitivity (種類)のフラグを設定できます。E メール受信者にはこれらのレベルが付い たメッセージが届きます。 Importance Unspecified (デフォルト) / High / Normal / Low Priority Unspecified (デフォルト) / Normal / Urgent / Non-urgent Sensitivity Unspecified (デフォルト) / Personal / Private / Confidential Expand <013><010> in message <013> および <010> に置換された CR(キャリッジリターン)および LF(ラインフィールド)を 元に戻します。 Setup > Modifiers メニューから Replace non printable characters with <ASCII value> (印 刷不可文字を ASCII 値へ置換する) オプションがチェックされている場合、Syslog メッセージ に含まれている CR(キャリッジリターン)、LF(ラインフィールド)が <013> および <010> に置換されます。E メールで転送する時に元の文字(CR、LF)に戻した方が、テキストが読み 易くなり便利です。 Max subject length E メール件名の最大文字数を指定します。 Max message length E メールメッセージの最大文字数を入力します。 Test ボタン 指定した E メール受信者にテストメールを送信します。テストメールの内容は Test message Kiwi Syslog Server Ver.9.4 Rev. 1.2 120 (テストメッセージ)画面から変更できます。Test message 画面を開くには、Test Setup (テス トセットアップ)ボタンをクリックします。 3.3.3.6.1 Insert message content or counter (メッセージ内容/カウンターの挿入) 変数やカウンターをポップアップメニューから選択できます。変数はメッセージ送信前に実際の値 に置換されます。例えば %MsgText は現在の syslog メッセージに置換されます。ポップアップメ ニューの中から項目をクリックすると、現在のカーソル位置に%変数が挿入されます。 例: E-mail Subject フィールド: Syslog Alert from %MsgHost 変数および機能一覧 メニュー名 パラメータ 説明 例 All of the %MsgAll 画面に表示される通りのメッ 2005-10-10 セージ全体。 11:28:04 時刻、日付、プライオリティ、 Local7.Debug メッセージテキストを含む(ス host.company. ペース区切り)。 com This is a message test message Date %MsgDate メッセージ受信日。 2005-02-18 YYYY-MM-DD フォーマット Time %MsgTime メッセージ受信時刻。 22:30:16 HH:MM:SS フォーマット Facility %MsgFacility メッセージのファシリティ。 Local7, Mail テキストフォーマット Level %MsgLevel メッセージのレベル Debug, Info テキストフォーマット Host address %MsgHost 192.168.1.1 レス of sender Host IP 送信デバイスのホスト IP アド %MsgIPAddr ホスト IP アドレス 192.168.1.1 %MsgText syslog メッセージに含まれる This is a test テキスト部分 message アラームを鳴らす最小メッセ 100 (1 時間あたり ージ数(閾値レベル) に受信する最小メ address only Message text Alarm min msg threshold %MsgAlarmMin ッセージ数) Kiwi Syslog Server Ver.9.4 Rev. 1.2 121 Alarm max msg %MsgAlarmMax threshold アラームを鳴らす最大メッセ 5000 (1 時間あたり ージ数(閾値レベル) に受信する最大メ ッセージ数) Alarm disk %MsgAlarmDisk ディスク残量の最小閾値レベ 90 (MB) ル(単位:MB) space threshold Disk space %MBRemaining ディスク残容量 29621 (MB) %MsgThisHour この 1 時間の受信メッセージ 254 remaining(MB) Msg count 数 this hour Msg count %MsgLastHour 直前 1 時間の受信メッセージ 254 数 last hour MAC address %MACAddress Rule Name %RuleName 最初に見つかったネットワー AA-BB-CC-DD-E クアダプタの MAC アドレス E-FF-00 このアクションをトリガした EmailAction ルールの名前 Custom/Custom Statistics/Global Stats フィールド メニュー名 パラメータ 説明 例 VarCustom01 %VarCustom01 Run Script アクションで編集可能な スクリプトが ~ ~ カスタムフィールドは 16 個ありま 生成する任意の VarCustom16 %VarCustom16 す。 値 これらのフィールドがスクリプトで修 正されていない場合、ブランクにな ります。ブランクの Autosplit 値が挿 入されるとファイル名が不正である というエラーが出る可能性がありま す。 新しいメッセージを受信するとカスタ ムフィールドの値はクリアされます。 カスタムフィールド値は現在のメッ セージに対してのみ有効です。 メッセージ間で値を保持したい場合 は、VarGlobal フィールドを使用し ます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 122 VarStats01 %VarStats01 Run Script アクションで編集可能な スクリプトが ~ ~ 統計フィールドは 16 個あります。 生成する任意の VarStats16 %VarStats16 統計フィールドにはメッセージ間の 値 値が入っています。 統計フィールドに関連付けられてい る名前とその初期値は Setup ウィン ドウの Scripting オプションで変更で きます。 カスタム統計値は統計表示や日別 の統計 E メールで確認できます。 VarGlobal01 %VarGlobal01 Run Script アクションで編集可能な スクリプトが ~ ~ グローバルフィールドは 16 個ありま 生成する任意の VarGlobal16 %VarGloabl16 す。これらのフィールドがスクリプト 値 で変更されていない場合、ブランク になります。 ブランクの Autosplit 値が挿入され るとファイル名が不正であるという エラーが出る可能性があります。 グローバルフィールドにはメッセー ジ間の値が入っています。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 123 3.3.3.7 Send Syslog message (Syslog メッセージ送信) 設定したフィルターにメッセージがマッチした場合、指定したホストに syslog メッセージを送信しま す。受信メッセージの詳細と syslog 統計を送信する syslog メッセージに含めることができます。 syslog メッセージを追加情報とともにあるいはカスタムテキストを追加して他のホストにリレーでき ます。 IP address or Hostname (IP アドレスまたはホスト名) 宛先 IP アドレスまたはホスト名を指定します。 複数のホストに syslog を送信する場合は、ホスト名または IP アドレスをカンマ区切りで入力し ます。 例: Myhost.com, SecondHost.net, 203.75.21.3 Syslog message text (Syslog メッセージテキスト) 送信する syslog メッセージを指定します。デフォルトは %MsgText (syslog に含まれるメッ セージ部分)です。情報を追加することができます。 Insert message content or counter (メッセージ内容/カウンターの挿入) 受信した syslog メッセージの詳細や syslog 統計をプログラム変数、カウンター、スクリプ Kiwi Syslog Server Ver.9.4 Rev. 1.2 124 トフィールドを挿入することができます。Insert message content or counter link をクリック しポップアップメニューからオプションを選びます。値の詳細については関連項目「Insert message content or counter (メッセージ内容/カウンターの挿入)」を参照してください。 変数はメッセージ送信前に実際の値に置換されます。例えば%MsgText は現在の syslog メッセージテキストで置換されます。 例: Syslog Alert from %MsgHost または、 Message from Host %MsgHost at %MsgTime on %MsgDate Message: %MsgText New Facility (新しいファシリティ) 送信するメッセージに新しいファシリティ適用します。 デフォルト(No Change)では受信したファシリティがそのまま送信されます。 New Level (新しいレベル) 送信するメッセージに新しいレベルを適用します。 デフォルト(No change)では、受信したレベルがそのまま送信されます。 New Socket (新しいソケット) 送信に使用するポート番号を設定します。 デフォルトでは、514 が使用されます。 Test 指定アドレスに syslog テストメッセージが送信されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 125 3.3.3.8 Log to Database (データベース記録) 設定したフィルターにメッセージがマッチした場合、メッセージをデータリンク接続文字列で指定し たテーブルに記録します。 Data link connection string (データリンク接続文字列) [...] ボタンをクリックし、データリンクの接続文字列を入力または編集します。 データリンク プロパティダイアログには、”プロバイダー”、”接続”、”詳細設定”、”すべて” の 4つのタブがあります。 • プロバイダー タブ データベースプロバイダーを選択します。 • 接続 タブ 利用可能なプロバイダーのデータソース名(DSN)を選択するか、カスタム接続文字 列を入力します。システムに事前定義されているプロバイダーの有効なデータソー ス名(DSN)が、ドロップダウンリストに表示されます。 接続のテストボタンをクリックすると、設定された接続プロパティが正しいかどうかを Kiwi Syslog Server Ver.9.4 Rev. 1.2 126 検証できます。 • 詳細設定タブ その他の初期プロパティを確認し設定します。 設定が終了したら OK をクリックします。 Database table name (データベーステーブル名) 有効なデータベーステーブル名を指定します。指定したテーブルには選択したデータベース フォーマットに合致するフィールド名が設定されていなければなりません。フィールドサイズが 小さすぎると、データがデータベースに記録される時に切り詰められてしまいます。 デフォルトのテーブル名は Syslogd です。 Log to Database アクションをテストするには Test ボタンを押します。アクションの成功/失 敗およびエラーの詳細を示すメッセージが表示されます。 Database type/field format (データベースタイプ/フィールドフォーマット) デフォルトのデータベースタイプリストから選択するか、Edit custom format ボタンをクリック してオリジナルのフォーマットを作成します。 デフォルトで利用できるデータベースタイプは以下の通りです。 • Access • SQL • MySQL • Oracle デフォルトのデータベーステーブルは以下のように設計されています。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 127 Microsoft Access データベース フィールド 名前 型 サイズ 日付 MSGDATE Date 時刻 MSGTIME Time プライオリティ MSGPRIORITY Text 30 ホスト名 MSGHOSTNAME Text 255 メッセージテキスト MSGTEXT Memo SQL データベース (Microsoft SQL および一般的な SQL) フィールド 名前 型 サイズ 日付 MSGDATE VarChar 10 時刻 MSGTIME VarChar 8 プライオリティ MSGPRIORITY VarChar 30 ホスト名 MSGHOSTNAME VarChar 255 メッセージテキスト MSGTEXT VarChar 1024 フィールド 名前 型 日付 MSGDATE Date 時刻 MSGTIME Time プライオリティ MSGPRIORITY VarChar 30 ホスト名 MSGHOSTNAME VarChar 255 メッセージテキスト MSGTEXT Text フィールド 名前 型 日付 MSGDATE Date 時刻 MSGTIME Time プライオリティ MSGPRIORITY VarChar2 30 ホスト名 MSGHOSTNAME VarChar2 255 メッセージテキスト MSGTEXT VarChar2 1024 MySQL データベース サイズ Oracle データベース サイズ 注記: データベースが他のプロセスで排他的に開かれている間は、Kiwi Syslog Server はデータベ Kiwi Syslog Server Ver.9.4 Rev. 1.2 128 ースに新しいレコードを記録できません。 Create table (テーブル作成)ボタン Data link connection string フィールドで指定したデータベースにテーブルを作成します。既 存のテーブルは削除され内容が失われます。選択した Database type/field format(データベ ースタイプ/フォーマット)で新しいテーブルが作成されます。新しいテーブルの作成が完了す ると確認メッセージが表示されます。テーブル作成中に問題が生じると、エラーメッセージが 表示されます。問題を修正してください。 Query table (テーブル検索)ボタン 指定したテーブルの最終 5 エントリを取得します。DSN タイプはダイナミックにアクセスできる ように指定します。データベースに対して Move previous コマンドが発行されるので、 Foward only データベースは正しく読み取れません。 結果がメモ帳で表示されます。テーブル構造と最終 5 フィールドのデータを確認できます。 例: Query table 結果 Field name Type Size Data MsgDate adVarChar 10 MsgTime adVarChar 8 MsgPriority adVarChar 30 MsgHostname adVarChar 255 MsgText adVarChar 1024 2010-12-13 13:45:23 Local7.Debug host.company.com This is a test message from Kiwi Syslog Server Edit custom format (カスタムフォーマットの編集)ボタン Database type/field format のドロップダウンリストからカスタムフォーマットを選んで、このボ タンを押すと選択したカスタムフォーマットが表示されます。カスタムフォーマットを選択しなか った場合、Custom DB formats オプションで新しいフォーマットを作成できます。 Show SQL commands (SQL コマンドの表示)ボタン 選択したテーブルを作成しデータを挿入する SQL コマンドを生成します。生成されるコマンド は選択したデータベースによって異なります。これらのコマンドを使ってご使用のデータベー スアプリケーションで使用できるデータベーステーブルスキーマを生成できます。あるいは、 Create table (テーブル作成) ボタンを使って Kiwi Syslog Server からテーブルを生成すること Kiwi Syslog Server Ver.9.4 Rev. 1.2 129 も可能です。 例: 生成される SQL コマンド Database type: Access database Database name: Kiwi Access format ISO yyyy-mm-dd SQL command to create the table: CREATE TABLE Syslogd (MsgDate DATE,MsgTime TIME, MsgPriority TEXT(30), MsgHostname TEXT(255),MsgText MEMO) SQL INSERT command example: INSERT INTO Syslogd (MsgDate, MsgTime, MsgPriority, MsgHostname, MsgText) VALUES ('2005-03-28', '14:58:04', 'Local7.Debug', 'host.company.com', 'This is a test message from Kiwi Syslog Server') Connection Inactivity timeout (接続タイムアウト) 最終メッセージの送信からどのくらいデータベース接続をオープンしているかを指定します。 接続のオープンとクローズはデータベースのロギングにおいて最も時間のかかる処理です。 データのロギング中は継続してオープンにします。タイムアウト前にログデータが無くなった 場合、データベース接続はクローズされます。新しいメッセージが到着すると再び接続がオー プンされます。 デフォルト値は 600 秒 (10 分)です。0 を指定すると接続がタイムアウトしなくなります。最大 値は 86400 秒(1 日)です。 Run debug command (デバッグコマンドの実行)ボタン データベースへのロギング中に問題が発生した場合、このボタンを使用して診断します。デ ータベースで実行する SQL コマンドを入力するための別のウィンドウが開きます。コマンドが 失敗すると結果フィールドに詳細なエラーメッセージが表示されます。デフォルトでは選択し たデータベースタイプの現在の INSERT 文が SQL command to execute on database (デー タベースに実行する SQL コマンド) フィールドに表示されます。この文を少し変更してテストを 試みることができます。 このオプションを実行してもデータベース上でクエリーが実行されるわけではありません。エ ラー情報だけが結果フィールドに返されます。例えば Select From 文を実行し結果を得る ことはできません。わかるのはその文が正しく実行されたか否かだけです。 Show SQL commands ボタンをクリックすれば、デバッグテストで使用するべき正しい構文を Kiwi Syslog Server Ver.9.4 Rev. 1.2 130 確認できます。 カスタムフィールド カスタムフィールド(「Custom DB formats (カスタム DB フォーマット)」を参照してください。)は Run script アクションで使います。構文解析スクリプトを作成すると、syslog メッセージテキス トをいくつかのサブフィールドに分離できます。値は 16 個のカスタムフィールドに割り当てられ データベースに記録されます。syslog メッセージはデバイスメーカーごとに異なるフォーマット で生成されますので、メッセージテキストを別々のフィールドに分離する汎用の構文解析プロ グラム(パーサー)を作成することはできません。メッセージテキストを解析し、カスタムデータ ベースフィールドに挿入するカスタムスクリプトを作成しなければなりません。\Scripts サ ブフォルダに構文解析スクリプトのサンプルがありますので参考にしてください。 3.3.3.8.1 サービス版実行時の記録エラー Kiwi Syslog Service Manager から ODBC ロギングテストを実行する場合は、現在のユーザー(通 常 Administrator)でプログラムが実行されます。 これに対して、サービスが ODBC データベースにログを記録する場合は、デフォルトでは Local System ユーザーで処理されます。 ODBC のロギングテストは正しく実行できるがサービス処理時でエラーが発生する場合は、サービ スのログオン名を Local System ではなく Administrator に変更してみてください。 サービスのログオン名を変更するには、コントロールパネル > 管理ツール > サービスを選択し てサービスアプレットを開き、Kiwi Syslog Server サービスのプロパティ画面のログオンタブ から変更できます。 注記: プログラムをデスクトップから操作できるようにするためのチェックボックス(デスクトップと の対話をサービスに許可)もあります。必要であればオンにしてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 131 3.3.3.9 Log to NT event log (NT event log への記録) 設定したフィルターにメッセージがマッチした場合、syslog メッセージを NT イベントログに記録しま す。 Event log message type (イベントログメッセージタイプ) NT イベントログには、「エラー」、「警告」、「情報」、「成功の監査」、「失敗の監査」の 5 種類の ログレベルがあります ドロップダウンリストからログレベル(Error、Warning、Information、Success Audit、Failure Audit)を選びます。このレベルが付加されたメッセージが NT イベントログに記録されます。 Insertion string options (文字列挿入オプション) メッセージをイベントログに挿入する方法は次の 3 通りあります。 Single Insertion String (単一挿入文字列) 以下のフォーマットでメッセージが挿入されます。 日付 – Tab – 時刻 – プライオリティ – Tab – ホスト名 – Tab – メッセージ 5 Tab delimited Insertion Strings (5 つのタブ区切りの挿入文字列) Kiwi Syslog Server Ver.9.4 Rev. 1.2 132 %1 Tab %2 Tab %3 Tab %4 Tab %5 %1 = 日付 %2 = 時刻 %3 = プライオリティ %4 = ホスト名 %5 = メッセージ 5 Space delimited Insertion Strings (5 つのスペース区切りの挿入文字列) %1 スペース %2 スペース %3 スペース %4 スペース %5 %1 = 日付 %2 = 時刻 %3 = プライオリティ %4 = ホスト名 %5 = メッセージ Test NT イベントログのテストが実行されます。Windows 95/98 のような NT 以外のシステムではメ ッセージは書き込まれずエラーメッセージが表示されます。 注記: デフォルトではイベントログビューアでイベントログを表示すると、システムイベントを 表示するように設定されています。アプリケーションイベントを表示するには、イベントビュー アのログメニューでアプリケーションを選択してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 133 3.3.3.10 Send SNMP Trap (SNMP トラップ送信) 設定したフィルターにメッセージがマッチした場合、指定した IP アドレスに SNMP トラップを送信し ます。 Destination host (宛先ホスト) SNMP メッセージ送信先の IP アドレスまたはホスト名を入力します。 Message text (メッセージテキスト) 転送する SNMP トラップの内容を入力します。このフィールドにはすべての標準メッセージ変 数を挿入できます。これらの変数は Insert message content or counters (メッセージ内容ま たはカウンターの挿入)リンクをクリックして選択できます。 Agent IP address (エージェントの IP アドレス) SNMP トラップ送信元として表示する IP アドレスです。デフォルトは From original sender (オ リジナルの送信元から)ですが From this machine (このマシンから)(つまり Kiwi Syslog Server を実行しているマシンのアドレス)を設定することもできます。 Generic type (Generic タイプ) Kiwi Syslog Server Ver.9.4 Rev. 1.2 134 送信するトラップタイプを示す0~6 の値を指定します。version 1 トラップに対してのみ適用さ れます。 使用可能な値は以下の通りです。ドロップダウンリストから選択できます。 0 - Cold Start 1 - Warm Start 2 - Link Down 3 - Link Up 4 - Authentication Failure 5 - EGP Neighbor Loss 6 - Enterprise Specific Version (バージョン) Kiwi Syslog Server から SNMP トラップを受信するシステムがサポートする SNMP バージョン (Version 1 あるいは Version 2) を選択します。 Enterprise OID SNMP トラップの MIB エンタープライズを表す値 (例:1.3.6.1.x.x.x.x) を指定します。 Version 1 トラップ専用のフィールドです。Version 2 トラップの Enterprise 値はメッセージに2 番目の変数としてバインドされています。 Generic Type を 6 に設定すると Enterprise タイプのトラップとなります。この場合、特定の トラップ値を指定することを考慮しなければなりません。 Variable OID Version 2 SNMP トラップの MIB 変数を表す値 (例: 1.3.6.1.x.x.x.x) を指定します。 Community (コミュニティ) トラップメッセージのパスワードのようなものです。通常この値は public、private または monitor に設定します。 Specific type (特定タイプ) 送信するトラップの条件を指定します。Version 2 トラップの場合は、トラップ(または syslog メッ セージ)を送信する特定のデバイスに定義された MIB 固有の条件となります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 135 Remote port (リモートポート) SNMP トラップを送信するポートを指定します。デフォルトでは 162 に指定されています。 この設定を変更する場合、SNMP トラップ受信デバイスの受信待機ポートもこれと同じ番号に する変更する必要があります。 3.3.3.11 Stop processing message (メッセージ処理終了) メッセージ処理を終了します。 このメッセージは他のルールでこれ以上評価されません。 3.3.3.12 Send ICQ instant message (ICQ インスタントメッセージ送信) *** この機能は ICQ WWW ページングシステムへの変更中であり無効になっています。まもなく変 更が完了します。 *** Kiwi Syslog Server Ver.9.4 Rev. 1.2 136 フィルターにマッチした Syslog メッセージを受信すると、指定した ICQ 番号に ICQ インスタントメッ セージを送信します。 WWPager メッセージを受信すると ICQ にアラームメッセージが表示されます。ICQ アラームメッセー ジは読んだ後閉じることができます。 メッセージは ICQ Web ベースインターフェイス経由で送信されます。現在は無料のサービスです。 ICQ クライアントは http://www.icq.com から無料でダウンロードできます。 メッセージの配信は保証されず最大の努力をして配信するという条件で実行されます。ICQ はポ ケットベルメッセージを 2 秒に 1 回に制限します。これより早いメッセージは失われます。 この機能を使うには標準 http で ICQ Web サーバーのポート 80 に接続しなければなりません。透 過プロキシは問題になりません。この機能はポート 80 への直接アクセスをブロックするファイアー ウォール経由では動作しません。宛先 Web サイトアドレスは http://wwp.icq.com です。この アドレスをファイアーウォールの直接アクセスリストに追加します。 メッセージの件名あるいは本文に受信した Syslog メッセージや Syslog 統計の詳細を含めることが できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 137 ICQ number (ICQ 番号) 有効な ICQ 番号を入れてください。 From name (From 名) 任意の名前を入力できます。ICQ メッセージのニックネームとして表示されます。 From e-mail (From E メール) 有効な返信アドレスを入力してください。ICQ メッセージの E メールアドレスフィールドに表示さ れます。 Subject (件名) メッセージの件名を指定します。通常は %MsgHost を入力します。この変数は、本来の syslog メッセージを送信したデバイスのホスト名に置換されます。 Insert message content or counter (メッセージ内容またはカウンターの挿入)リンクをクリッ クするとホップアップメニューが表示され、変数を選択できます。Max message length (最大メ ッセージ長)オプションを指定すれば送信する件名の文字数を制限できます。 Message (メッセージ) ICQ メ ッ セ ー ジ に 送 る メ ッ セ ー ジ を 指 定 し ま す 。 通 常 こ れ は %MsgText を 入 力 し ま す。%MsgText は本来の syslog メッセージのメッセージテキストで置換されます。 他の変数を挿入することもできます。Insert message content or counter (メッセージ内容ま たはカウンターの挿入)リンクをクリックするとホップアップメニューが表示され、変数を選択で きます。Max message length (最大メッセージ長)オプションを指定すれば送信するメッセージ の長さを制限できます。メッセージ本文に変数%MsgText が含まれているときに大きな syslog メッセージを受信してしまうと、ICQ に送信するには大きすぎて送れなくなる可能性が あります。このオプションを指定することによって、メッセージ本文を扱いやすい長さに制限す ることが可能です。 Expand <013><010> in message <013> および <010> に置換された CR(キャリッジリターン)および LF(ラインフィールド)を 元に戻します。 Setup > Modifiers メニューから Replace non printable characters with <ASCII value> (印 刷不可文字を ASCII 値へ置換する) オプションがチェックされている場合、Syslog メッセージ Kiwi Syslog Server Ver.9.4 Rev. 1.2 138 に含まれている CR(キャリッジリターン)、LF(ラインフィールド)が <013> および <010> に置換されます。ICQ で送信する時に元の文字(CR、LF)に戻した方が、テキストが読み易く なり便利です。 Max subject length (最大件名長) ICQ メッセージ件名の最大文字数を指定します。 Max message length (最大メッセージ長) ICQ メッセージの最大文字数を入力します。 Test ボタン 指定した ICQ メッセージ受信者にテストメッセージを送信します。テストメッセージの内容は Test message (テストメッセージ)画面から変更できます。Test message 画面を開くには、 Test Setup (テストセットアップ)ボタンをクリックします。 Test ボタンをクリックすると指定した ICQ 番号に ICQ ポケットベルメッセージがテスト送信され ます。Test Setup ボタンをクリックすればテストメッセージの設定を変更できます。 例: ICQ ポケットベルメッセージ Nickname: Syslog Server E-mail: [email protected] Sender IP: xxx.xxx.xxx.xxx Subject: firewall.company.com Firewall Alert - Unauthorized login attempt: User=Administrator Insert message content or counter (メッセージ内容またはカウンターの挿入) プログラム変数、カウンター、スクリプトフィールド、統計を ICQ メッセージや件名に渡すことが できます。値の詳細については「Insert message content or counter (メッセージ内容/カウンタ ーの挿入)」を参照してください。 カーソルを Subject(件名)や Message (メッセージ)フィールド内に置き、Insert message content or counter リンクをクリックします。表示されたポップアップメニューから変数を選択し ます。この変数はメッセージ送信前に実際の値に置換されます。例えば %MsgText は現在 の syslog メッセージテキストに置換されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 139 例: Subject(件名)フィールド: Syslog Alert from %MsgHost Message(メッセージ)フィールド: Message from Host %MsgHost at %MsgTime on %MsgDate Message: %MsgText 3.3.3.13 Run Script (スクリプト実行) フィルターにマッチした Syslog メッセージを受信すると、指定したスクリプトを実行し現在のメッセー ジに対するフィルターや解析処理を行います。 スクリプトの作成手順および使用方法については後述します。 スクリプトファイルの規則 スクリプトには必ず関数 Main() が含まれていなければなりません。パラメータは関数に渡 されませんが、スクリプトの実行が成功したことを示す OK を返さなければなりません。OK 以 外が戻ってきた場合はスクリプトにエラーがあると判断され、エラーログに記録されます。スク リプト関数から戻り値も診断用にエラーログに記録されます。 例 (VB スクリプト): Function Main() ' ここにコードを記述します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 140 ' 戻り値を設定します。 Main = "OK" End Function 使用可能なスクリプト変数については「スクリプト変数」を参照してください。 Script file name (スクリプトファイル名) スクリプトファイルはスクリプトコマンドが記述された標準テキストファイルです。ファイルの拡 張子は任意ですがデフォルトはメモ帳で編集しやすいよう .txt になっています。 Script description (スクリプトの説明) 任意の説明文を入力できます。スクリプトの機能を簡単に説明してください。 Script language (スクリプト言語) Windows Script では Visual Basic® Scripting Edition と Microsoft JScript® の 2 つのスク リプトエンジンがサポートされています。 • VBScript MS Word と Excel で使われる Visual Basic や VBA (Visual Basic for Applications)の一種 です。学習しやすい上に豊富な機能セットがあります。 • Jscript Web で使われる Java スクリプトの一種です。Java スクリプトに精通している場合はこれを 選択してください。 どちらの言語も機能面でも処理速度の面でも同等です。どちらを選択しても構いません。お 好みで選んでください。SolarWinds 社でのテストでは、スクリプトが主に文字列操作である場 合、ほとんどのケースで JScript の方が、処理速度が速かったという結果が出ました。 VBScript に関しては以下の Web ページを参照してください。 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/vtoriVB Script.asp (リンク切れ) JScript に関しては以下の Web ページを参照してください。 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/js56jsor iJScript.asp (リンク切れ) Kiwi Syslog Server Ver.9.4 Rev. 1.2 141 他に Perl、Python、Ruby などのスクリプト言語も選択できます。 ただし、これらを選択した場合には対応するスクリプティングエンジンをインストールする必要 があります。 PerlScript については次の Web ページを参照してください。 http://www.activestate.com/Products/ActivePerl Python については次の Web ページを参照してください。 http://www.activestate.com/Products/ActivePython ActiveScriptRuby については次の Web ページを参照してください。 http://arton.hp.infoseek.co.jp/index.html (リンク切れ) Edit Script (スクリプト編集)ボタン メモ帳でスクリプトファイルを開きコードの確認/変更ができます。コードを変更したら必ずファ イルを保存してください。Test ボタンでテストできます。 Test ボタン 指定のスクリプトを実行します。スクリプトには Main() 関数が含まれていなければなりませ ん。Syslog Server から呼び出される唯一の関数です。Main() 関数から OK が返されると スクリプトは成功したことになります。 スクリプト実行中にエラーが起こるとメッセージボックスにエラーの説明とその行番号が表示 されます。スクリプト実行が成功し Show test results (テスト結果の表示)オプションがチェッ クされていると実行前と実行後の変数が表示されます。スクリプトにより変数が変化したこと がわかります。 Setup 画面からスクリプトをテストした場合(Test ボタンを押す)は、スクリプトはキャッシュに保 存されません。各スクリプトは実行前に新しくロードされます。 Show test results (テスト結果の表示)オプション スクリプトが正しく実行され Show test results (テスト結果の表示)オプションがチェックされ ていると、実行前と実行後の変数が表示されます。スクリプトにより変数が変化したことがわ かります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 142 スクリプトファイルのキャッシュ 通常のオペレーションではスクリプトファイルがディスクから読み込まれるとキャッシュに入り ます。これにより、プログラム実行速度が上がり余分なディスクアクセスが減ります。スクリプ トを変更してディスクに保存した場合は、その変更を反映させるためにプログラムを再起動し てください。 Kiwi Syslog Server をアプリケーション版としてインストールした場合は、Manage -> Debug options -> Clear the script file cache (スクリプトファイルキャッシュのクリア)メニューでスク リプトファイルキャッシュをクリアし、ディスクからファイルをリロードすることが出来ます。ある いはメインウィンドウから Ctrl+F8 を押しても同じことができます。 Kiwi Syslog Server をサービス版としてインストールした場合は、この機能は使用できません。 スクリプトファイルキャッシュをクリアするには Manage (管理)メニューからサービスを停止し、 再起動する必要があります。 ディスクから新しいスクリプトファイルを読み込みたい場合は、忘れずにキャッシュをクリアし てください。 Field Read/Write permissions (読み込み/書き込み権限フィールド) セキュリティと速度を確保するという理由で、メッセージおよびスクリプト変数に対するアクセ スを制限することができます。スクリプトが実行されるたびに、メッセージフィールドがスクリプ ト変数にコピーされ、スクリプトが完了すると元に戻されます。コピーは時間と CPU サイクルを 消費しますので、Read/Write アクセスを使用したい変数のみに制限すると、実行速度が上が ります。 フィールドグループの Read アクセスを有効にすると、値がスクリプト変数にコピーされますの でスクリプト内で読み取ることが出来ます。 フィールドグループの Write アクセスを有効にすると、値がスクリプト変数からコピーされ対応 するプログラムフィールドがその値で置換されます。 フィールドはスクリプト中で使用方法が似ているもの同士でグループ化されています。 フィールドの詳細については「スクリプト変数」を参照してください。 Common Fields (共通フィールド) • VarFacility Kiwi Syslog Server Ver.9.4 Rev. 1.2 143 • VarLevel • VarInputSource • VarPeerAddress • VarPeerName • VarPeerDomain • VarCleanMessageText Other Fields (その他のフィールド) • VarDate • VarTime • VarMilliSeconds • VarSocketPeerAddress • VarPeerAddressHex • VarOriginalAddress • VarPeerPort • VarLocalAddress • VarLocalPort • VarPriority • VarRawMessageText Custom Fields (カスタムフィールド) • VarCustom01 から VarCustom16 下記のスクリプト変数はスクリプトからの Read/Write アクセスが常に可能です。 Inter-Script fields (内部スクリプトフィールド) • VarGlobal01 から VarGlobal16 Kiwi Syslog Server Ver.9.4 Rev. 1.2 144 Custom Stats fields (カスタム統計フィールド) • VarStats01 から VarStats16 Control フィールドおよび Counter フィールド • ActionQuit • SecondsSinceMidnight • SecondsSinceStartup 定期的にスクリプトを起動する Keep-alive input 機能(「Keep-alive (キープアライブ)」を参照してください。)を有効にすると、 メッセージが定期的に挿入されます。このメッセージをスクリプトアクションのトリガーとして使 えます。 3.3.3.13.1 練習 – 初めてのスクリプト作成 ここでは関数の作成手順と syslog メッセージのテキストを検索して置換するスクリプトの作成手順 を説明します。 ステップ 1. スクリプトアクションの作成 1. ここでは、Replace Text というルールを新規作成します。 Run Script (「Run Script (スクリプト実行)」を参照してください。)アクションを新規作成しま す。 2. Script file name (スクリプトファイル名)フィールドに ReplaceText.txt と入力します。 3. Script description (スクリプト説明)フィールドに Replaces occurrences of "cat" with "dog" と入力します。 4. Script language (スクリプト言語)リストから VBScript を選択します。 5. Field Read/Write permissions (フィールドの読み込み/書き込み権限)を以下のように設定 します。 Common Fields Read Write 選択 選択 Other Fields Custom Fields Kiwi Syslog Server Ver.9.4 Rev. 1.2 145 6. Edit Script (スクリプト編集)ボタンを押します。ファイルが存在しないため新しいファイルを 作成することを確認するメッセージが表示されます。はいを選択するとメモ帳で新しいファイ ルが作成されます。 7. メモ帳に以下のスクリプトをコピー&ペーストし、ファイル -> 上書き保存をクリックします。 Function Main() ' Replace cat with dog within the message text field Fields.VarCleanMessageText = Replace(Fields.VarCleanMessageText, "cat", "dog") ' Return OK to tell syslog that the script ran correctly. Main = "OK" End Function ステップ 2. アクションの作成 1. Log to file アクションを新規作成します。 2. Path and file name of log file ( ロ グ フ ァ イ ル 名 ) フ ィ ー ル ド に 、 任 意 の フ ォ ル ダ 名 \MyCustomLog.txt と入力します。 3. Log file format (ログファイルフォーマット)フィールドはデフォルトのままにします。 4. 左枠の New Action (新しいアクション)をクリックし F4 キーを押します。 自動的に Log to file という名前が設定されます。 5. Display アクションを新規作成します。 6. Display number (ディスプレイ番号)はデフォルトのままにします。 7. 左枠の New Action (新規アクション)をクリックし F4 キーを押します。 自動的に Display という名前が設定されます。 8. Run Script アクションが Display および Log to file アクションより上に配置されていることを 確認します。そうなっていない場合は Run Script アクションを選択し、ツールバーにある↑ ボタンで上へ動かします。 9. 左枠に新しいルールが次のように追加されているはずです。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 146 Rules Rule: Replace Text Filters Actions Run Script Display Log to file ステップ 3. スクリプトのテスト 1. Run Script アクションを選択します。 2. Test Setup (テスト設定)ボタンをクリックします。 3. Message text (メッセージテキスト)フィールドに The cat sat on the mat と入力し ます。 4. Show action (アクションの表示)ボタンをクリックします。 5. Show test results (テスト結果の表示)チェックボックスをチェックします。 6. Test ボタンをクリックします。 スクリプトを実行すると結果がメモ帳で表示されます。すべてのスクリプト変数が表示されま す。VarCleanMessageText フィールドを見ると cat が dog に代わっていることがわ かります。 ステップ 4. SyslogGen でスクリプトをテスト 1. Setup 画面の OK ボタンをクリックし、新しく作成したルールの変更を適用します。 メイン画面に戻ります。 2. Kiwi SyslogGen を http://www.kiwisyslog.com/kiwi-sysloggen-download/からダウンロード します。 3. Kiwi Syslog Server をインストールしたのと同じマシンにインストールします。 4. Send options (送信オプション)で send message once (1 回のみ送信)を選択します。 5. Target IP address (ターゲット IP アドレス)を localhost (127.0.0.1) に設定します。 6. Message text to send (送信するメッセージテキスト)フィールドに This is a test. The cat sat on the mat と入力します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 147 7. Send (送信)ボタンをクリックします。 8. 画面に This is a test. The dog sat on the mat.と表示されます。 3.3.3.13.2 スクリプト変数 スクリプト間で受け渡される変数は多種多様です。アクションの Read/Write permissions (読み取 り/書き込み権限)設定に従って変数が変更され syslog プログラムに返され使用されます。 変数および関数はグローバルにアクセスできる Fields というオブジェクト経由で渡されます。変 数および関数にアクセスするには変数/関数名の前に Fields.を付けます。 Common fields (共通フィールド) Fields.VarFacility 詳細 メッセージのファシリティ値 タイプ 整数 (0-32767) 範囲 0 ~ 23 ファシリティの一覧については「Syslog ファシリティ」を参照してく ださい。 Fields.VarLevel 詳細 メッセージのレベル値 タイプ 整数 (0-32767) 範囲 0 ~ 7 レベルの一覧については「Syslog レベル」を参照してください。 Fields.VarInputSource 詳細 メッセージの入力元 タイプ 整数 (0-32767) 範囲 0 ~ 4 0=UDP,1=TCP,2=SNMP,3=KeepAlive,4 =TLS/Syslog Fields.VarPeerAddress Kiwi Syslog Server Ver.9.4 Rev. 1.2 148 詳細 送信デバイスの IP アドレス(フォーマットは nnn.nnn.nnn.nnn)。 メッセージが他の syslog コレクタから転送されても、この値は本来の送信 元アドレスとなります。 ケース A: ファイアーウォールデバイス (192.168.1.1) ---> 最初の syslog コレクタ (192.168.1.2) ---> この syslog コレクタ (192.168.1.3) このフィールドの値は 192.168.1.1 です。 ケース B: ファイアーウォールデバイス (192.168.1.1) ---> この Syslog コレクタ (192.168.1.3) このフィールドの値は 192.168.1.1 です。 タイプ 文字列 フォーマット nnn.nnn.nnn.nnn ゼロパディングなし 例 192.168.1.67 Fields.VarPeerName 詳細 送信デバイスのホスト名。 DNS ルックアップオプションが有効でルックアップが成功した時に限り解決 されたホスト名が入ります。 それ以外は VarPeerAddress と同じ値(nnn.nnn.nnn.nnn)が入ります。 FQDN のホスト名部分のみが入りドメインの接尾語は含まれません。 タイプ 文字列 フォーマット myhost Fields.VarPeerDomain 詳細 解決されている FQDN のドメイン名部分。 ドメインの接尾語のみが入りホスト名は含まれません。 DNS ルックアップオプションが有効でルックアップが成功した時に限り、 値が入ります。それ以外はブランクです。 タイプ 文字列 Kiwi Syslog Server Ver.9.4 Rev. 1.2 149 フォーマット mydomain.com Fields.VarCleanMessageText 詳細 (ヘッダー削除、DNS ルックアップ、元のアドレス削除、Cisco 日付削除など) 変更後の文字列 タイプ 文字列 例 %SEC-6-IPACCESSLOGP: list 101 denied udp 10.0.0.3 (firewall) (137) -> 216.7.14.105 (webserver.company.com) (137), 1 packet Other fields (その他のフィールド) Fields.VarDate 詳細 メッセージ受信日付 タイプ 文字列(10 バイト) フォーマット YYYY-MM-DD 例 2005-03-17 Fields.VarTime 詳細 メッセージ受信時刻 タイプ 文字列(8 バイト) フォーマット HH:MM:SS 例 23:10:04 Fields.VarMilliSeconds 詳細 1/1000 秒単位のメッセージ受信時刻 タイプ 文字列(3 バイト) 範囲 000 ~ 999 フォーマット nnn (3 バイト, ゼロパディング) Fields.VarSocketPeerAddress Kiwi Syslog Server Ver.9.4 Rev. 1.2 150 詳細 メッセージ送信デバイスまたは最も近いコレクタの IP アドレス ケース A ファイアーウォールデバイス (192.168.1.1) ---> 最初の Syslog コレクタ (192.168.1.2) ---> この syslog コレクタ (192.168.1.3) このフィールドの値は 192.168.1.2 です。 ケース B ファイアーウォールデバイス (192.168.1.1) ---> この syslog コレクタ (192.168.1.3) このフィールドの値は 192.168.1.3 です。 タイプ 文字列 フォーマット nnn.nnn.nnn.nnn ゼロパディングなし 例 192.168.1.67 Fields.VarPeerAddressHex 詳細 メッセージを送信した IP アドレスを 8 桁 16 進数に変換。 16 進アドレスは IP Mask と IP Range フィルターに使用します。 VarPeerIPAddress を変更し IP Mask や IP Range フィルターを使うには VarPeerAddressHex フィールドも変更します。 タイプ 文字列 (8 バイト) 範囲 00000000 から FFFFFFFF 例 C0A80102(192.168.1.2 を 2 バイト 16 進数に変換。ゼロパディング) Fields.VarPeerPort 詳細 メッセージを送信した UDP/TCP ポート タイプ 整数 (0-65535) 範囲 0 から 65535 通常使用する値 1023 以上の値 Fields.VarLocalAddress 詳細 このマシンにメッセージを送信した IP アドレス Kiwi Syslog Server Ver.9.4 Rev. 1.2 151 タイプ 文字列 例 127.0.0.1, 192.168.1.2 Fields.VarLocalPort 詳細 メッセージを受信したローカルマシンの UDP/TCP ポート タイプ 整数 (0-65535) 範囲 0 から 65535 通常使用する値 UDP では 514、TCP では 1468、SNMP では 162 Fields.VarPriority 詳細 メッセージプライオリティ値 タイプ 整数 (0-32767) 範囲 0 から 191 Fields.VarRawMessageText 詳細 変更前の受信メッセージ ( <pri> タグ, 元のアドレスなどを含む)。 このフィールドは読み取り専用です。スクリプトのフィールドを変更しても 対応するプログラム変数は変更されません。 カスタムフィールド これらのフィールドは動的であり、新しいメッセージを受信するたびにクリアされます。これら のフィールドはスクリプトの結果を保持しますので、Log to file や Log to Database アクション に使用できます。このフィールドの値は Insert message content or counter (メッセージ内容 またはカウンターの挿入)オプションか AutoSplit 文を使ってアクションに%VarCustom01 パラメータとして渡すこともできます。メッセージをスクリプトでいくつかのフィールドに分割し、 ファイルやデータベースの対応するフィールドに記録するのに適しています。 カスタムフィールドは 16 個(Fields.VarCustom01 から Fields.VarCustom16)あります。1~9 ま ではゼロパディングされます(VarCustom1 ではなく VarCustom01 となります)。 スクリプト間フィールド これらのフィールドは静的であり、メッセージを受信しても変化しません。他のスクリプトへ値 を渡したり、同一スクリプトで後に利用するために値を保持したりするためのものです。Insert message content or counter ( メッ セージ 内容 またはカ ウン ターの挿 入) オプ ションか AutoSplit 文を使って値を%VarGlobal01 パラメータとしてアクションに渡すこともできま Kiwi Syslog Server Ver.9.4 Rev. 1.2 152 す。 グローバルフィールドは 16 個(Fields.VarGlobal01 から Fields.VarGlobal16)あります。1~9 ま ではゼロパディングされます (VarGlobal1 ではなく VarGlobal01 となります)。 カスタム統計フィールド このフィールドは静的であり、メッセージを受信しても変化しません。独自のカスタム統計とカ ウンター用に使われます。Insert message content or counter (メッセージ内容またはカウン ターの挿入)オプションを使って値を%VarStats01 パラメータとしてアクションに渡すことも できます。 Syslog Statistics ウィンドウの Counters タブで現在のフィールド値を確認することができます。 カスタム統計は日次統計 E メールにも記載されています。 統計フィールドの名前と初期値は Scripting オプションから設定します。 カスタム統計フィールドは 16 個(Fields.VarStats01 から Fields.VarStats16)あります。1~9 ま ではゼロパディングされます(VarStats1 ではなく VarStats01 となります)。 制御およびタイミングフィールド Fields.ActionQuit 詳細 スクリプト実行後に行う処理を定義します。 • ルールの次のアクションを続ける場合: 0 • ルール内でアクションをスキップする場合: スキップするアクションの 数(1 ~ 99) • 次のルールへのジャンプする場合: 100 • すべてのルールをスキップしメッセージ処理を終了する場合: 1000 値が指定されていないときは 0 とみなされます。 タイプ 整数 (0-32767) 範囲 0 から 1000 0 = スキップしない 1 ~ 99 = スキップするアクション数 100 = 次のルールまでスキップ Kiwi Syslog Server Ver.9.4 Rev. 1.2 153 1000 = メッセージ処理終了 Fields.SecondsSinceMidnight 詳細 深夜 0 時からの経過時間(秒) タイプ Long (0-20 億) 範囲 0 ~ 86400 Fields.SecondsSinceStartup 詳細 プログラム起動からの経過時間(秒) タイプ Long (0-20 億) 3.3.3.13.3 スクリプト関数 Fields オブジェクトから利用できる組み込み関数は多数あります。今後のリリースではさらに追加 され、スクリプティングエンジンの機能強化を図る予定です。 組み込み関数は Fields オブジェクトの前に実行したい関数名を付けるだけで使用できます。必要 なパラメータが渡され、結果が返されます。 Fields オブジェクトの組み込み関数 Fields.IsValidIPAddress(IPAddress as string) as Boolean 機能 渡された文字列をチェックし正しい IP アドレスフォーマットであれば true を返します。 入力パラメータ IPAddress: IP アドレス文字列 戻り値 ブール値 (true/false) 使用例: If Fields.IsValidIPAddress(Fields.VarPeerAddress) = True then Fields.VarCustom01 = Fields.VarPeerAddress End if Fields.ConvertIPtoHex(IPAddress As String) As String 機能 IP アドレスを 8 バイトの 16 進数に変換 入力パラメータ IPAddress: IP アドレス文字列 戻り値 8 バイト 16 進数 Kiwi Syslog Server Ver.9.4 Rev. 1.2 154 使用例: If Fields.IsValidIPAddress(Fields.VarPeerAddress) = True then Fields.VarCustom01 = Fields.ConvertIPToHex(Fields.VarPeerAddress) End if Fields.GetDailyStatistics() As String 機能 CRLF 区切りで日別統計を返します。 入力パラメータ なし 戻り値 文字列 使用例: MyStats = Fields.GetDailyStatistics() 結果はファイルや E メール等に書き出されます。 Fields.ConvertPriorityToText(PriorityValue) 機能 メッセージプライオリティ値を「ファシリティ.レベル」によるテキスト 表現に変換します。 入力パラメータ PriorityValue: プライオリティ値 範囲 0 ~ 191 戻り値 ファシリティ.レベル文字列 例 191 は Local7.Debug を返します。 使用例: Filename = "C:\Program files\Syslogd\Logs\TestLog.txt" ' Use the date and time from the current message With Fields MsgDate = .VarDate & " " & .VarTime MsgText = "This is a test message from the scripting action" Data = MsgDate &vbtab &.ConvertPriorityToText(.VarPriority) & vbtab &_ .VarPeerAddress & vbtab & MsgText Call .ActionLogToFile(Filename, Data) End with Kiwi Syslog Server Ver.9.4 Rev. 1.2 155 Fields.ActionPlaySound(SoundFilename As String, RepeatCount as Long) 機能 音を鳴らす、あるいは指定した wav ファイルを実行します。 X 回もしくはキャンセルされるまで繰り返す。 入力パラメータ SoundFilename: サウンドファイル名文字列 ブランク(””)の場合はシステムビープ音を鳴らします。 RepeatCount: 繰り返し回数(任意) 0 = キャンセルされるまで繰り返します(メイン表示ウィンドウで点 滅するベルを押してキャンセルします)。 1 ~ 100 = 繰り返し数 繰り返し数が 1 以上の時、5 秒間隔でサウンドまたはビープ音が鳴 ります。 戻り値 なし 使用例: ' Play the squeak sound 5 times Call Fields.ActionPlaySound( "C:\Program Files\Syslogd\Sounds\Squeak.wav", 5) ' Play the squeak sound until cancelled Call Fields.ActionPlaySound( "C:\Program Files\Syslogd\Sounds\Squeak.wav", 0) ' Play the system beep sound 10 times Call Fields.ActionPlaySound("", 10) ' Play the system beep sound until cancelled Call Fields.ActionPlaySound("", 0) Kiwi Syslog Server Ver.9.4 Rev. 1.2 156 Fields.ActionSendEmail(MailTo, MailFrom, MailSubject, MailMessage , [MailImportance] , [MailPriority] , [MailSensitivity] ) 機能 指定のアドレスに E メールを送信します。 入力パラメータ MailTo : メールの送信先 MailFrom : メールの送信元 MailSubject : メールの件名 MailMessage : メールの本文 MailImportance:(E-mail Delivery オプション。任意。後述) MailPriority:(E-mail Delivery オプション。任意。後述) MailSensitivity:(E-mail Delivery オプション。任意。後述) 戻り値 なし E-mail Delivery Options 以 下 の パ ラ メー タを 使 用 す る と 、 E メー ル メッ セージ に Importance( 重 要 度 ) 、 Priority(プライオリティ)、Sensitivity(種類)のフラグを設定できます。E メール受 信者には適宜これらのレベルが付けられたメッセージが届きます。 使用可能な Importance(重要度)、Priority(プライオリティ)、Sensitivity(種 類)は以下の通りです。 MailImportance MailPriority MailSensitivity 0 Unspecified (デフォルト) 1 High 2 Normal 3 Low 0 Unspecified (デフォルト) 1 Normal 2 Urgent 3 Non-Urgent 0 Unspecified (デフォルト) 1 Personal 2 Private 3 Confidential 複数のアドレスにメッセージを送信する場合は各アドレスをカンマで区切ります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 157 例: MailTo = "[email protected],[email protected],[email protected]" 使用例: [email protected] に E メールを送信 (E メール送信オプションはデフォルト値) MailTo = "[email protected]" MailFrom = "[email protected]" MailSubject = "This is a test of the scripting action" MailMessage = "This is a test mail message" & vbCrLf & "Multiple lines." Call Fields.ActionSendEmail (MailTo, MailFrom, MailSubject, MailMessage) 使用例: [email protected] に E メールを送信(E メール送信オプションは Importance = High、Priority = Urgent、Sensitivity = Confidential ) MailTo = "[email protected]" MailFrom = "[email protected]" MailSubject = "This is a test of the scripting action" MailMessage = "This is a test mail message" & vbCrLf & "Multiple lines." MailImportance = 1 MailPriority = 2 MailSensitivity = 3 Call Fields.ActionSendEmail(MailTo, MailFrom, MailSubject, MailMessage, MailImportance, MailPriority, MailSensitivity) Kiwi Syslog Server Ver.9.4 Rev. 1.2 158 Fields.ActionLogToFile(Filename, Data, [RotateLogFile] , [RotationType] , [NumLogFiles] , [Amount] , [Unit]) 機能 指定のログファイルの終わりにデータを追加します。 入力パラメータ Filename: ログファイル名(AutoSplit 値を使用可能) RotateLogFile: ローテート設定(後述) Rotation Type: ローテート設定(後述) NumLogFiles: ローテート設定(後述) Amount: ローテート設定(後述) Unit: ローテート設定(後述) 戻り値 なし この関数は、メッセージログをファイルに独自のフォーマットで記録します。 使用例: Filename = "C:\Program files\Syslogd\Logs\TestLog.txt" MsgPriority = "Local7.Info" MsgHostAddress = Fields.VarPeerAddress ' Use the date and time from the current message MsgDate = Fields.VarDate & " " & Fields.VarTime MsgText = "This is a test message from the scripting action" Data = MsgDate &vbtab &MsgPriority & vbtab & MsgHostAddress & vbtab &MsgText Call Fields.ActionLogToFile(Filename, Data) 注記: この例では、スクリプトで VarDate と VarTime 変数読み取るために、Other fields の Read 権限が有効になっていなければなりません。 ログファイルローテーション Kiwi Syslog Server のログファイルローテーション機能についての詳細は「Log File Rotation (ログファイルローテーション)」を参照してください。 パ ラ メ ー タ RotateLogFile, RotationType, NumLogFiles, Amount お よ び Unit の指定は任意ですが、ログファイルをローテートする場合は必須です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 159 引数 説明 RotateLogFile 0 = ローテートしない 1 = ローテートする RotationType 0 = ログファイルサイズ が Amount や Unit の指定値を超えた場 合にローテートする 1 = ログファイルの経過時間 が Amount や Unit の指定値を超え た場合にローテートする NumLogFiles ローテーションで使用するログファイルの数 Amount RotationType=0 の場合: ファイルサイズ RotationType=1 の場合: ファイルの経過時間 Unit RotationType=0 の場合: ファイルサイズを示す単位。 Amount の単位としてバイト、キロバイト、メガバイト等のうちどれを 適用するかを指定します。 0 = バイト 1 = キロバイト 2 = メガバイト 3 = ギガバイト RotationType=1 の場合:ファイルの経過時間を示す単位。 Amount の単位として分、日、週等のうちどれを適用するか指定し ます。 0= 分 1= 時 2= 日 3 = 曜日 4= 週 5= 月 6 = 四半期 7= 年 使用例: Filename = "C:\Program files\Syslogd\Logs\TestLog.txt" MsgPriority = "Local7.Info" MsgHostAddress = Fields.VarPeerAddress ' Use the date and time from the current message Kiwi Syslog Server Ver.9.4 Rev. 1.2 160 MsgDate = Fields.VarDate & " " & Fields.VarTime MsgText = "This is a test message from the scripting action" Data = MsgDate &vbtab &MsgPriority &vbtab & MsgHostAddress & vbtab & MsgText RotateLogFile = 1 'Rotate this log RotationType = 0 'Using File size rotation - NumLogFiles = 4 'Use up to 4 log files Amount = 1000 'Each log file no more than 1000 Unit = 0 'bytes in length Call Fields.ActionLogToFile(Filename, Data, RotateLogFile, RotationType, NumLogFiles, Amount, Unit) 使用例 (2): Filename = "C:\Program files\Syslogd\Logs\TestLog.txt" MsgPriority = "Local7.Info" MsgHostAddress = Fields.VarPeerAddress ' Use the date and time from the current message MsgDate = Fields.VarDate & " " & Fields.VarTime MsgText = "This is a test message from the scripting action" Data = MsgDate&vbtab& MsgPriority & vbtab & MsgHostAddress & vbtab & MsgText RotateLogFile = 1 'Rotate this log RotationType = 1 'Using File age rotation - NumLogFiles = 12 'Use up to 12 log files Amount = 1 'Each log file no more than 1 Unit = 5 'month old Call Fields.ActionLogToFile(Filename, Data, RotateLogFile, RotationType, NumLogFiles, Amount, Unit) Fields.ActionSendSyslog(Hostname, Message, Port, Protocol) Kiwi Syslog Server Ver.9.4 Rev. 1.2 161 機能 syslog メッセージをホスト名の Protocol で指定したポートに送信 します。 入力パラメータ Hostname: リモートホストのホスト名または IP アドレス Message: プライオリティタグと syslog メッセージ分を含むテキスト Port: 1~65535 の整数 (514 が標準 syslog ポート) Protocol: 0 または 1 (0=UDP,1=TCP) 戻り値 なし 使用例: Hostname = "10.0.0.1" ' Remote syslog host Priority = 191 ' Local7.Debug Port = 514 ' Use the standard syslog port Protocol = 0 ' 0=UDP, 1=TCP ' Construct the syslog message by adding <PRI> value to the front ' of the text Message = "<" + Cstr(Priority) + ">" + "This is an example of a syslog message" Call Fields.ActionSendSyslog(Hostname, Message, Port, Protocol) Fields.ActionSpoofSyslog(AdapterAddress, SrcAddress, DstAddress, DstPort, Message) 機能 見せかけの Syslog メッセージ(UDP のみ)を DstAddress の DstPort ポート宛に送信します。 入力パラメータ AdapterAddress: メッセージ送信元のネットワークアダプタの IP または MAC アドレス (例:IP アドレス 192.168.0.1、MAC アドレス 00:50:56:C0:00:08) SrcAddress: メッセージ送信元のホスト名または IP アドレス DstAddress: リモートホスト(受信用)のホスト名または IP アドレス DstPort: 1 ~ 65535 の整数 (514 が標準 syslog ポート) Message: プライオリティタグと syslog メッセージ文を含むテキスト 戻り値 なし 使用例: AdapterAddress = "192.168.1.100" ' Adapter Address (Can be IP Address- ie "192.168.0.1", or MAC Kiwi Syslog Server Ver.9.4 Rev. 1.2 162 address ' - ie. "00:50:56:C0:00:08") SrcAddress = "192.10.10.1" ' Source of message DstAddress = "10.0.0.1" ' Destination of message DstPort = 514 ' Use the standard syslog port Priority = 191 ' Local7.Debug ' Construct the syslog message by adding <PRI> value to the front ' of the text Message = "<" + Cstr(Priority) + ">" + "This is an example of a syslog message" Call Fields.ActionSpoofSyslog(AdapterAddress, SrcAddress, DstAddress, DstPort, Message) 重要: WinPcap バージョン 4.1 以上がインストールされていなければなりません。WinPcap (Windows Packet Capture library)は http://www.winpcap.org/からダウンロードできます。 Fields.ActionLogToFileWithCache(Filename, Data, [RotateLogFile] , [RotationType] , [NumLogFiles], [Amount] , [Unit]) 機能 指定のログファイルにデータを指定のフォーマットで記録します。 キャッシュは 100 メッセージまたは 5 秒ごとにクリアされます。 キャッシュの設定はレジストリで行います。この関数は書き込みキャ ッシュを使うこと以外は ActionLogToFile と同じです。 毎秒 10 メッセージ以上を受信する場合は書き込みキャッシュ関数を 使ってください。 入力パラメータ FileName: ファイル名(AutoSplit 値を使用できます。) Data: 日にち RotateLogFile: ローテート設定(後述) RotationType: ローテート設定(後述) NumLogFiles: ローテート設定(後述) Amount: ローテート設定(後述) Unit: ローテート設定(後述) その他の入力パラメータについては、以下で説明します。 戻り値 なし Kiwi Syslog Server Ver.9.4 Rev. 1.2 163 使用例: Filename = "C:\Program files\Syslogd\Logs\TestLog.txt" MsgPriority = "Local7.Info" MsgHostAddress = Fields.VarPeerAddress ' Use the date and time from the current message MsgDate = Fields.VarDate & " " & Fields.VarTime MsgText = "This is a test message from the scripting action" Data = MsgDate&vbtab& MsgPriority & vbtab & MsgHostAddress & vbtab & MsgText Call Fields.ActionLogToFileWithCache(Filename, Data) 注記: スクリプトで VarDate と VarTime 変数を読み取れるようにするため、 Other fields の Read 権限が有効になっていなければなりません。 ログファイルローテーションについては、「ログファイルローテーション」をご参照ください。 Fields.ActionDeleteFile(Filename) 機能 指定ファイルを削除します。 入力パラメータ Filename:削除するファイル名 ワイルドカードを使用できません。完全なファイル名を指定してくださ い。確認メッセージが表示されないため、慎重に使用してください。 戻り値 なし 使用例: Filename = "C:\Program files\Syslogd\Logs\TestLog.txt" Call Fields.ActionDeleteFile(Filename) Kiwi Syslog Server Ver.9.4 Rev. 1.2 164 Fields.ActionDisplay(DisplayNumber, TabDelimitedMessage) 機能 指定したバーチャルディスプレイ番号にメッセージを表示します。 独自フォーマットのメッセージを画面に表示できます。 入力パラメータ DisplayNumber: ディスプレイ番号 TabDelimitedMessage :5 個のタブ区切りフィールド(各フィー ルドの内容は何でもかまいません)。 標準の表示フィールド: 日付 [TAB] 時刻 [TAB] プライオリティ [TAB] ホスト名 [TAB] メ ッセージ 戻り値 なし 使用例: With Fields MsgPriority = ConvertPriorityToText(.VarPriority) MsgHostAddress = .VarPeerAddress ' Use the date and time from the current message MsgDate = .VarDate & " " & .VarTime MsgText = "This is a test message from the scripting action" Display = MsgDate& vbtab & MsgTime & vbtab & MsgPriority & vbtab &_ MsgHostAddress & vbtab & MsgText Call .ActionDisplay(0, Display) End with Fields.ActionLogToODBC(DSNString, TableName, InsertStatement, Timeout) 機能 DSNString と TableName で指定したデータベースに InsertStatement を渡します。 データベースに独自フォーマットでメッセージを記録できます。 入力パラメータ DSNString: データソース名 TableName: テーブル名 InsertStatement: 挿入するステートメント Timeout: データベース接続を待つ時間(秒) 戻り値 成功の場合はブランク。その他の場合は文字列。 データベース接続はプログラム内で行います。データを送信するたびに接続の生成と切断を Kiwi Syslog Server Ver.9.4 Rev. 1.2 165 行うことによるオーバーヘッドを防ぐためです。データベースへの送信データがなくなり、タイ ムアウト時間が過ぎると接続が遮断されます。次にデータ送信されるときに再接続されます。 使用例: "KiwiSyslog" という System DSN が生成されており、MS Access データベースをポ イントするコードです。選択したデータベースタイプにより挿入する SQL 文の構文は若干 異なります。以下の例は MS Access 97 および 2000 で実証済みです。 必要なフィールドすべてが設定された"Syslogd"というテーブルが作成済みであること を前提とします。 MyDSN = "DSN=KiwiSyslog;" MyTable = "Syslogd" MyFields = "MsgDate,MsgTime,MsgPriority,MsgHostname,MsgText" ' MS Access DB SQL INSERT command example: ' INSERT INTO Syslogd (MsgDate,MsgTime,MsgPriority,MsgHostname,MsgText) ' VALUES ' ('2004-08-08','13:26:26','Local7.Debug','host.company.com', ' 'This is a test message from Kiwi Syslog Server') With Fields ' Construct the insert statement SQLcmd = "INSERT INTO "&MyTable&" (" & MyFields & ")VALUES(" &_ Quote(.VarDate) & "," & Quote(.VarTime) & "," & _ Quote(.ConvertPriorityToText(.VarPriority)) & "," & _ Quote(.VarPeerAddress) & "," & Quote(.VarCleanMessageText) & ")" ' Log the data to database using DSN, Table, SQLcmd and Timeout ' of 30 seconds .VarCustom01 = .ActionLogToODBC(MyDSN, MyTable, SQLcmd, 30) ' VarCustom01 now holds the return value from the function. End with Function Quote(Data) ' Replace all occurrences of ' with '' to escape existing quotes ' Wrap data with single quotes Kiwi Syslog Server Ver.9.4 Rev. 1.2 166 Quote = "'" & Replace(Data, "'", "''") & "'" End Function 注記: スクリプトで VarDate と VarTime 変数を読み取れるようにするため、Other fields の Read 権限が有効になっていなければなりません。 注記: \Scripts サブフォルダにはサンプルコードが他にもいくつか用意されています。 3.3.3.13.4 スクリプト記述辞書 Kiwi Syslog Server バージョン 8.1 に新しく付け加えられた辞書機能を使えばデータキーとアイテ ムを対応させる(名前付き)辞書を作成できます。辞書に登録されたデータは永続データでありアプ リケーションが使用されている限り消えることはありません。辞書の範囲は基本的に Fields ネーム スペースの VarGlobal 変数と同じです。 名前付き辞書は PERL 連想配列と同等です。アイテムはデータ形式を問わず配列内に格納されま す。アイテムごとに固有のキーが関連付けられています。キーは個々のアイテムを取得する際に 使用され、通常は整数または文字列ですが配列以外であれば何でも構いません。 すべての辞書のメソッドおよびプロパティには dictionaries ネームスペースからアクセスでき ます。 Dictionaries オブジェクトの組み込み関数 StoreItem(dicName As String, dicKey As String, dicItem As Variant) 機能 キーとアイテムを組み合わせて名前付き辞書に保存します。 入力パラメータ dicName: 必須。辞書の名前。指定した名前の辞書が存在しない 場合は新規作成される。 dicKey: 必須。保存するアイテムに関連付けられているキー。 指定したキーが存在しない場合は新規作成される。 dicItem: 必須。保存するキーに関連付けられているアイテム 例: Call Dictionaries.StoreItem( "MyDictionary", "MyKeyName", "MyItemValue") .AddItem()と.UpdateItem()は Kiwi Syslog Server のバージョン 8.1.4 から.StoreItem()メソッドに Kiwi Syslog Server Ver.9.4 Rev. 1.2 167 変更されました。旧バージョンとの互換性を持たせるために.AddItem()と.UpdateItem()は今後 も継続して使用できます。 AddItem(dicName As String, dicKey As String, dicItem As Variant) 機能 キーとアイテムの組み合わせを名前付き辞書に追加します。 キー dicKey が dicName に既に登録されている場合エラーとな ります。 入力パラメータ dicName: 必須。辞書の名前。指定した名前の辞書が存在しない 場合は新規作成される dicKey: 必須。追加するアイテムに関連付けられているキー dicItem: 必須。追加するキーに関連付けられているアイテム 例: Call Dictionaries.AddItem( "MyDictionary", "MyKeyName", "MyItemValue") UpdateItem(dicName As String, dicKey As String, dicItem As Variant) 機能 dickKey と関連付けられているアイテムを dicItem の値で更新 します。dicName の辞書にのみ適用されます。 dicName の辞書あるいは dicKey のキーが存在しない場合エラ ーとなります。 入力パラメータ dicName: 必須。辞書の名前。 dicKey: 必須。更新されるアイテムに関連付けられているキー dicItem: 必須。更新後の新しいアイテム 例: Call Dictionaries.UpdateItem( "MyDictionary", "MyKeyName", "MyNewItemValue") Kiwi Syslog Server Ver.9.4 Rev. 1.2 168 RemoveItem(dicName As String, dicKey As String) 機能 dicName の辞書からキーとアイテムの組み合わせを削除します。 dicName の辞書あるいは dicKey のキーが存在しない場合 エラーとなります。 入力パラメータ dicName: 必須。辞書の名前 dicKey: 必須。削除されるアイテムに関連付けられているキー 例: Call Dictionaries.RemoveItem("MyDictionary", "MyKeyName") RemoveAll(dicName As String) 機能 dicName の辞書に登録されているすべてのキーとアイテムの組み 合わせを削除します。dicName の辞書が存在しない場合エラーと なります。 入力パラメータ dicName: 必須。辞書の名前 例: Call Dictionaries.RemoveAll("MyDictionary") Delete(dicName As String) 機能 dicName の辞書全体を削除します。dicName の辞書が存在しな い場合エラーとなります。 入力パラメータ dicName: 必須。削除する辞書の名前 例: Call Dictionaries.Delete("MyDictionary") DeleteAll() 機能 すべての辞書を削除します。 例: Call Dictionaries.DeleteAll() GetItemCount(dicName As String) As Long 機能 dicName の辞書に登録されているアイテムの数を返します。 入力パラメータ dicName: 必須。辞書の名前 Kiwi Syslog Server Ver.9.4 Rev. 1.2 169 例: ItemCount = Dictionaries.GetItemCount("MyDictionary") GetItem(dicName As String, dicKey As String) As Variant 機能 dicName の辞書に登録されている dicKey のキーに対応するア イテムを返します。dicName の辞書あるいは dicKey のキーが 存在しない場合エラーとなります。 入力パラメータ dicName:必須。辞書の名前 dicKey: 必須。フェッチされるアイテムに関連付けられているキー 例: MyItem = Dictionaries.GetItem("MyDictionary", "MyKeyName") ItemExists(dicName As String, dicKey As String) As Boolean 機能 dicKey に 指定したキーが dicName の辞書に存在する場 合 True を返します。dicName の辞書が存在しない場合エラーとなり ます。 入力パラメータ dicName: 必須。辞書の名前 dicKey: 必須。フェッチされるアイテムに関連付けられているキー 例: If Dictionaries.ItemExists("MyDictionary", "MyKeyName") Then ... End If GetKeys(dicName As String) As Variant 機能 dicName の辞書に登録されているすべてのキーを含む配列を返し ます。dicName の辞書が存在しない場合エラーとなります。 入力パラメータ dicName: 必須。辞書の名前 例: MyKeyArray = Dictionaries.GetKeys("MyDictionary") For i = 0 to UBound(MyKeyArray) ThisKey = MyKeyArray(i) ... Next Kiwi Syslog Server Ver.9.4 Rev. 1.2 170 GetItems(dicName As String) As Variant 機能 dicName の辞書に登録されているすべてのアイテムを含む配列を 返します。dicName の辞書が存在しない場合エラーとなります。 入力パラメータ dicName: 必須。辞書の名前 例: MyItemArray = Dictionaries.GetItems("MyDictionary") For i = 0 to UBound(MyItemArray) ThisItem = MyItemArray(i) ... Next エラーリファレンス 関数名 エラー説明 GetName() Script Error executing .GetName() - Dictionary does not exist Delete() Script Error executing .Delete() - Dictionary [x] does not exist AddItem() Script Error executing .AddItem() - Dictionary Key [x] already exists in dictionary [y] UpdateItem() Script Error executing .UpdateItem() - Dictionary Key [x] does not exist in dictionary [y] Script Error executing .UpdateItem() - Dictionary [x] does not exist RemoveItem() Script Error executing .RemoveItem() - Dictionary Key [x] does not exist in dictionary [y] Script Error executing .RemoveItem() - Dictionary [x] does not exist RemoveAllItems() Script Error executing .RemoveAllItems() - Dictionary [x] does not exist GetItemCount() Script Error executing .GetItemCount() - Dictionary [x] does not exist GetItems() Script Error executing .GetItems() - Dictionary [x] does not exist Kiwi Syslog Server Ver.9.4 Rev. 1.2 171 GetKeys() Script Error executing .GetKeys() - Dictionary [x] does not exist GetItem() Script Error executing .GetItem() - Dictionary Key [x] does not exist in dictionary [y] Script Error executing .GetItem() - Dictionary [x] does not exist ItemExists() Script Error executing .ItemExists() - Dictionary [x] does not exist 3.3.3.13.5 スクリプト例 手始めにヘルプファイルに書かれているスクリプトで練習してください。今後もより多彩なサンプル スクリプトやチュートリアルを Web サイト http://www.kiwisyslog.com で公開する予定でいます。 プログラムに付属のサンプルスクリプトには音を鳴らす、E メール送信、ファイルへのログ記録等を 実行するためのスクリプトを用意しています。これらのサンプルは Kiwi Syslog Server をインストー したフォルダの\Scripts サブフォルダの下にあります。 他のユーザーにとっても有効なスクリプトを作成したら thwack フォーラムにスクリプトを投稿してく ださい。他のユーザーとスクリプトを共有できます。 3.3.3.13.5.1 PIX メッセージの検査 下記の関数は特定の PIX メッセージ数を調べカスタムメッセージフィールドに説明を送ります。 Send e-mail アクションでカスタムフィールドを使用します。 このスクリプトで使用する値は Cisco Web サイトで確認できます。 http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_v53/syslog/pixemsgs.htm スクリプトアクション設定 Read Common Fields Write 選択 Other Fields Custom Fields 選択 Kiwi Syslog Server Ver.9.4 Rev. 1.2 172 ルール設定 Rules Rule: Lookup PIX msg Filters Filter: Host IP address: Simple: Match PIX firewall address Actions Action: Run Script: Lookup PIX msg Action: Send e-mail To: [email protected]: Subject: Problem with PIX Body: %MsgText% Explanation: %VarCustom01 Action to take: %VarCustom02 Function Main() ' Set the return value to OK Main = "OK" ' By default, skip to the next rule, don't take the actions that follow ' If we exit the function before we get to the end, the default 'skip to next rule' ' will be used. Fields.ActionQuit = 100 ' Example of a PIX message ' %PIX-4-209004: Invalid IP fragment... Dim M ' Message Dim E ' Explanation Dim A ' Action ' Copy message to local variable for speed M = Fields.VarCleanMessageText ' If message length is too short, exit function If Len(M) < 15 then exit function Kiwi Syslog Server Ver.9.4 Rev. 1.2 173 ' Grab the first 15 chrs M = Left(M,15) ' Check the message is a valid PIX message If Mid(M,1,5) <> "%PIX-" then exit function ' Add any additional checks you want to perform here ' Grab the important part ("4-209004") M = Mid(M,6,8) E = "" A = "" ' Now lookup the values and create an explanation and action for each match Select Case M Case "4-209004" E = "An IP fragment is malformed. The total size of the reassembled IP packet exceeds the maximum possible size of 65,535 bytes" A = "A possible intrusion event may be in progress. If this message persists, contact the remote peer's administrator or upstream provider." Case "2-106012" E = "This is a connection-related message. A IP packet was seen with IP options. Because IP options are considered a security risk, the packet was discarded." A = "A security breach was probably attempted. Check the local site for loose source or strict source routing." ' Insert other values to lookup here End Select ' Exit if we don't have any values to pass If len(E) = 0 then exit function If len(A) = 0 then exit function Kiwi Syslog Server Ver.9.4 Rev. 1.2 174 ' Pass the Explanation and Action to take to the custom variables Fields.VarCustom01 = E Fields.VarCustom02 = A ' Since we have a valid match, we want to execute the send e-mail action which follows. ' Setting ActionQuit to 0 means we won't skip any actions. Fields.ActionQuit = 0 End function 3.3.3.13.5.2 全ての変数 (Info 関数) 下記の関数は全フィールドの変数を表示します。参考として作成したスクリプトにコピー&ペースト しておくと良いでしょう。 注記: スクリプトにコピー&ペーストした変数はすべてコメントです。関数を呼び出しても実行され ません。 Function Info() ' // Common fields ' VarFacility ' VarLevel ' VarInputSource ' VarPeerAddress ' VarPeerName ' VarPeerDomain ' VarCleanMessageText ' // Other fields ' VarDate ' VarTime ' VarMilliSeconds ' VarSocketPeerAddress ' VarPeerAddressHex ' VarPeerPort Kiwi Syslog Server Ver.9.4 Rev. 1.2 175 ' VarLocalAddress ' VarLocalPort ' VarPriority ' VarRawMessageText (Read only) ' // Custom fields ' VarCustom01 to VarCustom16 ' // Inter-Script fields ' VarGlobal01 to VarGlobal16 ' // Custom Stats fields ' VarStats01 to VarStats16 ' // Control and timing fields ' ActionQuit ' 0=No skip, 1-99=skip next n actions within rule, ' 100=skip to next rule, 1000=stop processing message ' ' SecondsSinceMidnight ' SecondsSinceStartup ' // Functions and Actions ' IsValidIPAddress(IPAddress as string) as boolean ' ConvertIPtoHex(IPAddress as string) as string ' ActionPlaySound(SoundFilename as string, RepeatCount as long) ' RepeatCount 0=until cancelled, 1-100=repeat x times ' Soundfilename ""=system beep, "wav file name"=play wav file ' ActionSendEmail(MailTo as String, MailFrom as string, MailSubject as string, MailMessage as string) ' Sends an e-mail message to the addresses specified in MailTo End function Kiwi Syslog Server Ver.9.4 Rev. 1.2 176 3.3.3.13.5.3 Jscript エスケープ文字 Jscript にはエスケープシーケンスが用意されており、直接入力できない文字を文字列として使用 できます。エスケープシーケンスはバックスラッシュ(\)で始まります。バックスラッシュは次の文字 が特殊文字であることを Jscript のインタープリタに知らせるエスケープ文字です。 エスケープシーケンス 説明 \b バックスペース \f フォームフィード (あまり使用されません) \n ラインフィード (改行) \r キャリッジリターン。ラインフィードと組み合わせて(\r\n)出力の 書式を指定します。 \t 水平タブ \v 垂直タブ (あまり使用されません) \' 単一引用符 (') \" 二重引用符 (") \\ バックスラッシュ h (\) \n 8 進数の n で表される ASCII 文字。 注記: n の範囲は 0 ~377 (8 進数) \xhh 2 桁の 16 進数 hh で表される ASCII 文字 \uhhhh 4 桁の 16 進数 hhhh で表される Unicode 文字 上記以外のエスケープシーケンスは、単にエスケープシーケンスのバックスラッシュに続く文字を 表します。たとえば \a は a と解釈されます。 バックスラッシュ自体はエスケープシーケンスの開始を表しますので、スクリプトに直接文字として 入力することはできません。 バックスラッシュを文字として入力するには 2 つ続けて(\\)入力する必要があります。 例: ’The log file path is c:\\Program Files\\Syslogd\\SyslogCatchAll.txt’ 単一引用符と二重引用符のエスケープシーケンスを使用するとリテラル文字列で引用符を使用で きます。 例: ’The caption reads, \”This is a test message from \’Kiwi SyslogGen\’.\”’ Kiwi Syslog Server Ver.9.4 Rev. 1.2 177 3.3.3.14 Send message via NotePage Pro (NotePage Pro 経由でメッセージ送信) このアクションは NotePagerPro アプリケーション経由でポケットベル、SMS あるいは E メールメッ セージを送信します。この機能を使用するにはまず、http://www.notepage.net/notepagerpro.htm から NotePager を購入しインストールする必要があります。NotePager Pro は低価格ですが非常 に高機能なポケットベルおよび SMS ゲートウェイのアプリケーションです。 NotePager Pro を使用するメリット • グループメッセージ送信機能 • 携帯電話、ポケットベルなどの複数のキャリアをサポート • SNPP、WCTP、SMTP などのインターネットポケットベルプロトコルをサポート • メッセージ送受信のスケジュール化、メッセージ再送/再受信、メッセージ送受信のプログ ラム化のサポート NotePager Pro をダウンロードするには以下のページにアクセスしてください。 http://www.notepage.net/notepagerpro.htm メッセージは NotePager Pro に渡されると送信キューに入れられます。NotePager Pro は定期的に Kiwi Syslog Server Ver.9.4 Rev. 1.2 178 キューをチェックし、指定の方法でそれらを送信します。SNPP、電子メール、モデム、TAPI、構成 済みのポケットベルインターフェイスなどを経由して送信できます。 Insert message content or counter (メッセージ内容またはカウンターの挿入)リンクをクリックする と、送信されるポケットベルメッセージに含まれる受信 Syslog メッセージと Syslog 統計の詳細が 表示されます。 Send Page To (ページング先) ドロップダウンリストから受信者を選択します。このリストは NotePager Pro の Recipients and Groups データベースから自動的に読み込まれます。ドロップダウンリストに名前がない場合 は、NotePager Pro が正しくインストールされていません。受信者 1 人を選択するか、受信者 グループを選択します(例: Joe または All-Network-Staff)。 Message From (メッセージ送信元) 任意の名前を入力できます。NotePager Pro で受信者が E メール経由でメッセージを受信す るように指定されている場合、ここに入力した名前が設定済みのデフォルトドメインの前に追 加されます。例えば、NotePager Pro でデフォルトドメインとして "company.com" が設定さ れ て い る 場 合 、 「 Syslog 」 と い う 送 信 者 か ら メ ッ セ ー ジ を 送 信 す る と [email protected] からメッセージが送られたように表示されます。 Message (メッセージ) ポケットベルや SMS メッセージに送るメッセージを指定します。通常これは %MsgText と入 力します。%MsgText は本来の syslog メッセージのメッセージテキストで置換されます。 他の変数を挿入することもできます。Insert message content or counter (メッセージ内容ま たはカウンターの挿入)リンクをクリックすると指定可能な変数のホップアップメニューが表示 されます。Max message length (最大メッセージ長)オプションを指定すれば送信するメッセ ージの長さを制限できます。メッセージ本文に変数 %MsgText が含まれているときに大き な syslog メッセージを受信してしまうと、ポケットベルに送信するには大きすぎて送れなくなる 可能性があります。このオプションを指定することによって、メッセージ本文を扱いやすい長さ に制限することが可能です。 ポケットベルが数字メッセージしか受信できないのであれば、%MsgText の代わりに数字を 指定します。各数字が対応するコードを決めておく必要があります。 例: 1=link up, 2=link down, 9=Router unreachable Kiwi Syslog Server Ver.9.4 Rev. 1.2 179 Insert message content or counter (メッセージ内容またはカウンターの挿入) プログラム変数、カウンター、スクリプトフィールド、統計をメッセージや件名に渡すことができ ます。値の詳細については「Insert message content or counter (メッセージ内容/カウンター の挿入)」を参照してください。 カーソルを Message(メッセージ)フィールド内に置き、Insert message content or counter リ ンクをクリックします。表示されたポップアップメニューから変数を選択します。この変数はメッ セージ送信前に実際の値に置換されます。例えば %MsgText は現在の syslog メッセージ テキストに置換されます。 例: Message フィールド: Message from Host %MsgHost at %MsgTime on %MsgDate Message: %MsgText Test ボタン 指定した受信者にポケットベルメッセージがテスト送信されます。 Test Setup ボタンをクリックすればテストメッセージの設定を変更できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 180 3.3.3.15 Log to Syslog Web Access (Syslog Web Access への記録) このアクションは Kiwi Syslog Web Access(インストールされている場合)に syslog イベントを Kiwi Syslog Web Access 用のデータベースに記録します。 注記: • Kiwi Syslog Web Access は独自のデータベースファイルに受信したメッセージを保存しま す。 このデータベースファイルは、Kiwi Syslog Web Access のインストールディレクトリ \html\App_Data\Event.sdf です。このファイルの名前や場所を変更することはで きません。 • このデータベースファイルの上限は 4GB です。4GB を超えると古いメッセージを削除しな がら新しいログの保存を続けます。この削除処理がログの受信およびデータベースファイ ルへの保存処理に間に合わない場合にエラーが発生します。これを防ぐために、Kiwi Syslog Web Access アクションを定義するルールには適切なフィルター(Web から常に閲覧 する必要がある緊急度の高い Syslog のみ処理するフィルター)を定義して、大量のメッセ ージが急激に Web Access データベースに保存されないように調整してください。 • 詳しくは、「Kiwi Syslog Web Access」マニュアルを参照してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 181 3.3.3.16 Reset Flags/Counters (フラグ/カウンターのリセット) このアクションはルール下で構成された Threshold (閾値)、Timeout (タイムアウト)、Time Interval (タイムインターバル) フィルタで使用されるすべての内部カウンターをリセットします。 3.3.3.17 アクションのテスト 設定したアクションをテストする場合は、Test をクリックします。 アクションのテストが成功すると Test ボタンの隣に緑色のチェックマークが表示されます。 アクションのテストが失敗した場合は、Test ボタンの隣に赤のチェックマークが表示されます。 テストメッセージは、Test message ページで設定できます。 注記: テストメッセージについては、「Test message (テストメッセージ)」を参照してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 182 3.4 Schedules (スケジュール) ここでは、Schedules メニューについて説明します。 3.4.1 スケジューラーの動作 Kiwi Syslog Server の内蔵スケジューラーを使えば、指定した時刻または間隔、あるいは Kiwi Syslog Server 自体の起動/終了時に様々なタスクを実行することができます。このスケジューラー は、Kiwi Syslog Server 特有のタスクを処理するために必要な機能(ログアーカイブ、ログクリーン アップ、Kiwi Syslog Script アクション等)はすべて揃えています。また、Windows プロセスや外部プ ログラムを実行することもできます。 スケジュール実行頻度は 1 回限りから年単位まで、分、日、週、月など見分けさえ付けばどんな間 隔ででも細かく設定できます。祝祭日やネットワークの停止期間など特定の日付を除外する例外 スケジュールも付加することができます。 以下の 4 つのタスクタイプを使用できます。 • Archive (アーカイブ) • Clean-up (クリーンアップ) Kiwi Syslog Server Ver.9.4 Rev. 1.2 183 • Run Program (プログラム実行) • Run Script (スクリプト実行) タスクの実行タイミングは以下から選択できます。 • On a schedule (スケジュールに従って実行) • At application/service start up (アプリケーション/サービスの起動時) • At application/service shutdown (アプリケーション/サービスの終了時) 例: Archive タスクのスケジュール。土日以外の平日 4 時間おきに実行 Kiwi Syslog Server Ver.9.4 Rev. 1.2 184 スケジュールの追加 新しいスケジュールを作成するには、Setup 画面の左枠に表示されるプロパティツリーから Schedules を選択しツールバーの Create new item ボタンをクリックします。 リストには、最大 100 個のカスタムスケジュールを追加できます。 スケジュールの名前は任意です。名前は重複してもかまいませんが、内容または実行時間 が分かるような名前をつけることを推奨します。 同じ時刻に複数のスケジュールが登録されている場合は、リストの上にあるスケジュールが 先に実行されます。 その他のスケジュール選択オプション スケジュールを選択すると、コンテキストメニュー(あるいは Setup 画面の上部左側のツール バー)から様々なオプションを選択できます。 スケジュールのコンテキストメニューはスケジュールを選択し右クリックすると表示されます。 スケジュール名の左のチェックボックスのチェックを切り替えることで、スケジュールの有効/ 無効を切り替えることができます(チェックがついている場合は、有効です)。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 185 3.4.2 On a schedule (スケジュールに従って実行) ここでは、Task Trigger リストから On a schedule (スケジュールに従って実行) オプションを選択し た場合について説明します。 以下のオプションを設定します。 • スケジュール化するタスクの開始日時 • スケジュール化するタスクの実行頻度 • スケジュール化するタスクの終了日時 • スケジュール化するタスクの例外処理(任意) Schedule start (スケジュール開始日時) スケジュール化するタスクを起動する日時を設定します。未来の日付を設定しても全く問題あ りませんが、設定した日付になるまでこのスケジュールは非アクティブとなります。 同様に、Never に設定するとそのタスクはずっと非アクティブな状態となります(事実上無効に なります)。 スケジュールオプションを設定するとき、UTC(Coordinated Universal Time = 協定世 界時)で日付時刻を指定することもできます。 Schedule frequency (スケジュールの頻度) Kiwi Syslog Server Ver.9.4 Rev. 1.2 186 スケジュールの実行頻度を以下のオプションから選択します。 • Once (1回のみ) • Minute (分) • Hour (時間) • Day (日) • Week (週) • Month (月) • Year (年) 各オプションにはそれぞれ固有の設定オプションがあります。次に、それぞれのオプションの 概要を説明します。 Once (1回のみ): タスクは Schedule start オプションで設定した日付時刻に 1 回のみ実行されます。 Minute (分) N 分おきにタスクを実行します。 下図の例の場合、タスクは 1 分おきに実行されます (つまり 00:00, 00:01, 00:02, 00:03, ... , 23:59 にタスクが実行されます)。 Hour (時間) X 時間おきに正時を N 分過ぎるとタスクを実行します。 下図の例の場合、タスクは 1 時間おきに正時きっかりに実行されます (つまり 00:00, 01:00, 02:00, 03:00, ... , 23:00 にタスクが実行されます)。 UTC(Coordinated Universal Time = 協定世界時)で日付時刻を指定することも 可能です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 187 Day (日) X 日おきに HH:MM にタスクを実行します。 下図の例では、タスクは毎日深夜 00:00 に実行されます (つまり 2007-08-30 00:00, 2007-08-31 00:00, 2007-09-01 00:00, ... にタスクが実行されます)。 UTC(Coordinated Universal Time = 協定世界時)で日付時刻を指定することも 可能です。 Week (週) X 週おきに指定した曜日の HH:MM にタスクを実行します。 下図の例では、毎週毎日深夜 0:00 にタスクが実行されます (つまり日曜 00:00, 月曜 00:00, 火曜 00:00, ...にタスクが実行されます)。 UTC(Coordinated Universal Time = 協定世界時)で日付時刻を指定することも 可能です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 188 Month (月) 指定した月の N 日の HH:MM にタスクを実行します。 実行月は次のいずれかで指定します。 • Every N month(s) (N カ月おき) • On these months (指定した月のみ) 下図の例では、毎月 1 日の深夜にタスクが実行されます (つまり 1 月 1 日 00:00, 2 月 1 日 00:00, 3 月 1 日 00:00 ... ,12 月 1 日 00:00 にタスクが実行されます)。 UTC(Coordinated Universal Time = 協定世界時)で日付時刻を指定することも 可能です。 Year (年) N 年おきに X 月 N 日の HH:MM にタスクを実行します。 下図の例では、毎年 1 月 18 日の深夜にタスクを実行します (つまり 2008 年 1 月 18 日 00:00, 2009 年 1 月 18 日 00:00, 2010 年 1 月 18 日 00:00, ... にタスクが実行されます)。 終了 スケジュール化したタスクはアクティブになっているときのみ実行されます。アクティブか 非アクティブかは開始日と終了日の指定によって変わります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 189 スケジュール終了日時を基準にすると、スケジュール化したタスクは指定した終了日ま で実行されます。 Never に設定すると、スケジュールは永久にアクティブとなります。 Schedule exceptions (スケジュールの例外) スケジュールの例外指定には、以下の 3 通りの方法があります。 • Daily (日次) • Weekly (週次) • Selected date (選択した日づけ) 各オプションにはそれぞれ固有の設定オプションがあります。次に、それぞれのオプションの 概要を説明します。 Daily (日次) 毎日、指定した時間帯はタスクが実行されません。 UTC(Coordinated Universal Time = 協定世界時)で日付時刻を指定することも 可能です。 下図は毎日 00:00 ~ 23:59 の間(つまり全日)除外する例です。 Weekly (週次) 指定した曜日はタスクが実行されません。 下図は毎週土曜日と日曜日を除外する例です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 190 Selected date (選択日) 指定した日付の全日または指定時間帯はタスクが実行されません。 UTC(Coordinated Universal Time = 協定世界時)で日付時刻を指定することも 可能です。 下図は 8 月 13 日の 00:00 ~ 23:59 の間を除外する例です。 3.4.3 On app/service startup (アプリケーション/サービスの起動時に実行) Task Trigger リストから On app/service startup (アプリケーション/サービスの起動時に実行)を 選択した場合、Kiwi Syslog Server を起動するとタスクがすぐに実行されます。 以下のタスクタイプを選択できます。 • Archive (アーカイブ) • Clean-up (クリーンアップ) • Run-Program (プログラム実行) • Run-Script (スクリプト実行) Kiwi Syslog Server Ver.9.4 Rev. 1.2 191 3.4.4 On app/service shutdown (アプリケーション/サービスの終了時に実行) 選択したタイプのタスクは Kiwi Syslog Server の終了プロセスの一部として実行されます。 Task Trigger リストから On app/service shutdown (アプリケーション/サービスの終了時に実行) を選択した場合、Kiwi Syslog Server の終了プロセスの一部としてタスクが実行されます。 以下のタスクタイプを選択できます。 • Run-Script (スクリプト実行) Archive (アーカイブ) タスク 3.4.5 Archive タスクは v.8.3.0 以前の Kiwi Syslog Server の旧 Archiving 機能を強化/拡張したものです。 あるフォルダに保存されているログを別のフォルダにコピーまたは移動させ、ファイルを個別にあ るいはまとめて圧縮することができます。圧縮時の暗号化、複数ファイルへの分割、ファイル/アー カイブハッシュの作成、外部プログラムの実行などが可能です。Archive タスクの完了時に E メー ルで通知したり、Web ベースのレポートをディスク上に作成したりすることもできます。 Archive タスクは任意の間隔/日付、あるいはアプリケーション/サービスの起動時に実行されるよ うスケジュール化することが可能です。 スケジュール化されているか否かに関わらず、アーカイブタスクは次の 4 つの部分で構成されてい ます。 • Source (ソース) • Destination (宛先) • Archive Options (アーカイブオプション) • Archive Notification (アーカイブ通知) Source (ソース) Source location (ソースロケーション) 移 動/ コピーする ファイルが 保存 され ているルー トフ ォル ダを指定 します。Include sub-folders (サブフォルダを含む)オプションをチェックすると、指定したルートフォルダ Kiwi Syslog Server Ver.9.4 Rev. 1.2 192 の下にあるすべてのサブフォルダがファイル処理の対象になります。チェックしない場合、 指定したルートフォルダの直下にあるファイルのみが処理対象となります。 Source files (ソースファイル) タスク処理の対象にするファイルを定義します。 ファイルマスク、サイズ、経過時間の指定条件に一致したファイルのみが処理対象とな り、一致しないものは除外されます。 下図は 500MB 以上で 6 ヶ月以上経過している*.txt ファイルを処理する例です。 Destination (宛先) Destination location (宛先ロケーション) ファイル条件に一致したファイルを移動/コピーするフォルダを指定します。 Create sub-folders (preserve source directory structure)オプションをチェックすると、 元ファイルが保存されている場所のディレクトリ構造がコピーされます。 チェックしない場合、ファイルパスは「平準化」され、元ファイルがある場所のディレクトリ 構造は無視されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 193 Destination files (宛先ファイル) 元の場所から移動/コピー先へファイルを転送させるときの処理方法を指定します。 Move/Copy files from source to destination (ソースから宛先にファイルを移動/コピー) Move files from source to destination (ソースから宛先にファイルを移動)を選択した場 合、移動先フォルダにファイルがコピーされると元のファイルは元の場所から削除されま す。 Copy files from source to destination (ソースから宛先にファイルをコピー)を選択した 場合、元のファイルはそのまま元のフォルダに残されます。 Use a dated folder names (日付つきフォルダ名の使用) チェックすると、条件に一致するすべてのファイルが移動/コピーされるルートフォルダの 名前に日付スタンプが追加されます。 Use a dated file name (日付つきファイル名の使用) チェックすると(指定フォーマットで)移動/コピーされるファイルのファイル名に日付スタン プが追加されます。宛先フォルダに移動/コピー後のファイル名に所定のフォーマットの 日付スタンプが次のいずれかの方法で挿入されます。 • Insert the formatted date before the beginning of file name ファイル名の先頭に日付を挿入(日付スタンプ-ファイル名.log)。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 194 • Insert the formatted date before the end of file name ファイル名の末尾に日付を挿入(ファイル名-日付スタンプ.log)。 Adjust file/folder date(s) to that of the previous ... (... ファイル/フォルダ日付の調整) 日付スタンプのオプションを設定した場合に、移動/コピー後のファイル/フォルダの日付 を前の日、週、月、年のいずれかに合わせることができます。 この設定を利用すれば、スケジュール化した Archive タスクが新しい期間の初めに実行 され Archive 後のログにその前の期間の情報が記録されるようになるため、ログ管理の 利便性を高めることができます。 例えば、Archive タスクを毎日深夜に実行するようにスケジュール化したとします。このオ プションを指定することによって日付が調整され移動/コピー後のファイル名には前日の 日付が追加されます。アーカイブ後のログには前日からのデータが記録されます。 Archive Options (アーカイブオプション) Zip options (Zip オプション) Zip files after moving/copying: (移動/コピー後の Zip ファイル) チェックすると移動/コピー後のファイルを含む zip ファイルが作成されます。 Compression Level (圧縮レベル) • None (なし) 圧縮しません。zip ファイル内のファイルは生データです。 • Low (低) Kiwi Syslog Server Ver.9.4 Rev. 1.2 195 最小限の圧縮を行います。データ圧縮時間が最短で済みます。Deflate 圧縮方式 の場合、Medium に比べて圧縮時間は著しく短縮されますが圧縮後のファイルサイ ズは 1%~15%程度大きくなります。 • Medium (中) 通常の圧縮を行います。データ圧縮にかかる時間と圧縮率が最もバランスの取れ たオプションです(圧縮方式が Deflate であっても Deflate64 であっても同じです)。 • High (高) 最大限の圧縮を行います。圧縮アルゴリズムが生成しうる最大の圧縮率でファイル を圧縮します。Deflate 圧縮方式の場合、Medium に比べて圧縮後のファイルサイズ が大して変わらないにも関わらず圧縮にかかる時間は非常に長くなります。圧縮後 のファイルサイズをできる限り小さくしたい場合で圧縮時間はさほど重要でないとき に限り、このオプションを使用するようにしてください。 Compression method (圧縮方法) • Stored 圧縮/解凍は全く行われません。 • Deflate Deflate 圧縮方式で圧縮されます。このアルゴリズムは圧縮/解凍速度が速く最適 な圧縮率で結果を得ることができます。 • Deflate 64 Deflate64™圧縮方式で圧縮されます。Deflate よりも時間はかかりますが、圧縮率 は良くなります。 All files into a single zip (全てのファイルを単一の Zip にする) このオプションをチェックした場合は、移動/コピー先のフォルダにあるすべてのファイル が 1 つの zip ファイルにまとめてアーカイブされます。チェックしない場合は、移動/コピー 先フォルダにあるファイルごとに zip ファイルが作成されます。 Encrypt zip file (暗号化 zip ファイル) チェックすると作成されるすべての zip ファイルが暗号化されます。パスワード、暗号化タ イプ、暗号化の強度も指定します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 196 Encryption password (暗号化パスワード) ファイルを暗号化/複合化するときに使用するパスワードを指定します。大文字小文字 が区別されます。 指定したパスワードは zip されたすべてのファイルに適用されます。 このオプションが空白 - すなわちパスワードを指定しない場合、zip されたファイルは暗 号化されません。 パスワードは 79 文字まで使用できます。 Encryption Type (暗号化タイプ) • Compatible 通常の zip 暗号 (弱) • WinZip AES WinZip 9.0 の AES 暗号 (強) Encryption Strength (暗号化強度) 暗号化の強度を指定します(ビット単位)。暗号タイプが Compatible の場合には適用され ません。 Preserve Paths in Zip file(s) (zip ファイルでパスを保持) 作成される zip ファイルに移動/コピー後のファイルのパス情報を含めるかどうかを指定 します。 Run External Program (外部プログラム実行) Run program after each file is moved/copied (ファイルの移動/コピーごとにプログラムを実 Kiwi Syslog Server Ver.9.4 Rev. 1.2 197 行) 選択した Windows プログラムがファイルの移動/コピーが行われる度に実行されます。 Command-line(コマンドライン)フィールドで指定したコマンドラインパラメータが選択した プログラムに渡されます。 Wait for program completion (プログラムの終了待ち時間) プログラムの終了待ち時間を指定します。指定した時間が経過すると、その時点でまだ 実行中のプログラムや処理は終了されます。 Run program after all files are moved/copied (全てのファイルの移動/コピー後にプログラ ムを実行) 選択した Windows プログラムがすべてのファイルの移動/コピーが終わった後に実行さ れます。 Command-line(コマンドライン)フィールドで指定したコマンドラインパラメータが選択した プログラムに渡されます。 Wait for program completion (プログラムの終了待ち時間) プログラムの終了待ち時間を指定します。指定した時間が経過すると、その時点でまだ 実行中のプログラムや処理は終了されます。 Archive Notification (アーカイブ通知) Kiwi Syslog Server Ver.9.4 Rev. 1.2 198 HTML format/Plain text format(HTML 形式/テキスト形式) HTML 形式のクリーンアップレポートを作成する場合は、HTML format (HTML 形式)、 テキスト形式のクリーンアップレポートを作成する場合は、Plain text format (テキスト形 式)を選択します。 Send report by e-mail (E メールによるレポート送信) チェックするとアーカイブレポートが E メールで送信されます。送信先のアドレスは Recipient(s)フィールドで指定します。 • Recipient(s) (受信者) アーカイブレポートの受信者を指定します。アーカイブレポートを複数のアドレスに 送信するときは各アドレスをコンマまたはセミコロンで区切って指定します。 • Include file hashes in report (レポートにファイルハッシュを含む) チェックするとファイルハッシュ値がファイル処理の度に生成されます。 Generate Hash before zip (zip 前にハッシュを生成) zip 前に元のファイルからハッシュ値が生成されます。ハッシュ値は作成されるレポ ートに記載されます。 Generate Hash after zip (zip 後にハッシュを生成) アーカイブ処理の途中で作成されたすべての zip ファイルからハッシュ値が生成さ れます。 ハッシュ値は作成されるレポートに記載されます。 Hashing method (ハッシュ方法) ファイルから生成されるハッシュのタイプを指定します。 MD5 MD5 (Message Digest Algorithm 5)は安全なハッシュアルゴリズムで 1991 年に RSA Data Security, Inc の R. Rivest によって開発されました。このアルゴリ ズムは任意の長さのメッセージから 128 ビット長のメッセージダイジェストを生 成します。 MD5 は使用されることの多いハッシュアルゴリズムであり安全性も確保され ているとされています。しかし、一部には潜在的な弱点があることも報告されて います。また、指定したハッシュ値と一致するプレーンテキストを数週間内に検 Kiwi Syslog Server Ver.9.4 Rev. 1.2 199 索するような特殊目的のマシンをビルドすることも可能であることが報告され ています。 SHA1 SHA-1 (Secure Hash Algorithm 1)はアメリカ国立標準技術研究所(NIST)によっ ていくつかの米国連邦政府の適用業務向けに提案されました。このアルゴリ ズムは任意の長さのメッセージから 160 ビット長のメッセージダイジェストを生 成します。128 ビットのハッシュ関数に比べ SHA-1 が生成する 160 ビットのハッ シュ値は総当り攻撃に対する耐性が高められており、MD5 よりも安全とされて います。 SHA256 SHA256 (または SHA-2 = Secure Hash Algorithm 2 (256)) はアメリカ国立標 準技術研究所(NIST)によっていくつかの米国連邦政府の適用業務向けに提 案されました。このアルゴリズムは任意の長さのメッセージから 256 ビット長の メッセージダイジェストを生成します。SHA-2(256)アルゴリズムによって生成さ れる出力は新暗号規格(AES)に見合うセキュリティが実現されています。 Send report to disk (レポートをディスクに送信) チェックするとアーカイブレポートファイルが指定したパスとファイル名でディスクに保存 されます。 Variable options (変数オプション) 選択した変数がファイルパスに挿入されます。変数を利用すれば日付や時刻スタンプ付 きのレポートファイルが作成されるため、アーカイブタスクが実行されるたびに同じレポ ートファイルが上書きされる心配がありません。 Use absolute paths in report (don't use relative paths) (レポートにフルパスを使用) Kiwi Syslog Server Ver.9.4 Rev. 1.2 200 チェックすると作成されるレポート(ディスク上でも E メールでも)にはデフォルトの相対パ スではなくフルパスが表示されます。 3.4.6 Clean-up (クリーンアップ) タスク 指定条件に一致したファイルを元の場所から削除します。 Clean-up (クリーンアップ)タスクは任意の間隔/日付、あるいはアプリケーション/サービスの起 動時に実行されるようスケジュール化することが可能です。 スケジュール化されているか否かに関わらず、Clean-up(クリーンアップ)タスクは次の 3 つの部分 で構成されています。 • Source (ソース) • Clean-up Options (クリーンアップオプション) • Clean-up Notification (クリーンアップ通知) Source (ソース) Source location (ソースロケーション) 削除するファイルが保存されているルートフォルダを指定します。Include sub-folders (サブフォルダを含む)オプションをチェックすると、指定したルートフォルダの下にあるす べてのサブフォルダがファイル処理の対象になります。チェックしない場合、指定したル ートフォルダの直下にあるファイルのみが処理対象となります。 Source Files (ソースファイル) タスク処理の対象にするファイルについて定義します。 ファイルマスク、サイズ、経過時間の指定条件に一致したファイルのみが処理対象とな り、一致しないものは除外されます。 下図は 500MB 以上で 6 ヶ月以上経過している*.txt ファイルを処理する設定例です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 201 Clean-up Options (クリーンアップオプション) Remove empty folders (空フォルダの除外) チェックすると空フォルダも元の場所から削除します。 Clean-up notification (クリーンアップ通知) HTML format/Plain text format (HTML 形式/テキスト形式) HTML 形式のクリーンアップレポートを作成する場合は、HTML format (HTML 形式)、 テキスト形式のクリーンアップレポートを作成する場合は、Plain text format (テキスト形 式)を選択します。 Send clean-up notification report by e-mail (E メールによるクリーンアップレポート送信) チェックするとクリーンアップレポートが E メールで送信されます。送信先のアドレスは Kiwi Syslog Server Ver.9.4 Rev. 1.2 202 Recipient(s)フィールドで指定します。 Recipient(s) (受信者) クリーンアップレポートを複数のアドレスに送信するときは各アドレスをコンマまたはセミ コロンで区切って指定します。 Send clean-up notification report to disk: (クリーンアップ通知レポートをディスクに送信) チェックするとクリーンアップレポートのファイルが指定したパスとファイル名でディスクに 保存されます。 Variable options (変数オプション) 選択した変数がファイルパスに挿入されます。変数を利用すれば日付や時刻スタンプ付 きのレポートファイルが作成されるため、クリーンアップタスクが実行されるたびに同じレ ポートファイルが上書きされる心配がありません。 Use absolute paths in report (don't use relative paths) (レポートにフルパスを使用) チェックすると作成されるレポート(ディスク上でも E メールでも)に、デフォルトの相対パス ではなくフルパスが表示されます。 3.4.7 Run Program (プログラム実行) タスク Windows プログラム、プロセス、バッチファイルなどを実行します。Run Program (プログラム実行) タスクは任意の間隔/日付、あるいはアプリケーション/サービスの起動時に実行されるようスケジ ュール化することが可能です。 スケジュール化されているか否かに関わらず、Run Program (プログラム実行)タスクは次の 2 つの 部分で構成されています。 • Run Program Options (プログラム実行オプション) • Run Program Notification (プログラム実行通知) Kiwi Syslog Server Ver.9.4 Rev. 1.2 203 Run Program options (プログラム実行オプション) Program file name (プログラムファイル名) 実行するプログラムまたはプロセスを指定します。 Command line options (コマンドラインオプション) 実行ファイルに渡すコマンドラインパラメータを指定します。 Process priority (プロセス優先度) 作成する Windows プロセスのプライオリティを指定します。 以下の値を使用できます。 • Low (低) システムがアイドルのときのみに実行されるスレッドのプロセスに対して指定します。 この値が設定されたプロセススレッドは「低」以上のプライオリティクラスが設定され ているプロセスの実行後に実行されます。スクリーンセーバーなどが該当します。 プライオリティクラスがアイドルのプロセスは子プロセスに引き継がれます。 • BelowNormal (通常以下) アイドル以上通常以下のプライオリティのプロセスに対して指定します。 • Normal (通常)(デフォルト) Kiwi Syslog Server Ver.9.4 Rev. 1.2 204 特にスケジュールする必要のないプロセスに対して指定します。 • AboveNomal (通常以上) 「通常」以上「高」以下のプライオリティのプロセスに対して指定します。 • High (高) 直ぐに実行する必要のある緊急度の高いタスクを実行するプロセスに対して指定し ます。「通常」やアイドルのプロセススレッドよりも先に処理されます。例えば、タスク リストなど OS にかかる負荷を無視してでもユーザーに呼び出されたらすぐに応答 する必要のあるプロセスに対して設定します。この値を適用すると、使用可能なほ ぼすべての CPU 時間が消費されるため使用するときは特に注意が必要です。 • Realtime (リアルタイム) 注記: この値に設定するとシステムがロックアップする可能性があります。 最優先のプロセスに対して指定します。この値の設定されたプロセススレッドは他 のすべてのプロセスよりも先に実行されます。重要なタスクを実行する OS のプロセ スなどがこれに該当します。例えば、非常に短い間隔でアルタイムプロセスが繰り 返し実行されると、ディスクキャッシュへの書き込みが不能になったり、マウスが応 答しなくなったりすることがあります。 Window Mode (ウィンドウモード) プロセスがユーザーインターフェイスを有するときに Window Mode にします。ユーザーイ ンターフェイスの無いプロセスには無効です。 以下の値を使用できます。 • Hide (非表示) • Normal (通常) • Minimized (最小化) • Maximized (最大化) Wait for program initialization to complete before continuing (継続前に初期化の完了を待 つ) チェックすると、Syslog Server は新たなプロセスが初期化されるまで待ちます。すなわち 新たなプロセスがアイドルになるまで待ちます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 205 Run Program Notification (プログラム実行通知) HTML format/Plain text format (HTML 形式/テキスト形式) HTML 形式の Run Program レポートを作成する場合は、HTML format (HTML 形式)、 テキスト形式の Run Program レポートを作成する場合は、Plain text format (テキスト形 式)を選択します。 Send clean-up notification report by e-mail (E メールによるクリーンアップレポート送信) チェックすると Run Program レポートが E メールで送信されます。送信先のアドレスは Recipient(s)フィールドで指定します。 Recipient(s) (受信者) Run Program レポートを複数のアドレスに送信するときは各アドレスをコンマまたはセミコ ロンで区切って指定します。 Send clean-up notification report to disk: (クリーンアップ通知レポートをディスクに送信) チェックすると Run Program レポートのファイルが指定したパスとファイル名でディスクに 保存されます。 Variable options (変数オプション) 選択した変数がファイルパスに挿入されます。変数を利用すれば日付や時刻スタンプ付 きのレポートファイルが作成されるため、Run Program タスクが実行されるたびに同じレ ポートファイルが上書きされる心配がありません。 3.4.8 Run Script (スクリプト実行) タスク Kiwi Syslog Server の Run-Script 実行します。Run Script (スクリプト実行)タスクは任意の間隔/ Kiwi Syslog Server Ver.9.4 Rev. 1.2 206 日付、あるいはアプリケーション/サービスの起動時/終了時に実行されるようスケジュール化する ことが可能です。 スケジュール化されているか否かに関わらず、Run Script (スクリプト実行)タスクは次の 2 つの部 分で構成されています。 • Run Script Options (スクリプト実行オプション) • Run Script Notification (スクリプト実行通知) Run Script Options (スクリプト実行オプション) Script file name (スクリプトファイル名) スクリプトファイルはスクリプトコマンドが書かれた標準テキストファイルです。ファイルの 拡張子は任意ですがデフォルトはメモ帳で編集しやすいよう .txt になっています。 Script description (スクリプト説明) 任意の説明文を入力できます。スクリプトの機能を簡単に説明してください。 Script language (スクリプト言語) Windows Script では Visual Basic® Scripting Edition と Microsoft JScript® の 2 つの スクリプトエンジンがサポートされています。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 207 • VBScript MS Word と Excel で使われる Visual Basic や VBA (Visual Basic for Applications) の一種です。学習しやすい上に豊富な機能セットがあります。 • Jscript Web で使われる Java スクリプトの一種です。Java スクリプトに精通している場合は これを選択してください。 どちらの言語も機能面でも処理速度の面でも同等です。どちらを選択しても構いません。 お好みで選んでください。SolarWinds 社でのテストでは、スクリプトが主に文字列操作で ある場合、ほとんどのケースで JScript の方が、処理速度が速かったという結果が出ま した。 VBScript に関しては以下の Web ページを参照してください。 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/vto riVBScript.asp (リンク切れ) JScript に関しては以下の Web ページを参照してください。 http://msdn.microsoft.com/library/default.asp?url=/library/en-us/script56/html/js5 6jsoriJScript.asp (リンク切れ) 他に Perl、Python、Ruby などのスクリプト言語も選択できます。 ただし、これらを選択した場合には対応するスクリプティングエンジンをインストールする 必要があります。 PerlScript については次の Web ページを参照してください。 http://www.activestate.com/Products/ActivePerl Python については次の Web ページを参照してください。 http://www.activestate.com/Products/ActivePython ActiveScriptRuby については次の Web ページを参照してください。 http://arton.hp.infoseek.co.jp/index.html (リンク切れ) Field Read/Write permissions (読み込み/書き込み権限フィールド) セキュリティと速度を確保するという理由で、メッセージおよびスクリプト変数に対するア クセスを制限することができます。スクリプトが実行されるたびに、メッセージフィールド Kiwi Syslog Server Ver.9.4 Rev. 1.2 208 がスクリプト変数にコピーされ、スクリプトが完了すると元に戻されます。コピーは時間と CPU サイクルを消費しますので、Read/Write アクセスを使用したい変数のみに制限する と、実行速度が上がります。 フィールドグループの Read アクセスを有効にすると、値がスクリプト変数にコピーされま すのでスクリプト内で読み取ることが出来ます。 フィールドグループの Write アクセスを有効にすると、値がスクリプト変数からコピーされ 対応するプログラムフィールドがその値で置換されます。 フィールドはスクリプト中で使用方法が似ているもの同士でグループ化されています。 フィールドの詳細については「スクリプト変数」を参照してください。 Run Script Notification スクリプト実行通知 HTML format/Plain text format (HTML 形式/テキスト形式) HTML 形式の Run Script レポートを作成する場合は、HTML format (HTML 形式)、 テキスト形式の Run Script レポートを作成する場合は、Plain text format (テキスト形 式)を選択します。 Send clean-up notification report by e-mail (E メールによるクリーンアップレポート送信) チェックすると Run Script レポートが E メールで送信されます。送信先のアドレスは Recipient(s)フィールドで指定します。 Recipient(s) (受信者) Run Script レポートを複数のアドレスに送信するときは各アドレスをコンマまたはセミコロ ンで区切って指定します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 209 Send clean-up notification report to disk: (クリーンアップ通知レポートをディスクに送信) チェックすると Run Script レポートのファイルが指定したパスとファイル名でディスクに保 存されます。 Variable options (変数オプション) 選択した変数がファイルパスに挿入されます。変数を利用すれば日付や時刻スタンプ付 きのレポートファイルが作成されるため、Run Script タスクが実行されるたびに同じレポ ートファイルが上書きされる心配がありません。 3.4.9 スケジュールレポート HTML 形式レポートの例 テキスト形式レポートの例 Kiwi Syslog Server - Scheduled Archive Task Report - Archive on a schedule Archive Task, performed: Friday, 24 August 2007 at 16:10:01 Source location: C:\Program Files\Syslogd\Logs\ Destination location: C:\Program Files\Syslogd\Dated logs\ File 1: Source file: SyslogCatchAll.txt Copied/Moved to: 2007-08-24\SyslogCatchAll2007-08-24(2).txt File size (bytes): 259,509,414 Date created: 24/08/2007 4:10:01 p.m. Hash (SHA-256): D6034A75FCA28DEAA839D8536839B9745C1DAF2BEA4F6ADCC5D06B86C05D3BAE Kiwi Syslog Server Ver.9.4 Rev. 1.2 210 3.5 Formatting (フォーマッティング) ここでは、Formatting メニューについて説明します。 3.5.1 Custom File Formats (カスタムファイルフォーマット) データを標準フォーマットと異なるフォーマットで記録するには、このオプションで独自のファイル記 録フォーマットをフィールドから作成します。 新しいカスタムフォーマットの作成手順 カスタムフォーマットの作成手順は以下の通りです。 1. Custom file formats (カスタムファイルフォーマット)オプションを右クリックし、 Add new custom file format (新しいカスタムファイルフォーマット)を選択します。 2. もしくは Custom file formats (カスタムファイルフォーマット)オプションをクリックし、ツール バーの Create new item ボタンをクリックします。 3. Log to file アクションを作成します。 4. Log to file アクションの Log file format (ログファイルフォーマット)ドロップダウンリストから 作成したカスタムフォーマットを選択します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 211 カスタムファイルフォーマットはリストの一番下に表示されます。 Log file fields (ログファイルフィールド) フィールド順の変更手順 ファイルに書き込むフィールドの順序を変更するにはフィールドチェックボックスをドラッ グします。マウスをチェックボックス上に置くと、マウスカーソルがドラッグアンドドロップカ ーソルに変わります。任意の項目をクリックし、変更したい位置までドラッグアンドドロッ プすることで順序を変更することができます。表示された順序でログファイルエントリが 作成されます。 フィールドの有効化 使用可能なフィールドは Log file fields に表示されています。ログファイルに書き込みた いフィールドのみチェックしてください。 Date format/Time format/Date-Time format (日付と時刻のフォーマット) Date format、Time format および Date-Time format フィールドのフォーマットは画面右側のド ロップダウンリストで選択できます。ご使用の環境に応じて最適なフォーマットを選択するよう にしてください。 Field delimiter (フィールド区切り文字) 通常、各フィールドは重複しない特定の文字で区切ります。タブは syslog ファイルでもっとも 一般的に使用されている区切り文字です。Field delimiter リストから使用したい区切り文字を 選択します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 212 Qualifier (修飾語) 各フィールドを引用符もしくは二重引用符等で括ることができます。これは区切り文字として カンマ(,)を使うように設定したときに特に効果的です。Qualifier リストから選択します。 Adjust time to UTC (-9hrs) (UTC 時間に適用) ログファイルの日付時刻スタンプを UTC(GMT)時間に合わせたい場合にチェックします。UTC との時差(1 時間単位)が括弧内に表示されています。 Custom (カスタム)フィールド Custom(カスタム)フィールドは Run Script アクションで使います。構文解析スクリプトを作成 すると、syslog メッセージテキストをいくつかのサブフィールドに分離できます。 値は 16 個のカスタムフィールドに割り当てられファイルに記録されます。syslog メッセージは デバイスメーカーごとに異なるフォーマットで生成されますので、メッセージテキストを別々の フィールドに分離する汎用の構文解析プログラム(パーサー)を作成することはできません。メ ッセージテキストを解析し、カスタムデータベースフィールドに挿入するカスタムスクリプトを作 成しなければなりません。 \Scripts サブフォルダに構文解析スクリプトのサンプルがありますので参考にしてください。 Custom field チェックボックスをチェックすると 16 個すべてのフィールドがログファイルに記録 されます。各カスタムフィールドは選択した区切り文字で分離されます。 フィールドと値の例 フィールド名 例 Date 28/01/2005 Time 16:12:54 Date-Time 28/01/2005 16:12:54 Milliseconds 123 TimeZone -13 hrs Facility Local7 Level Debug Priority Local7.Debug HostAddress 192.168.0.1 Hostname host.company.com InputSource UDP Kiwi Syslog Server Ver.9.4 Rev. 1.2 213 3.5.2 Message Text This is a test message from Kiwi Syslog Server Custom Custom01 Custom02 Custom03 etc Date 28/01/2005 Custom DB formats (カスタム DB フォーマット) データを標準フォーマットと異なるフォーマットでデータベースに記録するには、このオプションで独 自の DB フォーマットをフィールドから作成します。 新しいカスタムフォーマットの作成手順 カスタムフォーマットの作成手順は以下の通りです。 1. Custom DB formats (カスタム DB フォーマット)オプションを右クリックし Add new custom DB format (新しいカスタム DB フォーマットの追加)を選択します。 もしくは Custom DB formats(カスタム DB フォーマット)オプションをクリックしツールバーの Create new item (新しいアイテムの作成)ボタンをクリックします。 2. Type (タイプ)ドロップダウンリストから使用したいデータベースタイプを選びます。 注記: 最初にデータベースタイプ Access database が表示されます。 3. 使用したいデータベースが存在しないときは、Unknown format (フォーマット不明)を選び、 Kiwi Syslog Server Ver.9.4 Rev. 1.2 214 希望するデータベースタイプに合うようフィールドを変更します。 フィールド順の変更手順 データベースに作成されたフィールドの順序を変更するには Function セルを他のセルの上ま たは下にドラッグアンドドロップします。マウスを灰色の Function セルの上に置くと、マウスカ ーソルがドラッグアンドドロップカーソルに変わります。任意の項目をクリックし、変更したい位 置までドラッグアンドドロップすることで順序を変更することができます。表示された順序でデ ータベーステーブルが作成されテーブルにデータが挿入されます。 Function (機能) 一番左側の列に表示されています。次の列はフィールドの有効/無効を切り替えるチェックボ ックスです。チェックされていないフィールドは、データベースの INSERT 文から除外される、 あるいはデータベーステーブルの作成時に使用されません。 Field name (フィールド名) Field name 列は編集可能です。適切な名前を付けてください。デフォルトフィールド名はすべ てのデータベースに対して問題を起こさないことが確認されています。例えば日付フィールド の名前を DATE に変更すると、一部のデータベースタイプでエラーを引き起こす可能性があり ます。そのようなデータベースタイプでは DATE が予約語であるためです。フィールド名の先 頭に MSG を追加すれば予約語との衝突を避けることができます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 215 Size (サイズ) データベースの作成にあたり、フィールドに最大のデータが入るようにサイズを指定すること が重要です。フィールドの中にはフィールドタイプによってサイズが決まるものがあります。こ の場合は、サイズを指定する必要がありません。例えば Time は常に 8 バイトとみなされま す。サイズはプログラムでログをデータベースに書く時にも必要となります。データは INSERT 文で渡されますので、指定されたフィールドサイズに切り詰められます。フィールドに 大きすぎるデータが入ることによるエラーを避けるためです。例えば、メッセージテキストフィ ールドに 255 バイトを指定しているときに 300 バイトのメッセージを受信したとします。データ は 255 バイトに切り詰められてからログファイルに記録されます。 Type (タイプ) フィールドタイプはログデータのタイプに一致しなければなりません。正しいデータタイプが不 明な時は、VarChar を選択しておけば大抵の場合大丈夫です。データタイプを編集するとき は各セルのドロップダウンリストから選択してください。リストから選ぶ代わりに、セルに直接 入力することもできます。リストのデータタイプは選択したデータベースタイプに応じて変わり ます。例えば Access で Text となるフィールドのデータタイプは SQL では VarChar となりま す。 Format (フォーマット) データフォーマットをデータフィールドごとに指定できます。ほとんどのフィールドは指定不要 です。日付フィールドでは多くのフォーマットがサポートされており、データベースに書き込ま れるときに独自の内部フォーマットに変換されます。クエリー時にはログが記録されたときと は異なるフォーマットで表示されることがあります。 HostAddress フィールドのフォーマット形式によってアドレスは 0 埋めされるため、表示さ れると先頭に 0 が現れます。これによりアドレスは常に 15 バイト長となり、IP アドレスでソート しやすくなります。 Format セルをブランクにすると、データは変更されず、受信した通りに保存されます。 Show SQL commands (SQL コマンドの表示)ボタン このボタンを押すとテーブルを作成し、データを挿入するために使われるコマンドリストが表 示されます。これらのコマンドを使って、使用しているデータベースアプリケーション内に独自 のテーブルを作成できます。コマンドを送信する時のデフォルトのテーブル名は Syslogd で す。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 216 SQL コマンド例: Database type: MySQL database Database name: New Format SQL command to create the table: CREATE TABLE Syslogd (MsgDate DATE,MsgTime TIME, MsgPriority VARCHAR(30),MsgHostname VARCHAR(255),MsgText TEXT) SQL INSERT command example: INSERT INTO Syslogd (MsgDate,MsgTime,MsgPriority,MsgHostname,MsgText) VALUES ('2005-01-28','16:22:44','Local7.Debug','host.company.com', 'This is a test message from Kiwi Syslog Server') Custom (カスタム)フィールド Custom(カスタム)フィールドは Run Script アクションで使います。構文解析スクリプトを作成 すると、syslog メッセージテキストをいくつかのサブフィールドに分離できます。値は 16 個の カスタムフィールドに割り当てられファイルに記録されます。syslog メッセージはデバイスメー カーごとに異なるフォーマットで生成されますので、メッセージテキストを別々のフィールドに 分離する汎用の構文解析プログラム(パーサー)を作成することはできません。メッセージテキ ストを解析し、カスタムデータベースフィールドに挿入するカスタムスクリプトを作成しなけれ ばなりません。\Scripts サブフォルダに構文解析スクリプトのサンプルがありますので参 考にしてください。Custom field チェックボックスをチェックすると 16 個すべてのフィールドがロ グファイルに記録されます。各カスタムフィールドは選択した区切り文字で分離されます。 記録されたデータフォーマットの例 Field name Type Size Data ---------------+---------------+-----+-----> MsgUnique adInteger 4 1 MsgDate adDBTimeStamp 16 28/01/2005 MsgTime adDBTimeStamp 16 16:12:54 MsgDateTime adDBTimeStamp 16 28/01/2005 16:12:54 MsgUTCDate adDBTimeStamp 16 28/01/2005 MsgUTCTime adDBTimeStamp 16 04:12:54 MsgUTCDateTime adDBTimeStamp 16 28/01/2005 04:12:54 MsgTimeMS adInteger 4 0 MsgPriorityNum adInteger 4 191 Kiwi Syslog Server Ver.9.4 Rev. 1.2 217 MsgFacilityNum adInteger 4 23 MsgLevelNum adInteger 4 7 MsgPriority adVarWChar 30 Local7.Debug MsgFacility adVarWChar 15 Local7 MsgLevel adVarWChar 15 Debug MsgHostAddress adVarWChar 15 192.168.0.1 MsgHostname adVarWChar 255 host.company.com MsgInputSource adVarWChar 10 UDP MsgText adLongVarWChar 1024 This is a test message from Kiwi Syslog Server 3.6 DNS Resolution (DNS の解決) ここでは DNS Resolution メニューについて説明します。 Resolve the IP address of the sending device (送信デバイスのアドレス解決) 送信デバイスの IP アドレスをホスト名に変換します。 例えば、203.50.23.4 を sales-router.company.com に変換します。 解決されたホスト名は表示やその他のアクションで使用されます。 Hostname タイプフィルターでもホスト名が使用されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 218 必要に応じて、Remove the domain name (ドメイン名の除去)オプションを有効にすると、 ホスト名の表示からドメイン名の部分を削除することが可能です。 Remove the domain name (show only the host name) (ドメイン名の除去- ホスト名のみ表示) Resolve the IP address of the sending device (送信デバイスのアドレス解決)オプションも同 時にチェックされている場合、解決したホスト名の後ろのドメイン名を削除できます。すなわち sales-router.company.com ではなく sales-router を表示できます。 同一ドメインからのみメッセージを受信する場合や、ホスト名を表示するときにできるだけスク ロールしないで済むようにしたいときに有効です。 このオプションはすべてのロギングアクションで使用されるホスト名フィールドに対して適用さ れます。 Resolve IP addresses within the message text (メッセージテキストの IP アドレス解決) Web ブラウザやファイアーウォール等からのデータをロギングするとき、メッセージテキストに IP アドレスが含まれている場合があります。このオプションを有効にすれば、これらの IP アド レスはホスト名や Web サイトアドレスに変換されます。プログラムはメッセージテキストに含ま れている IP アドレスを検索します。解決された名前の表示方法も指定できます。IP アドレスを 名前に置換したり IP アドレスの後に名前を追加したりすることができます。 注記: NetBIOS 名の解決は通常の DNS エントリ解決より時間がかかります。NetBIOS 名を 解決する時は DNS タイムアウト値を 20~30 秒にしてください。 Replace IP address with host name (IP アドレスをホスト名で置換) IP アドレスをホスト名で置換します。 例: Web サイト http://192.168.1.2/index.html. src=192.168.5.100 rxbytes=64 に接続した Test ユーザーのメッセージ Test user connected to website http://website.company.com/index.html. src=userpc.company.com rxbytes=64 Kiwi Syslog Server Ver.9.4 Rev. 1.2 219 Place host name next to IP address (IP アドレスの隣にホスト名を記録) IP アドレスの後ろにホスト名を記録します。 Host name tagging (ホスト名タグ) 解決したホスト名に任意のタグを付けることができます。例えば、ホスト名の前に hostname=[、後ろに ] を付けるように指定することも可能です。メッセージのフォー マットに合わせて任意のタグ文字を指定してください。 注記: Place host name next to IP address (IP アドレスの隣にホスト名を記録)オプ ションを選択すると、デフォルトではホスト名に () とスペースのタグが付きます。 WELF フォーマットメッセージでの推奨タグフォーマットは、resolved_host= と スペースです。 例: Web サイト http://192.168.1.2/index.html. src=192.168.5.100 rxbytes=64 に接続した Test ユーザーのメッセージ Test user connected to website http://192.168.1.2 (website.company.com) /index.html. src=192.168.5.100 (userpc.company.com) rxbytes=64 Remove the domain name (ドメイン名の除去) 解決した名前からドメイン名を除去します。 If domain contains (ドメイン内容 X を含む場合) フィルター一致条件から選択的にドメイン名を含めたり、削除したりすることができます。 除去するドメイン名を引用符で囲んで入力します。複数のドメインをフィルターするには 引用符で囲んだ文字列をスペースかカンマで区切ってください。 例: ".companyabc.com", ".companyxyz.co.uk" と入力した場合 mypc.company.co.uk と解決された IP アドレスは mypc になります。 DNS Query Timeout (DNS クエリーのタイムアウト) ルックアップクエリーに対する DNS サーバーの応答タイムアウトを指定します。デフォルトは 8 秒です。遅い DNS サーバーやネットワークリンクが低速であれば大きな値に変更できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 220 この値を大きくするのは NetBIOS(Windows を実行しているコンピュータのマシン名)経由でア ドレス解決をする場合に限ってください。ユニキャストルックアップによる NetBIOS 名の解決に は最大 20 秒かかることがあります。 DNS サーバーがローカルで内部アドレス変換だけの場合は 3 秒以下にしても大丈夫です。 タイムアウト時間を大きくしすぎると名前解決が終了するまでメッセージがキューに入って待 ち状態になることに気づくことがあります。この場合キューが 1,000 以上になるとメッセージが 失われます。メッセージバッファの空き領域がどれくらいあるかは Syslog メイン画面から確認 できます。 3.6.1 DNS Setup (DNS 設定) ここでは、DNS Resolution -> DNS Setup メニューについて説明します。 Internal IP address – Name Resolution (内部 IP アドレス - 名前解決) Internal IP address range(s) (内部 IP アドレス範囲) 内部ネットワークアドレス空間を識別するマスク済み IP アドレスのリストです。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 221 このリストには RFC1918/3330/3927 で確認された標準内部(プライベート)ネットワー クアドレス空間がデフォルト値として表示されています。リストには IANA による予約プラ イベートインターネットアドレス空間およびリンクローカルアドレス範囲が含まれていま す。 10.0.0.0 - 10.255.255.255 (10/8 prefix) 172.16.0.0 - 172.31.255.255 (172.16/12 prefix) 192.168.0.0 - 192.168.255.255 (192.168/16 prefix) 169.254.0.0 - 169.254.255.255 (link-local) 内部 IP アドレス範囲の追加 Internal IP address range(s) (内部 IP アドレス範囲)リストの下にあるテキストボックスに 直接マスク済み IP アドレスを入力し Add (追加)ボタンをクリックします。IP アドレスは X でマスクされていなければなりません。X はその範囲(0-255)のどの値も可能であるこ とを表します。 例: 内部アドレススペースが 10.0.0.0 – 10.255.255.255 の場合、 マスク済み IP アドレスとして 10.x.x.x と入力します。 重要: これらのアドレス範囲に含まれる syslog ホスト IP アドレスは Internal IP Address – Name Resolution (内部 IP アドレス - 名前解決)の設定にのみ従って名前解決が行われます。 内部アドレス範囲に含まれないホスト IP アドレスは External IP Address – Name Resolution (外部 IP アドレス - 名前解決)の設定に従って名前解決が行われます。こ の違いは重要です。アドレス範囲リストはフィルターのように動作します。このフィルター はローカル DNS サーバーや NetBIOS を使って内部ネットワーク上の IP アドレスを解決 するか、外部 DNS サーバー等で IP アドレスを解決するかを決定します。内部アドレス空 間を正しく設定されているかどうかが名前解決クエリーの応答時間に直接影響します。 Resolve internal addresses using NetBIOS (NetBIOS を使用して内部アドレスを解決) チェックすると Kiwi Syslog Server はローカルサブネットに NetBIOS ブロードキャストクエ リーを送信して内部アドレスの名前解決を行います。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 222 Resolve internal addresses using DNS server (DNS サーバーを使用して内部アドレスを解 決) チェックすると Kiwi Syslog Server は DNS サーバーに DNS クエリーを送信して内部名前 解決を行います。 Preferred internal DNS server (優先 DNS サーバー) DNS クエリーを送信する内部ネットワークアドレスを入力します。デフォルトではアド レスは Kiwi Syslog Server によって自動検出されます。ネットワーク構成によっては デフォルト値を変更する必要があります。 Alternate internal DNS server (代替内部 DNS サーバー) DNS クエリーを送信する内部ネットワークアドレスを入力します。デフォルトではアド レスは Kiwi Syslog Server によって自動検出されます。もし優先 DNS サーバーが使 用できなければ、あるいはリクエストに対応できなければ、同じクエリーが代替 DNS サーバーに送られます。 代替 DNS サーバーが使用できない場合は、このフィールドはブランクのままとしま す。 External IP address – Name Resolution (外部 IP アドレス - 名前解決) Resolve external address using NetBIOS (NetBIOS を使用して外部アドレスを解決) チェックすると Kiwi Syslog Server は NetBIOS を使って外部 IP アドレスの名前解決を行 います。 Resolve external addresses using DNS server (DNS サーバーを使用して外部アドレスを解 決) チェックすると Kiwi Syslog Server は DNS サーバーに DNS クエリーを送信して外部 IP ア ドレスの名前解決を行います。 Preferred internal DNS server (優先 DNS サーバー) DNS クエリーを送信する外部ネットワークアドレスを入力します。デフォルトではアド レスは Kiwi Syslog Server によって自動検出されます。ネットワーク構成によっては デフォルト値を変更する必要があります。 Alternate internal DNS server (代替内部 DNS サーバー) DNS クエリーを送信する外部ネットワークアドレスを入力します。デフォルトではアド Kiwi Syslog Server Ver.9.4 Rev. 1.2 223 レスは Kiwi Syslog Server によって自動検出されます。もし優先 DNS サーバーが使 用できなければ、あるいはリクエストに対応できなければ、同じクエリーが代替 DNS サーバーに送られます。 代替 DNS サーバーが使用できない場合は、このフィールドはブランクのままとしま す。 3.6.2 DNS Cache (DNS キャッシュ) ここでは、DNS Resolution -> DNS Caching メニューについて説明します。 IP アドレスのホスト名解決要求の都度 DNS サーバーへの問合せが発生します。このことによりプ ログラム、ネットワーク、DNS サーバーへのオーバーヘッドが増え、特に大量のメッセージを受信し た時に大きな負荷がかかる場合があります。 DNS トラフィックを減少させ、名前解決時間を短縮するために DNS キャッシュが使われます。一度 ホスト名が解決されるとその結果がローカルに保存されます。次回同じアドレスを解決する必要が 生じたときは別の DNS 要求を発行せずにキャッシュから結果を取り出します。 保存可能な DNS キャッシュの数は、20,000 エントリです。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 224 Cache information (キャッシュ情報) Entries in the cache: (キャッシュエントリ数) キャッシュに含まれるエントリ数を表示します。 Refresh (更新)ボタン 現在キャッシュ内にある有効なエントリ数を計算します。 Clear (クリア)ボタン すべての動的エントリ(DNS ルックアップの結果)をクリアします。ファイルからロードされ た静的エントリは対象外です。 View (表示)ボタン 現在のキャッシュエントリをファイルに出力し、メモ帳を開いてその内容を表示します。 キャッシュのパフォーマンス情報も表示されます。 Clear All (すべてクリア)ボタン (動的と静的の両方を含む)すべてのエントリの DNS キャッシュをクリアします。静的エン トリファイルを再度読み込むにはプログラムを再起動する必要があります。 Cache settings (キャッシュ設定) Flush address entries from cash after X minutes (X 分後にキャッシュからエントリを消去) 指定時間後キャッシュから古いエントリを消去します。デフォルト値は 1440 分(1 日)です。 エントリは 1 日の間はキャッシュに残りますが、その後キャッシュから消去されルックアッ プを経て再作成されます。 Enable pre-emptive lookup of IP addresses (IP アドレス事前ルックアップの有効化) 各アドレスを順番に解決するのではなく、メッセージをプロセスキューに追加する前に IP アドレスを抽出します。アドレス解決を非同期に実行し、結果をキャッシュに保存します。 メッセージが処理される時にはアドレスはすでにキャッシュに存在します。DNS 解決はマ ルチスレッドルックアップシステムで同時に 100 個実行します。大量の受信メッセージが あり、IP アドレスの解決を速やかに行いたいときは、このオプションを有効にしてくださ Kiwi Syslog Server Ver.9.4 Rev. 1.2 225 い。 Static cache entries (静的キャッシュエントリ) Pre-load the cache with static entries from a hosts file (hosts ファイルから静的エントリを 事前ロード) プログラムの起動時に静的ホストエントリのリストをロードします。リストにはタブで区切 った IP アドレスとホスト名が書かれていなければなりません。アドレスはキャッシュにロ ードされ、静的マークがつけられます。これは期限の無いことを意味し、動的エントリの ようにクリアされません。 Kiwi Syslog Server のインストールフォルダにサンプルの hosts ファイルが存在します。 ファイル名は、StaticHosts.txt です。 Hosts file (hosts ファイル) Kiwi Syslog Server の起動時に読み込ませる hosts ファイルを指定します。 例: hosts ファイル # Static DNS host file # Each entry must consist of an IP address, a tab, then a host name # The IP address is in the format aaa.bbb.ccc.ddd # The host name can be any text value that you like up to 63 characters # in length # # Comments can be on a separate line and must start with a # character # # Example: # 192.168.1.1 myhost.mycompany.com # # NOTE: The IP address and host name MUST be separated with a tab # (ASCII chr 9) # Spaces will not be recognised as a valid separator # Default value for localhost 127.0.0.1 localhost Kiwi Syslog Server Ver.9.4 Rev. 1.2 226 # local machines 192.168.1.2 myfunny.valentine.com 192.168.1.5 flyme2.themoon.com 3.7 Modifiers (修正) ここでは、Modifiers メニューについて説明します。 メッセージを受信すると、指定した各種の修正が行われます。メッセージの長さを短縮したり、不正 なプライオリティを変更したり、余分な CR/LF コードを削除するといった処理が可能です。 Replace non-printable characters with <ASCII value> (制御文字を<ASCII 値>に置換) 一部のルーターやホストは制御文字を含むメッセージを送出します。例えば、複数行のメッセ ージには CR(キャリッジリターン)および LF(ラインフィールド)が含まれています。このオプシ ョンを有効にすると、制御文字の代わりに同等の ASCII 文字を表示します。 例えば、CR を受信すると<013>で置換します。 Remove CR/LF from end of messages (メッセージ末尾から CR/LF を除去) 一部のルーターやホストはメッセージの送出時に末尾に CR/LF を追加します。そのため、 ログファイルに 2 行の空白行ができます。このオプションをチェックするとメッセージの末尾に あるすべての CR/LF 文字を削除します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 227 Remove imbedded date & time from Cisco messages (Cisco デバイスメッセージから余分な時刻 スタンプを除去) Cisco デバイスは syslog メッセージに時刻スタンプを追加します。これらの余分な時刻スタン プを削除することによって、領域を節約したりログファイルを読みやすくしたりすることができ ます。このオプションをチェックすると余分な時刻スタンプを削除します。 このオプションは特定の Cisco メッセージフォーマットに対して機能します。以下の既知の Cisco 日付時刻フォーマットに対応で機能するでしょう。 • タイムゾーンつきのタイムスタンプ形式 47: *Mar 1 00:45:43 UTC: %CLEAR-5-COUNTERS: Clear counter on all interfaces by console • uptime 形式 49: 00:54:46: %SYS-5-CONFIG_I: Configured from console by console • タイムスタンプローカルタイム形式(ミリ秒) 50: *Mar 1 00:56:30.475: %SYS-5-CONFIG_I: Configured from console by console • タイムスタンプローカルタイム形式(ミリ秒とタイムゾーン) 51: *Mar 1 00:58:52.767 UTC: %SYS-5-CONFIG_I: Configured from console by console • タイムスタンプ形式 53: *Mar 1 01:11:17: %CLEAR-5-COUNTERS: Clear counter on all interfaces by console Allow messages with priority > 191 (use default priority) (191 以上のプライオリティ付きメッセー ジを許可(デフォルトプライオリティの使用)) syslog メッセージの先頭にはプライオリティコードが書かれています。通常 Unix システムやル ーターのプライオリティコードは、0~191 です。デバイスから送信されてくるメッセージに 191 以上の値が付いていることも時々あります。プライオリティの値は 191 以上のこともあります が、191 以上のプライオリティまたはファシリティのレベルは標準ではありません。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 228 こ のオプシ ョン を有効にする と、191 以 上のプライオリテ ィの 付いた 受信メッセージ に Defaultpriority to use (デフォルトプライオリティ)で指定したプライオリティを適用します。 Allow messages with no priority (use default priority) (プライオリティ無しメッセージを許可(デフォ ルトプライオリティの使用)) ルーターやホストから発せられるメッセージにはプライオリティコードが書かれていない場合 があります。このような場合にメッセージにデフォルトのプライオリティを適用することができま す。このオプションをチェックし、Default priority to use (デフォルトプライオリティ)で適用した いデフォルトプライオリティを選択します。 通常の syslog メッセージテキストには先頭にプライオリティコードが書かれています。 例: <100>This is a test message 標準 Unix プライオリティコードでのプライオリティは 0~191 です。 Parse RFC 3164 headers and use imbedded time and date (RFC 3164 ヘッダーを解析し、内蔵の 日時を使用) syslog メッセージ内の RFC3164 ヘッダーを解析し、ネットワークパケット上の日時の代わり にそのヘッダー内の日時を使用します。異なるタイムゾーンに機器があり、メッセージを送信 したデバイスのローカルタイムを保持したい場合に有効です。 Maximum message length X characters (最大メッセージ長) 受信メッセージの最大メッセージサイズを制限します。小さいメッセージのみ受信したいとき はデフォルトの 1024 より小さい値を指定してください。 このオプションでメッセージサイズを制限することによって、ハッカーから送信されてきた、あ るいは転送エラーで戻ってきたサイズの大きいメッセージを受信拒否することができます。 一部の Syslog Server は大きなパケットを受信するとクラッシュすることがあります。このオプ ションでプログラムが受信し処理しうるパケットのサイズに制限してください。 Syslog RFC 3164 は正常なメッセージ長は(パケットヘッダーを除いて) 1024 バイト以下で あると定義しています Default priority to use (使用するデフォルトプライオリティ) New Facility (新しいファシリティ) Allow messages with priority > 191 (use default priority) オプションまたは Kiwi Syslog Server Ver.9.4 Rev. 1.2 229 Allow messages with no priority (use default priority) オプションを有効にした場合に 使用するデフォルトのファシリティレベルを指定します。 New Level (新しいレベル) Allow messages with priority > 191 (use default priority) オプションまたは Allow messages with no priority (use default priority) オプションを有効にした場合に 使用するデフォルトのレベルを指定します。 3.8 Scripting (スクリプト) ここでは、Scripting メニューについて説明します。 スクリプトファイルおよび統計レポートで使用するカスタム統計フィールドの名前と初期値を設定し ます。 スクリプト用に 16 のカスタム統計フィールドがあります。これらの値は固定されており他のスクリプ トフィールドのように削除できません。 カスタム統計の値は Syslog Statistics ウィンドウの Counters タブで確認することができます。指定 したフィールド名は Statistics ウィンドウおよび日別統計 E メールに使用されます。 統計カウンターの初期値は任意の値に設定できます。デフォルトは 0 です。例えば降順カウンタ ーとして初期値を 1000 にし Run Script アクションが実行されるたびにカウンターの値を 1 ずつ減 Kiwi Syslog Server Ver.9.4 Rev. 1.2 230 少させることができます。 スクリプト作成については、「Run Script (スクリプト実行)」を参照してください。 3.9 Display (ディスプレイ) ここでは、Display メニューについて説明します。 Modify display names (ディスプレイ名の更新) 現在のディスプレイ名を変更できます。 リストから変更したいディスプレイ名を選択して入力フィールドに新しい名前を入力し、Update をクリックします。 Blink system tray icon when receiving messages (メッセージ受信時にシステムトレイアイコンを点 滅) メッセージを受信すると最小化したシステムトレイアイコンが青と緑で点滅します。 システムトレイに最小化している場合でもメッセージの受信が目で見て分かります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 231 Adjust column widths automatically (列幅の自動調整) メッセージを受信するとテキストに合わせて列幅を自動的に調節します。 テキストが読み易くなります。 多くのテキストを読みたいときは、View メニューの Choose font (フォント選択)オプションか ら小さいフォントサイズを選択してください。 Minimize to system tray on start-up (起動時にシステムトレイに最小化) Kiwi Syslog Server の起動時にシステムトレイにアイコンを最小化します。 Kiwi Syslog Server を Windows のスタートアップと同時に起動し邪魔にならないようシステムト レイに置いておきたいときに有効です。 Minimize to system tray on [X] button ([×]ボタン選択時にシステムトレイに最小化) Kiwi Syslog Server の右上にある[×]ボタンをクリックしたときに、システムトレイにアイコンを 最小化します。 [×]ボタンをクリックしても、Kiwi Syslog Server Manager プログラムは終了しません。 Prompt for confirmation before program closes (プログラムを閉じる前に確認プロンプトを表示) Kiwi Syslog Server の右上にある[×]ボタンをクリックまたは File -> Exit をクリックしてプログ ラムを終了するときに、確認プロンプトを表示します。 Retain displayed messages between restarts (プログラムの再開時に前回の表示メッセージを保 持) Kiwi Syslog Server Manager の再開時に、前回ディスプレイに表示されていたメッセージを表 示します。このオプションが無効の場合は、Kiwi Syslog Server Manager は空のディスプレイを 表示します。 Reverse scroll direction (place last message at top of display) (スクロール方向の反転(最新メッ セージをディスプレイの先頭に表示)) 最新のメッセージをディスプレイの先頭に表示します。 Word wrap long message text (長いテキストを折り返す) Kiwi Syslog Server のウィンドウサイズを超えるような長いメッセージを受信したときにテキスト を折り返して表示し、スクロールせずに読めるようにします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 232 Display window is always on top of others (常に最前面に表示) Kiwi Syslog Server ウィンドウを常に最前面に表示します。 Use 3D text in display headings (3D タイトルを使用) Kiwi Syslog Server のメイン画面と Setup 画面の列タイトルを 3D テキスト(影付き)で表示しま す。 Show Grid lines (グリッド線の表示) メイン画面の各列にグリッド線を表示します。 Use MM/DD/YYYY date format (日付を MM-DD-YYYY で表示) US 日付フォーマット mm-dd-yyyy を使用して Date(日付)を表示します。 ここで指定した日付フォーマットはディスプレイに表示するときのみ適用されます。ログファイ ルに記録される日付フォーマットは Log file format で設定した形式となります。 注記: dd-mm-yyyy 形式で日付を表示したい場合は、このチェックをはずしてください。 Number of display rows (表示行数) ディスプレイに表示する行数を設定します。 デフォルトは、40 行に設定されています。 5~1000 行の範囲で指定できます。 注記: ディスプレイに表示する行数を多くすると画面を更新するときに時間がかかります。 新しいメッセージが表示されると、すべての表示メッセージの並べ替えが行われ最終行のメッ セージが切り捨てられます。この動作は CPU を消費するため、並べ替える行が多ければ多 いほど多くの CPU が使われるため長い時間がかかります。 Display update time (ディスプレイの更新間隔) ディスプレイの更新間隔をミリ秒単位で指定します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 233 3.10 Appearance (外観) ここでは、Appearance メニューについて説明します。 Skin (スキン) Skin name(スキン名) Kiwi Syslog Service Manager のスキンを変更できます。 出荷時に 6 個のスキンファイルが提供されます。Select (選択)をクリックし、使用したい スキンを選択します。Clear (クリア)をクリックすると、未設定の状態に戻ります。 Hue (色相) スライダーを調整することで色相を変化させることができます。 Grid display wallpaper (グリッド表示壁紙) Wallpaper file name(壁紙ファイル名) Kiwi Syslog Service Manager の壁紙を変更できます。 出荷時に 5 個のイメージファイルが提供されます。Select (選択)をクリックし、使用した Kiwi Syslog Server Ver.9.4 Rev. 1.2 234 いイメージファイルを選択します。Clear (クリア)をクリックすると、未設定の状態に戻り ます。 Alignment (配置) 壁紙の配置方法を設定します。 • Tile: 並べて表示 • Stretch to fit: 画面に合わせて表示 • Centre: 中央に配置 注記: Alignment オプションは Setup 画面にのみ反映され、メイン画面には反映されま せん(version 9.2.0 現在)。 Apply to set up window (Setup 画面に適用) 壁紙設定を Setup 画面にも適用します。 Toolbar texture (ツールバーテクスチャー) Toolbar back ground texture(ツールバー背景テクスチャー) Kiwi Syslog Service Manager のツールバーテクスチャーを変更できます。 出荷時に 5 個のイメージファイルが提供されます。Select (選択)をクリックし、使用した いイメージファイルを選択します。Clear (クリア)をクリックすると、未設定の状態に戻り ます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 235 3.11 E-mail (E メール) ここでは、E-mail メニューについて説明します。 Email Format (E メール形式) E メールアクション、アラームの E メール送信、統計の E メール送信のための E メールメッセ ージ形式を HTML または Plain Text から選択できます。 注記: この機能は ver9.3.1 から利用できます。 Send syslog alarm messages to (syslog アラームメッセージの送信先) このオプションを有効にすると、アラーム閾値を超えた場合にアラームメッセージを E メール 送信します(アラーム閾値は Alarms (アラーム)オプションで設定します)。 チェックボックス横のフィールドに、アラームが発生した場合に E メールを送信する E メールア ドレスを入力します。複数のアドレスを指定するときはカンマで区切ります。 例: [email protected],[email protected],[email protected] Kiwi Syslog Server Ver.9.4 Rev. 1.2 236 チェックボックスのオン/オフを切り替えることで、アラーム E メール送信の有効/無効を切り替 えることができます。 アラーム E メールメッセージについては、「アラームメッセージ」を参照してください。 Short alarm messages (for pagers) (簡潔なアラームメッセージ(ポケットベル用)) このオプションをチェックすると、件名だけが送信されます。メッセージ本文は送信されま せん。メッセージをポケットベルに転送するときや表示スペースが限られているときに使 用すると便利です。 Test(テスト) テキストボックスに入力したメールアドレスに対して、テストメールを送信します。 Send syslog statistics to (syslog 統計の送信先) 毎晩深夜 0:00 に日別統計情報を E メールで送信します。送信される E メールメッセージには ログファイルのサイズ、アーカイブドライブの空き容量、メッセージ総数、メッセージ送信元の 概要、ファシリティとレベルなどが記載されます。 この統計情報は、Courier new などの固定フォントで表示することをお勧めします。一行に 全列を表示できます。 日別統計 E メールメッセージについては、「アラームメッセージ」を参照してください。 Test(テスト) テキストボックスに入力したメールアドレスに対して、テストメールを送信します。 Hostname or IP address of SMTP mail server (SMTP サーバーのホスト名または IP アドレス) SMTP サーバーのホスト名または IP アドレスを入力します。ローカルサーバーもしくは ISP に よって提供されたサーバーのアドレスを指定します。 ローカル SMTP サーバーが無い場合は Mail Direct などを使うことをお勧めします。 Mail Direct は、http://www.ocloudsoft.com から入手できます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 237 SMTP Port (SMTP ポート) ご使用の SMTP サーバーが待機用として標準ポート以外のポートを使用している場合は、ポ ート番号を指定します。通常 SMTP サーバーの受信待機ポートは 25 番です。企業によって はセキュリティ上の理由からこの値を変更しています。指定可能な値は 1~65535 までで す。 Valid 'from' e-mail address on SMTP server (SMTP サーバー上で有効な from E メールアドレス) このフィールドには有効な返信用アドレスを入力してください。メールの送信エラー時に SMTP サーバーはこのアドレスにメッセージを転送します。SMTP サーバーによってはドメイン 名を記述する必要があるものとないものがあります。 ここで指定したアドレスは受信 E メールの From (送信者)フィールドに表示されます。 アドレスの後に続けて(xxxxx)のように括弧で括って分かりやすい表示名を任意で指定する ことができます。xxxxx はメールクライアントの From (送信者)フィールドに表示されます。 例えば [email protected] (Syslog Server)と入力した場合、受信メッセージの From (送信者)フィールドに Syslog Server が表示されます。 SMTP サーバーによってはこの形式で From (送信者)アドレスを表示する機能をサポートし ていないものもあります。この場合は E メールアドレスのみを指定してください。 Timeout(seconds) (タイムアウト(秒)) SMTP サーバーの応答待ち時間を指定します。SMTP サーバーとダイアルアップ接続してい る場合やビジー状態であることが多いときは、デフォルトの 30 秒より大きくします。指定可能 な値は 1~240 です。 SMTP Username/SMTP Password (SMTP ユーザー名/SMTP パスワード) SMTP サ-バーが E メールを受信する前に認証が必要な場合に限り指定する必要がありま す。ほとんどの SMTP サーバーでは指定しなくても構いません。 左のチェックボックスをチェックし、SMTP サーバーのユーザー名とパスワードを入力すると認 証が可能になります。指定する場合はネットワーク管理者、SMTP サーバーのプロバイダ、 ISP にお問合せください。 認証で POP before SMTP オプションを使わなければならない時、フリーウェアの POP メール ボックスチェッカーをダウンロードし使ってください。新しいメッセージを 5 分ごとにチェックしそ の後 SMTP メールが送られます。POP before SMTP authentication は今後のバージョンに追 Kiwi Syslog Server Ver.9.4 Rev. 1.2 238 加する予定で開発が進められています。 Default e-mail delivery options (デフォルト E メール配信オプション) このオプションを使用すると、E メールメッセージに Importance (重要度)、Priority (プラ イオリティ)、Sensitivity (種類)のフラグを設定できます。E メール受信者にはこれらのレ ベルが付いたメッセージが届きます。 Importance Unspecified (デフォルト) / High / Normal / Low Priority Unspecified (デフォルト) / Normal / Urgent / Non-urgent Sensitivity Unspecified (デフォルト) / Personal / Private / Confidential E-mail logging options (E メールロギングオプション) ここでは、E メールのログ保存に関する設定を行います。 Keep a log file of e-mail activity (E メールアクティビティのログを保存する) E メールでアラームや統計を送信する場合、どのメッセージを誰に送ったかというログを 残すことができます。SendMailLog.txt という名前のファイルが Kiwi Syslog Server のインストールディレクトリに作成され、E メールアクティビティの結果が保存されます。 Enable verbose logging (詳細ログの記録) メールが正常に送信されないときに非常に有効です。Kiwi Syslog Server からメールサー バーへ送信された全情報がログファイルに記録されます (メッセージの内容は記録され ません)。 注記: 送信メッセージが大量にあるときにこのオプションを有効にすると、多くのディスク スペースが使用されます。 View log (ログの表示) E メールログを記録したファイルがメモ帳で開きます。 Delete log (ログの削除) 既存のログファイルを削除し、新しいログファイルを作成します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 239 アラームメッセージ例 Syslog Alarm: 2198 messages received last hour. The current maximum threshold is set at 3 messages per hour. This could indicate a problem, please check the log files and syslog statistics below. /// Kiwi Syslog Server Statistics /// --------------------------------------------------24 hour period ending on: Fri, 26 Jan 2010 15:39:16 Syslog Server started on: Wed, 17 Jan 2010 11:39:53 Syslog Server uptime: 9 days, 3 hours, 59 minutes --------------------------------------------------+ Messages received - Total: 361965 + Messages received - Last 24 hours: 37964 + Messages received - Since Midnight: 26530 + Messages received - Last hour: 2821 + Message queue overflow - Last hour: 0 + Messages received - This hour: 2198 + Message queue overflow - This hour: 0 + Messages per hour - Average: 1582 + Messages forwarded: 3063 + Messages logged to disk: 26530 + Errors - Logging to disk: 0 + Errors - Invalid priority tag: 0 + Errors - No priority tag: 0 + Errors - Oversize message: 0 + Disk space remaining on drive C: 59505 MB --------------------------------------------------Breakdown of Syslog messages by sending host Top 20 Hosts pix_firewall_inside Messages Percentage 26530 100.00% Breakdown of Syslog messages by severity Kiwi Syslog Server Ver.9.4 Rev. 1.2 240 Message Level Messages 0 - Emerg Percentage 0 0.00% 1 - Alert 0 0.00% 2 - Critical 0 0.00% 3 - Error 123 0.46% 4 - Warning 0 0.00% 5 - Notice 754 2.70% 6 - Info 25692 96.84% 7 - Debug 0 0.00% Custom statistics ----------------CustomStats01: 0 CustomStats02: 0 CustomStats03: 0 CustomStats04: 0 CustomStats05: 0 CustomStats06: 0 CustomStats07: 0 CustomStats08: 0 CustomStats09: 0 CustomStats10: 0 CustomStats11: 0 CustomStats12: 0 CustomStats13: 0 CustomStats14: 0 CustomStats15: 0 CustomStats16: 0 End of Report. 統計メッセージ例 /// Kiwi Syslog Server Statistics /// --------------------------------------------------24 hour period ending on: Fri, 26 Jan 2010 00:00:01 Syslog Server started on: Wed, 17 Jan 2010 11:39:53 Kiwi Syslog Server Ver.9.4 Rev. 1.2 241 Syslog Server uptime: 8 days, 12 hours, 19 minutes --------------------------------------------------+ Messages received - Total: 335435 + Messages received - Last 24 hours: 35206 + Messages received - Since Midnight: 35967 + Messages received - Last hour: 1149 + Message queue overflow - Last hour: 0 + Messages received - This hour: 366 + Message queue overflow - This hour: 0 + Messages per hour - Average: 1467 + Messages forwarded: 0 + Messages logged to disk: 35967 + Errors - Logging to disk: 0 + Errors - Invalid priority tag: 0 + Errors - No priority tag: 0 + Errors - Oversize message: 0 + Disk space remaining on drive C: 59573 MB --------------------------------------------------- Breakdown of Syslog messages by sending host Top 20 Hosts pix_firewall_inside Messages Percentage 35967 100.00% Breakdown of Syslog messages by severity Message Level Messages Percentage Kiwi Syslog Server Ver.9.4 Rev. 1.2 242 0 - Emerg 0 0.00% 1 - Alert 0 0.00% 2 - Critical 0 0.00% 3 - Error 69 0.19% 4 - Warning 0 0.00% 5 - Notice 731 2.03% 6 - Info 35167 97.78% 7 - Debug 0 0.00% Custom statistics ----------------CustomStats01: 0 CustomStats02: 0 CustomStats03: 0 CustomStats04: 0 CustomStats05: 0 CustomStats06: 0 CustomStats07: 0 CustomStats08: 0 CustomStats09: 0 CustomStats10: 0 CustomStats11: 0 CustomStats12: 0 CustomStats13: 0 CustomStats14: 0 CustomStats15: 0 CustomStats16: 0 End of Report. Kiwi Syslog Server Ver.9.4 Rev. 1.2 243 3.12 Alarms (アラーム) ここでは、Alarms メニューについて説明します。 3.12.1 Min message count (最少メッセージカウント) If less than X syslog messages received per hour (1時間あたりの受信メッセージ数が X より少な い場合) 指定した数より受信したメッセージ数が少ない場合、音、E メール送信などの処理を行うよう 設定できます。 Audible Alarm (音で通知) 閾値として設定した値を超えると音(システムビープ音またはサウンドファイル)を鳴らします。 また、Kiwi Syslog Server のメイン画面のステータスバーに赤い警告ベルが点滅します。 注記: アラーム音をキャンセルするには点滅している赤の警告ベルアイコンをダブルクリック してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 244 System beep (システムビープ) 閾値を超えると、1 秒 1 回の割合でビープ音が鳴り始めます。 Play sound file (サウンドファイルを鳴らす) 閾値を超えると、指定されたサウンドファイルを 5 秒おきに再生します。 [...]ボタンをクリックし、使用するサウンドファイルを指定します。 Test ボタン 指定したサウンドファイルをテストできます。 Notify by Mail (メールで通知) 閾値として設定した値を超えると E-mail メニューの Send syslog alarm messages to (syslog アラームメッセージの送信先)オプションで設定した E メールアドレスすべてに E メールを送信 します。 このとき送信されるメッセージには、アラームメッセージであること、閾値を超えたこと、現在 の閾値などが記載されます。また、参考情報として直近の統計も記載されます。 アラーム E メール例については「アラームメッセージ例」を参照してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 245 3.12.2 Max message count (最多メッセージカウント) If more than X syslog messages received per hour (1時間あたりの受信メッセージ数が X より多 い場合) 指定した数より受信したメッセージ数が多い場合、音、プログラム実行、E メール送信などの 処理を行うよう設定できます。 Audible Alarm (音で通知) 「Audible Alarm (音で通知)」をご参照ください。 Run Program (プログラム実行) 閾値として設定した値を超えると指定した外部プログラムを実行します。コマンドラインパラメ ータとして実行するプログラムに情報を渡すことができます。[...]ボタンをクリックし、使用する 外部プログラムファイルを指定します。スペースを含むファイル名やパスは引用符(”)で囲ん でください。 例: Pager.exe "555-1234" ,"Syslog - Warning, lots of messages received, Kiwi Syslog Server Ver.9.4 Rev. 1.2 246 Max set at %MsgAlarmMax but received %MsgThisHour so far this hour." Test ボタン 外部プログラムが期待通りに実行されるかどうか確認できます。 Notify by Mail (メールで通知) 「Notify by Mail (メールで通知)」をご参照ください。 3.12.3 Disk space monitor (ディスク容量監視) If X has less than Y MB remaining (X の残り容量が Y MB より少ない場合) 残りのディスクサイズが設定した閾値より少ない場合、音、プログラム実行、E メール送信、 TCP 接続のクローズ、ロギング停止などの処理を行うよう設定できます。 Audible Alarm (音で通知) 「Audible Alarm (音で通知)」をご参照ください。 Run Program (プログラム実行) Kiwi Syslog Server Ver.9.4 Rev. 1.2 247 「Run Program (プログラム実行)」をご参照ください。 Notify by Mail (メールで通知) 「Notify by Mail (メールで通知)」をご参照ください。 Close TCP connections when less than X MB remaining (残り容量が X MB より少ない場合は TCP 接続を閉じる) このオプションを有効にすると、残りのディスクスペースが設定した閾値より少ない場合に TCP 接続を閉じます。 Stop all disk logging when less than X MB remaining (残り容量が X MB より少ない場合はすべて のディスクへのロギングを停止する) このオプションを有効にすると、残りのディスクスペースが設定した閾値より少ない場合にデ ィスクへのログ記録を停止します。 3.12.4 Message queue monitor (メッセージキュー監視) Kiwi Syslog Server Ver.9.4 Rev. 1.2 248 If more than X syslog message queue overflows occur per hour (1時間あたりのキューオーバー フローメッセージ数が X より多い場合) 1 時間あたりにオーバーフローしたメッセージ数が閾値を越えた場合、音、E メール送信など の処理を行うよう設定できます。 Audible Alarm (音で通知) 「Audible Alarm (音で通知)」をご参照ください。 Notify by Mail (メールで通知) 「Notify by Mail (メールで通知)」をご参照ください。 If more than X syslog messages reached in queue (キューに届いたメッセージ数が X より多い場 合) キューに届いたメッセージ数が設定した数を越えた場合、音、E メール送信などの処理を行う よう設定できます。 Audible Alarm (音で通知) 「Audible Alarm (音で通知)」をご参照ください。 Notify by Mail (メールで通知) 「Notify by Mail (メールで通知)」をご参照ください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 249 3.13 Input (入力) ここでは、Input(入力)メニューについて説明します。 このメニューは、以下のサブメニューを含みます。 • UDP • TCP • Secure TCP • SNMP • Keep-alive (キープアライブ) 受信ソケットとして UDP、TCP および SNMP の 3 種類が使用可能です。 また、キープアライブメッセージを受信ストリームに挿入することによって、トラフィックの同期を取 ることが可能です。 Beep on every message received (メッセージ受信時にビープ音を鳴らす) このオプションをオンにすると syslog メッセージや SNMP トラップを受信するたびにビープ音が Kiwi Syslog Server Ver.9.4 Rev. 1.2 250 鳴ります。フィルターで表示やロギングをブロックしている場合でもビープ音は鳴ります。この オプションは、デバッグ時にメッセージを受信したことを知るのに有効です。 注記: このオプションがオフにも関わらずメッセージ受信時にビープ音が鳴った場合は、メッ セージをディスクに記録しようとしてエラーが生じたことを意味しています。エラーの詳細につ いてはエラーログを確認してください(View -> View error log file)。 3.13.1 UDP デフォルトでは UDP 514 ポートが受信ポートとして有効になっています。UDP 514 ポートは、syslog 受信ポートとして最も一般的に使用されているポートです。他のポートで syslog メッセージを受信 することもできます。 Listen for UDP Syslog messages (UDP syslog メッセージの受信) UDP syslog メッセージの受信を停止する場合は、このチェックボックスのチェックを外してくだ さい。Kiwi Syslog Server では一度に1つの UDP ポートでのみ受信します。将来は複数の UDP ポートでの同時受信が可能になるよう開発を進めています。 UDP Port (1-65535) (UDP ポート(1 - 65535)) Kiwi Syslog Server Ver.9.4 Rev. 1.2 251 UDP 514 以外のポートで syslog メッセージを受信したい場合は、1~65535 の任意の数値を 入力してください。ポートを 514 以外に変更した場合は syslog メッセージを送信するデバイス のポート番号も変える必要があります。 Bind to Address (バインドアドレス) デフォルトでは UDP ソケットは接続されているすべてのインターフェイスのメッセージを受信し ます。メッセージ受信を特定のインターフェイスのみに限定する場合は、IP アドレスを指定し てください。その必要がない場合はこのフィールドはブランクのままにしておいてください(ブラ ンクの場合、すべてのインターフェイスからのメッセージを受信します。多くの場合これが最適 な設定です)。 例えば、コンピュータにルーティングされていない2つのインターフェイス 192.168.1.1 と 192.168.2.1 が存在する場合、192.168.1.1 インターフェイスのみバインドすることが できます。この場合もう一方のインターフェイス(192.168.2.1)へ送信された syslog メッセ ージは無視されます。 Data Encoding (データエンコード) エンコード形式が異なるシステムからメッセージを受信する場合、受信データに適用するデコ ード形式を指定することができます。デフォルトでは System コードページを使用するよう設定 されています。ドロップダウンリストから代表的なエンコード形式を選択するか、これ以外のエ ンコードを指定するには、Other--> を選択しコードページ番号を右側のフィールドに入力し ます。 ほとんどの Windows システムで使用可能なコードページは数多くあります。次の Web ページ を参照してください。 http://msdn.microsoft.com/ja-jp/library/Aa288104 以下は、使用可能なコードページの例です。 名前 コードページ番号 説明 System 1 System Code Page ANSI 0 ANSI UTF-8 Shift-JIS EUC-JP 65001 932 51932 Unicode (UTF-8) 日本語 日本語 (EUC) BIG5 950 繁体字中国語 (Big5) Chinese 936 簡体字中国語 Kiwi Syslog Server Ver.9.4 Rev. 1.2 252 注記: ご使用のシステムで有効でないコードページ番号を指定すると、受信データは正常に デコードされず失われます。自信がない場合はすべての Unicode 文字を処理可能な UTF-8 (65001)を指定してください。 UTF-8 については以下の Web ページを参照してください。 http://ja.wikipedia.org/wiki/UTF-8 3.13.2 TCP syslog は、伝統的に UDP ポート 514 を使用して送信されます。 UDP はコネクションレスプロトコルであり、不確実性が内在します。UDP では応答、エラー検出、シ ーケンス管理、消失パケットの再送などは行いません。 Cisco PIX などでは TCP による syslog プロトコルをサポートしています。TCP はコネクション型の プロトコルであり、宛先ホストが存在することが保証されます。送信デバイスが初期化される、ある いは最初の syslog メッセージが送信される前に接続が確立されます。最初に 3 ウェイハンドシェイ クを行い、すべてのパケットはサーバーが受信し次の送信前に応答が返されますので、TCP を使 うと遅くなります。TCP プロトコルは信頼性とエラー補正を提供します。メッセージを syslog サーバ ーに確実に送信したいときは TCP を使用してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 253 Listen for TCP Syslog messages (TCP syslog メッセージの受信) TCP syslog メッセージの受信を行う場合は、このチェックボックスをチェックしてください。Kiwi Syslog Server では一度に1つの TCP ポートでのみ受信します。 TCP Port (1-65535) (TCP ポート(1 - 65535)) デフォルトは、1468 ポートが設定されています。TCP 1468 以外のポートで syslog メッセージ を受信したい場合は、1~65535 の任意の数値を入力してください。 Bind to Address (バインドアドレス) デフォルトでは TCP ソケットは接続されているすべてのインターフェイスのメッセージを受信し ます。メッセージ受信を特定のインターフェイスのみに限定する場合は、IP アドレスを指定し てください。その必要がない場合はこのフィールドはブランクのままにしておいてください(ブラ ンクの場合、すべてのインターフェイスからのメッセージを受信します。多くの場合これが最適 な設定です)。 例えば、コンピュータにルーティングされていない2つのインターフェイス 192.168.1.1 と 192.168.2.1 が存在する場合、192.168.1.1 インターフェイスのみバインドすることが できます。この場合もう一方のインターフェイス(192.168.2.1)へ送信された syslog メッセ ージは無視されます。 Cisco PIX はポート 1468 を使います。デフォルトでは、syslog サーバーへの接続ができな かった場合すべてのネットワークトラフィックがブロックされます。 Cisco PIX Firewall の詳細については次の Web ページを参照してください。 http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix Data Encoding (データエンコード) 「Data Encoding (データエンコード)」を参照してください。 Message Delimiters (メッセージ区切り文字) TCP で送信される syslog メッセージは必ずしも 1 つの TCP パケットに含まれているわけでは ありません。Kiwi Syslog Server には連続して送信される TCP パケットを内部に蓄積するバッ ファリング機能が付属しています。そのため、1 つの TCP ストリームの中に含まれている syslog メッセージを個別に特定する必要があります。それにはメッセージ区切り文字を使いま す。各区切り文字は文字(または連続した文字)を表し、ストリームを分割して個別の syslog メ Kiwi Syslog Server Ver.9.4 Rev. 1.2 254 ッセージに変換します。使用する区切り文字の種類は TCP で syslog を送信するクライアント またはデバイスによって全く違います。 以下の区切り文字を選択できます。 • CRLF (ASCII 13, ASCII 10) • CR (ASCII 13) • LF (ASCII 10) – PIX Firewall • Null (ASCII 00) – Netscreen Firewall 3.13.3 Secure TCP デバイスの中には Transport Layer Security (TLS) を使用し TCP チャネルで安全な syslog メッ セージ送信をサポートするものがあります(例: Cisco ASA-55XX)。 Kiwi Syslog Server 9.2 以降のバージョンでは、Secure (TLS) Syslog (RFC 5425) をサポートしま す。 Secure (TLS) Syslog は TCP 上で処理されます。このため設定項目はほとんど Input -> TCP の Kiwi Syslog Server Ver.9.4 Rev. 1.2 255 設定項目と同じです。ここでは、Secure TCP 設定画面独自の項目についてのみ説明します。 Certificate (証明書) TLS の認証には証明書が必要です。クライアントが Secure TCP チャネルを使用して Kiwi Syslog Server に接続する前に、適切な証明書を Certificate Store (証明書ストア)から選択 してください。 Select Certificate (証明書の選択) ローカルの証明書ストアをブラウズし、適切な証明書を選択します。ここで選択した証明 書が Kiwi Syslog Server を特定するために使用されます。サーバー自身はクライアント の証明書はチェックせず、あらゆるクライアントからの TLS 接続を許可します。 注記: Kiwi Syslog Server が使用する証明書は、ローカルマシンの証明書ストアにインストー ルされていなければなりません。 証明書ストアを開くには、以下の手順を実行します。 1. スタート -> ファイル名を指定して実行を選択します。 2. mmc と入力し、Enter を押します。 3. コンソール画面が開きます。 4. ファイル -> スナップインの追加と削除をクリックします。 5. 利用できるスナップイン欄から証明書を選択し、追加をクリックします。 6. 証明書スナップインダイアログでコンピュータ アカウントを選択し、次へをクリックします。 7. コンピュータの選択ダイアログでローカル コンピュータを選択し、完了をクリックします。 8. スナップインの追加と削除ダイアログで、OK をクリックします。 9. コンソール画面で、証明書(ローカル コンピューター)を展開します。証明書を個人にインス トールします。 使用すべき証明書や Public Key Infrastructure (PKI) の構成はデバイスによって異なります。各デ バイスのドキュメントをご確認ください。Cisco ASA-5505 の設定手順については後述します。 TCP Port (TCP ポート) Kiwi Syslog Server Ver.9.4 Rev. 1.2 256 デフォルトでは、6514 (RFC 5425) が設定されています。 Message Delimiters (メッセージ区切り文字) Input -> TCP の Message Delimiters オプションに加えて、RFC 5425 も使用できます。RFC 5425 オプションが有効な場合、他の区切り文字の前に RFC 5425 の区切り文字が検索処理さ れます。 例: Kiwi Syslog Server に Secure syslog を送信する Cisco ASA-5505 の構成 1. 認証機関(CA)(例: Microsoft 証明書サービス)に証明書(サーバー証明書)の発行を 依頼します。 2. 証明書が発行されたら、Kiwi Syslog Server をインストールしたローカルマシンの証明書 ストア(証明書セクション)にインストールします。 3. 証明書を ASA-5505 にロードします(例:ターミナルコンソールアクセスを使用)。 a. configuration モードに移行します。 b. トラストポイント(例: ここでは、Syslog)を作成し、ターミナル経由で証明書を 適用します。 Tok-ASA5005(config)# crypto ca trustpoint Syslog Tok-ASA5005(config-ca-trustpoin)# enrollment terminal c. 証明書を取得します(例:ここでは、Syslog がトラストポイントラベル)。 Tok-ASA5005(config)# crypto ca authenticate Syslog (terminal コンソールで base64 証明書を設定し、quit コマンドで終了します。) d. 4. 証明書がロードされます。 ASA-5505 が Secure syslog を送信するように設定します。 Tok-ASA5005(config)# logging enable Tok-ASA5005(config)# logging host [interface name] [ip] tcp/6514 secure Tok-ASA5005(config)# logging permit-hostdown 5. Kiwi Syslog Server で Secure TCP 入力を有効にし、手順2でローカルマシンにインスト ールした証明書を選択します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 257 3.13.4 SNMP Kiwi Syslog Server は、UDP または TCP ポートでだけではなく、SNMP version1/2c トラップも受信 できます。受信したトラップはデコードされ syslog メッセージと同様に処理されます。 Listen for SNMP traps (SNMP トラップの受信) デフォルトでは無効になっています。チェックボックスをオンにすると SNMP トラップ受信が有 効になります。 UDP port (1 - 65535) (UDP ポート (1 - 65535) ) SNMP トラップを受信する UDP ポートを指定します。通常、SNMP トラップは 162 ポートに送 信されますが、受信する SNMP トラップのポートを変更することができます(1~65535 までの 値)。デフォルトの 162 以外の値を入力した場合は、トラップ送信デバイスでも同じポートを使 用するように指定してください。 Bind to Address (バインドアドレス) デフォルトでは SNMP トラップレシーバーは接続されているすべてのインターフェイスのメッセ ージを受信します。SNMP トラップの受信を特定のインターフェイスのみに限定する場合は、 Kiwi Syslog Server Ver.9.4 Rev. 1.2 258 IP アドレスを指定してください。その必要がない場合はこのフィールドはブランクのままにして おいてください(ブランクの場合、すべてのインターフェイスからの SNMP トラップを受信します。 多くの場合これが最適な設定です)。 例えば、コンピュータにルーティングされていない2つのインターフェイス 192.168.1.1 と 192.168.2.1 が存在する場合、192.168.1.1 インターフェイスのみバインドすることが できます。この場合もう一方のインターフェイス(192.168.2.1)へ送信された SNMP トラッ プは無視されます。 SNMP fields (SNMP フィールド) デコードして受信メッセージに追加する SNMP フィールドを選択できます。フィールド横のボッ クスをチェックすると有効になります。メッセージのデコード順を変更するには、フィールド名を ドラッグアンドドロップします。 以下のフィールドを選択できます。 Community (コミュニティ) トラップメッセージに含まれているパスワードのようなものです。通常この値は "public"、"private"、"monitor"などが設定されています。 Enterprise (エンタープライズ) SNMP トラップの MIB エンタープライズを表すドット区切りの値(1.3.6.1.x.x.x.x) で す。このフィールドは version 1 トラップにのみ適用されます。version 2 トラップではエンタ ープライズ値は 2 番目の変数としてメッセージにバインドされています。 Uptime (アップタイム) メッセージ送信デバイスのシステムアップタイムです。値は時間単位で表示されデバイ スが再起動すると 0 にリセットされます。この値が小さい場合は、デバイスがウォームあ るいはコールドスタートされたことを示します。このフィールドは version 1 トラップにのみ 適用されます。version 2 トラップではメッセージの最初の変数としてバインドされます。 Agent address (エージェントのアドレス) 送信デバイスの IP アドレスです。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 259 Trap type (トラップの種類) Generic Type、Specific Trap-Type、Specific Trap-Name の 3 種類のト ラップタイプフィールドが有効になります。これらのフィールドは version 1 トラップにのみ 適用されます。6 種類の Generic Type のトラップが定義されています。Generic Type が 6 に設定されていると Enterprise タイプのトラップであることを示します。 この場合 Specific Type トラップの値を考慮しなければなりません。 Version (バージョン) 受信したトラップのバージョンです。現在は version 1 と 2c がサポートされています。 Message (メッセージ) バインドされているすべての変数で構成されるフィールドです。トラップには 1 つ以上の 変数がバインドされることもあります。変数が 8 進文字タイプであれば、プレーンテキスト として表示されます。カウンターや整数値で表される変数もあります。この場合 MIB 構文 に対する値としてチェックしてください。 Syslog priority to use (使用する syslog プライオリティ) 受信した SNMP メッセージは内部で標準的な syslog メッセージに変換されます。標準的な syslog メッセージと同じように、ここのオプションで受信した SNMP メッセージに対してフィルタ ーをかけることができます。SNMP トラップにはメッセージのファシリティやレベルが設定され ていないため、デフォルト値を適用する必要があります。そうすればこの値をルールエンジン で使用することができます。例えば、すべてのトラップに Local0.Debug というタグを付け ることができます。タグ付け後、このファシリティとレベルが設定されたメッセージを検索する プライオリティフィルターを作成し、特定のアクションを実行することができます。 Syslog Facility (syslog ファシリティ) デフォルト値として使用するファシリティをリストから選択します。 Syslog Level (syslog レベル) デフォルト値として使用するレベルをリストから選択します。 SNMP field tagging: (SNMP フィールド区切り) デコードされたフィールドをどのようにメッセージに変換するかを指定します。デフォルトは Kiwi Syslog Server Ver.9.4 Rev. 1.2 260 fieldname=value が選択されています。この値を選択しておけば、後のログ解析が容易にな ります。これ以外に選択可能なオプションとして、[] 区切り、XML、カンマ区切り、などがあり ます。 例: fieldname=value オプションによってタグ付けされたメッセージ community=public enterprise=1.3.6.1.2.1.1.1 enterprise_mib_name=sysDescr uptime=15161 agent_ip=192.168.0.1 generic_num=6 generic_name="Enterprise specific_num=0 specific" version=Ver1 var_count=01 var01_oid=1.3.6.1.2.1.1.1 var01_value="This is a test message from Kiwi Syslog Server" var01_mib_name=sysDescr 注記: スペースを含む値は引用符 ("") で囲まれます。 Decoding options (デコードオプション) Use LinkSys Display filter (remove PPP events) (LinkSys ディスプレイフィルター) 表示からすべての PPP メッセージを消去します。PPP メッセージは通常通りファイルには 記録されます。この機能は LinkSys ネットワークデバイスからのメッセージを記録する ときのみ有効です。 Show raw OID and value of each variable binding (Raw OID と各変数値の表示) OID とその値を表示します。 Perform MIB lookups (MIB ルックアップ処理) Kiwi Syslog Server の内蔵データベースには有名なオブジェクト ID 値とそのテキスト名が 登 録 さ れ て い ま す 。 Cisco 、 3Com 、 Allied Telesis 、 SonicWall 、 Nokia 、 Checkpoint 、 BreezeCom、Nortel、SNMP MIB-II 等の最も一般的なトラップを処理します。 MIB データベースファイルは Kiwi Syslog Server をインストールしたフォルダの下の MIBs フォルダに KiwiMIBDB.dat というファイル名で保存されています。このデータ ベースは 60,000 件以上の MIB 定義からコンパイルされた独自のデータベースファイルで す。多くの MIB ファイルには使用できるトラップ情報が 5%以下しか含まれていないため、 このプレコンパイル方式を採用したことによって標準的な MIB コンパイラー/パーサーを 使用する際のルックアップ時間、ディスクスペース、ハッシュテーブルメモリが大幅に節 Kiwi Syslog Server Ver.9.4 Rev. 1.2 261 約されています。 追加したい MIB ルックアップ値があれば、MIB ファイルと Unknown_OID_list.txt ファイルを zip 圧縮して [email protected] に送信してください。 MIB データベースの作成時に、MIB ファイルからすべてのトラップ、通知、参照変数が読 み込まれ解析されます。オブジェクトを正しく参照できない場合は MIB データベースに追 加されません。この場合、調査に必要な OID 値を Unknown_OID_list.txt ファイル から確認できます。詳細については後述します。 Log failed lookups to debug file (ルックアップの失敗をデバックファイルに記録する) このオプションが有効な場合に、OID 値がデータベースに登録されていなければ OID 値がデバッグファイルに記録されます。デバッグファイルは Kiwi Syslog Server のインストールフォルダ\MIBs フォルダに Unknown_OID_list.txt というファ イル名で保存されています。この Unknown_OID_list.txt ファイルを zip 圧縮し て [email protected] に送信してください。 次回のデータベースリリース時に未登録の値を追加します。 Show additional OID suffix info (追加の OID サフィックスを表示) デバイスが送信する情報にはメインの OID 番号の後にエンコード済みの追加情報 が付けられていることがあります。この情報にはインターフェイスのインデックス、送 信元と送信先のアドレス、ポート番号等が含まれている場合があります。この情報 を MIB 名の接尾語として表示できます。 例えば、Cisco スイッチが変数 1.3.6.1.2.1.2.2.1.2.3 を含む Link up ト ラップを送信するとします。OID 番号の最後の 3 はインターフェイスインデックスを 参照し、それ以外は MIB 名である ifDescr に解決されます。 例えばこのオプションがオンの場合は、ifDescr.3=SlowEthernet0/3(MIB 名に .3 が追加表示されます)と表示されますが、 オフの場合は、ifDescr=SlowEthernet0/3 と表示されます。 最新の MIB データベースファイルは、以下のサイトからダウンロードできます。 http://www.kiwisyslog.com/kiwi-syslog-server-latest-mib-database/ 最新の MIB データベースを Kiwi Syslog Server に適用する手順は以下の通りです。 インストーラーを実行します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 262 Kiwi Syslog Server のインストールフォルダ\MIBs (デフォルト:C:\Program files\Syslogd\MIBs)に新しいデータベースファイルがインストールされます。 Kiwi Syslog Server を再起動します。 サービス版を使用している場合は、Manage -> Stop the Syslogd service を選択してサー ビスを停止した後、Manage -> Start the Syslogd service を選択してサービスを開始しま す。 3.13.5 Keep-alive (キープアライブ) キープアライブメッセージは等間隔で syslog 受信ストリームに挿入されます。これらはスクリプトア クションのトリガーとして、または等間隔でログファイルにスタンプするために使われます。 キープアライブメッセージは他の受信メッセージと同等に扱われ、ルールエンジンで処理されます。 ルール設定によりますが、メッセージをディスクに書き込んだり、ディスプレイに表示したり、他の syslog サーバーへ転送したりできます。 キープアライブメッセージが他の syslog サーバーに転送される時、”I am still alive and well” メッセージとして他のサーバーにすべて順調であることを知らせます。リモートサーバーで Kiwi Syslog Server Ver.9.4 Rev. 1.2 263 はキープアライブメッセージの喪失を検出し必要に応じてアラームを送信するフィルターを設定す ることができます。 挿入されるメッセージのプロパティはファシリティ、レベル、ホスト IP アドレス、メッセージテキストを 指定することによって変更できます。 キープアライブメッセージはスクリプトで varInputSource フィールドをチェックし検出すること ができます。キープアライブメッセージは "3"を使用します。 Enable keep-alive messages (キープアライブメッセージの有効化) デフォルトは無効です。キープアライブメッセージを挿入するにはチェックボックスをチェックし てください。 Frequency (頻度) 入力ストリームに挿入するキープアライブメッセージの頻度を設定します。デフォルトは 60 秒 に 1 回ですが、1~86400 秒(1 日)の範囲で任意の値を指定できます。 Syslog facility (Syslog ファシリティ) キープアライブメッセージのファシリティを設定します。このファシリティのみで動作するようル ールのプライオリティフィルターを設定することができます。通常このオプションは Syslog プロ グラムがメッセージを生成していることを示す Syslog に設定します。 Syslog level (Syslog レベル) キープアライブメッセージのレベルを設定します。このファシリティ/レベルの組み合わせでの みで動作するようルールのプライオリティフィルターを設定することができます。通常このオプ ションは情報メッセージであることを示す Info に設定します。 From IP Address (送信元 IP アドレス) キ ー プ ア ラ イ ブ メ ッ セ ー ジ の 送 信 元 IP ア ド レ ス を 設 定 し ま す 。 1.1.1.1 ~ 255.255.255.255 の範囲で任意の値を設定できます。デフォルトの 127.0.0.1 を使用 することをお勧めします。指定したアドレスはルール設定のフィルター条件に使用できます。 Message text (メッセージテキスト) キープアライブメッセージのテキストを入力します。任意の文字列を指定できます。デフォルト Kiwi Syslog Server Ver.9.4 Rev. 1.2 264 は Keep-alive message です。 キープアライブメッセージの使用法 ここでは、キープアライブメッセージの使用法について説明します。 スクリプトでの使用 通常、Rules/Filters/Actions はメッセージが到着した時のみ実行され、ルールエンジン により処理されます。時間単位でアクションを実行する必要がある場合は、キープアライ ブメッセージを通常のルールエンジンのトリガーとして使えます。 Rules Rule: MyScript Filters Priority: Match Syslog.Info only Actions Action: Run script Action: Stop processing (ルールエンジンをここで終了します) その他のルールを定義します。 キープアライブメッセージはスクリプトで varInputSource フィールドをチェックし検 出することができます。キープアライブメッセージは "3" を使用します。 ビーコンとして他のホストに転送 他のホストにすべて順調であることを知らせるために、キープアライブメッセージを転送 することが出来ます。 Rules Rule: Send keep alive message Filters Priority: Match Syslog.Info only Actions Action: Forward to host (syslog メッセージを他のホストに送信) Action: Stop processing (ルールエンジンをここで終了します) その他のルールを定義します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 265 この例では、Stop processing アクションを使用しているので、キープアライブメッセ ージはこれ以降のルールで処理されません。プライオリティフィルターは Syslog.Info に一致したらアクション(forward to another host)を実行し、その後ルー ルエンジンはメッセージを破棄して次のメッセージの受信を待ちます。 3.14 Test message (テストメッセージ) ここでは、Test message メニューについて説明します。 Setup 画面のページの中には、Test ボタンが存在するものがあります。これらの Test ボタンをクリ ックしたときに使用されるテストメッセージをこの画面で設定します。すべて syslog メッセージの形 式で送信されます。 Input Source (入力源) テストメッセージの入力プロトコルを選択します。UDP、TCP、SNMP、Secure (TLS) TCP、 Keep-alive から選択します。 Source IP Address (送信元 IP アドレス) テストメッセージの送信元 IP アドレスを指定します。 デフォルトは、127.0.0.1 です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 266 Source Hostname (送信元ホスト名) テストメッセージの送信元ホスト名を指定します。 デフォルトは、host.company.com です。 Syslog Facility (Syslog ファシリティ) テストメッセージのファシリティをリストから選択します。 デフォルトは、Local7 です。 Syslog Level (Syslog レベル) テストメッセージのレベルをリストから選択します。 デフォルトは、Debug です。 Message text (メッセージテキスト) テストメッセージのテキストを入力します。 デフォルトは、This is a test message from Kiwi Syslog Server です。 Time (時間) テストメッセージの送信時間を指定します。 デフォルトは、12:00 です。 注記: フィルターのテストに使用されます(version 9.2 現在)。 Day of the week (週の曜日) テストメッセージの送信曜日を指定します。 デフォルトは、Sunday です。 注記: フィルターのテストに使用されます(version 9.2 現在)。 注記: 作成したフィルターやアクションの設定をテストするには、下記の Web ページから Kiwi SyslogGen をダウンロードしてご使用ください。このプログラムは Kiwi Syslog Server にテスト用の syslog メッセージを送信することができます。Kiwi SyslogGen を利用するほうがルールのテストに 適しています。 http://www.kiwisyslog.com/kiwi-sysloggen-download/ Kiwi Syslog Server Ver.9.4 Rev. 1.2 267 3.15 Defaults/Import/Export (デフォルト/インポート/エクスポート) ここでは、Defualts/Import/Export メニューについて説明します。 ルールや設定をデフォルトに戻したり、既存の設定ファイルから設定やルールをインポートしたり、 現在の設定を設定ファイルにエクスポートしたりできます。 Load default Rules (デフォルトルールのロード) 現在のルール設定を破棄し、デフォルトのルールを適用します。 Load default Settings (デフォルト設定のロード) 現在の設定(ルール以外)を破棄し、デフォルトの設定を適用します。 Load default Rules and Settings (デフォルトルールと設定のロード) 現在のルールと設定を破棄し、デフォルトのルールと設定を適用します。 Import Settings and Rules from INI file (設定およびルールを INI ファイルからインポート) 指定した INI ファイルから設定とルールをインポートします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 268 Export Settings and Rules to INI file (設定およびルールを INI ファイルからエクスポート) 現在の設定とルールを INI ファイルにエクスポートします。 このファイルを Import Settings and Rules to INI file ボタンから指定し、インポートすることが できます。 3.16 Product Updates (製品の更新) ここでは、Product Updates メニューについて説明します。 製品の更新チェックの有効/無効を設定できます。 Check for product updates (製品の更新チェック) このオプションが有効の場合、Kiwi Syslog Server は利用可能な製品の更新情報を取得する ために定期的に SolarWinds の Web サイトに接続します。 デフォルトでは、このオプションは有効です。製品の更新チェックが不要な場合は、このチェッ クボックスのチェックをはずしてください。 プロキシサーバー経由でインターネットにアクセスする環境の場合は、Use Proxy Server オ プションを選択し、プロキシサーバーを設定します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 269 注記: Kiwi Syslog Server がインターネットに接続できない環境にある場合は、このオプション を無効にしてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 270 4 Syslog Statistics (Syslog 統計) ウィンドウ この章では、Syslog Statistics ウィンドウについて説明します。 Syslog Statistics ウィンドウを表示するには、Kiwi Syslog Server のメイン画面で View -> View Syslog Statistics を選択するかもしくは Ctrl-S を押します。 下図は Syslog Statistics ウィンドウの例です。 syslog 統計は 10 秒ごとに更新されます。Refresh ボタンまたは F5 キーを押すと即座に更新され ます。 4.1 History [1hr] (1 時間の受信履歴) 直近 60 分間のトラフィックを棒グラフで表示します。各々の棒が 1 分間の受信メッセージ数を示し ています。グラフは右から左に進みます。すなわち、チャートの左端に 1 時間前のトラフィックが表 示され、右端に現在のトラフィックが表示されます。 4.2 History [24hr] (24 時間の受信履歴) 直近 24 時間のトラフィックを棒グラフで表示します。各々の棒が 1 時間ごとの受信メッセージ数を 示しています。グラフは右から左に進みます。すなわち、チャートの左端に 24 時間前のトラフィック が表示され、右端には現在のトラフィックが表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 271 4.3 Severity (重要度) プライオリティレベル別のメッセージ分析結果を表示します。最も緊急を要するレベルである 0-Emerg から問題解決用の 7-Debug まで重要度の高い順に上から下へ列記されています。 テーブルにはメッセージ数と全トラフィックに対する割合が表示されます。 任意の列のヘッダーをクリックするとその列を基準として昇順/降順を並べ替えることができます。 4.4 Top 20 Hosts (上位 20 ホスト) 送信ホスト別のメッセージ分析結果を表示します。テーブルにはホストごとのメッセージ数と全体 に対する割合が示されています。 任意の列のヘッダーをクリックするとその列を基準として昇順/降順を並べ替えることができます。 特定ホストから大量のトラフィックが発生している、あるいはパターンが変化している場合、そのデ バイスに問題がある可能性があります。 4.5 Counters (カウンター) トラフィックとエラーの統計を表示します。Messages-Average (平均メッセージ数)カウンターはアラ ーム通知の閾値を設定するときや、生成される syslog トラフィックを予測するのに役立ちます。 カウンターの中には(現在の時刻からの)直近 24 時間の値を表示するものと深夜(0:00)からの値を 表示するものがあります。 1 時間はプログラム起動時を 0 とし、実際の HH:MM:SS フォーマットの時刻とは関係ありません。 プログラム実行時間は Program up-time カウンターに示されています。 Messages – Total (メッセージ – 総数) プログラムスタート時からの受信メッセージ数です。この値はプログラムかサービスのリスタ ートでリセットされます。 Messages - Last hour (メッセージ – 直近1時間(過去)) 直近1時間の受信メッセージ数です。時間はプログラムスタート時からカウントされます。プロ グラム実行が 60 分以内であればこの値は 0 となります。1 時間経過していれば、最終の1時 Kiwi Syslog Server Ver.9.4 Rev. 1.2 272 間経過後の受信メッセージ総数が表示されます。この値は次の1時間が経過するまで更新さ れません。 Messages - This hour (メッセージ – 直近1時間(現在)) 直近 1 時間以内に受信したメッセージ数です。時間はプログラムスタート時からカウントされ ます。この値は 1 時間経過するたびに 0 にリセットされ、新しいメッセージを受信すると更新さ れます。 Messages - Last 24 hours (メッセージ - 直近 24 時間) 直近 24 時間(現在を基準に)の受信メッセージ数です。この値は直近 23 時間の受信メッセー ジの合計と直近1時間内に受信したメッセージの総数です。時間が切り替わると、それまでの 23 時間の値が再計算され既存の値は捨てられます。この値は直近1時間以内にメッセージ を受信するたびに再計算されます。計算式は次のようになります。 LastHours(1 ~ 23) + Messages This hour Messages – Average (メッセージ – 平均) 直近 24 時間における1時間あたりの平均受信メッセージ数です。時間が切り替わるたびに再 計算されます。最初の1時間が経過した後、1時間おきに更新されます。 Messages – Forwarded (メッセージ – フォワード) Forward to another host や Send Syslog message アクションで他の syslog コレクタに転送/ リレーされたメッセージの数です。このカウンターは日別統計が送信されるとすぐにリセットさ れます。日別統計は通常深夜に送信されるため、値は深夜 0:00 からのカウントになります。 Messages - logged to disk (メッセージ - ディスクへの記録) Log to file アクションでディスクに記録されたメッセージ数です。このカウンターは日別統計の 送信後すぐにリセットされます。日別統計は通常深夜に送信されるため、値は深夜 0:00 から のカウントになります。 Errors - logged to disk (エラー - ディスクへの記録) ディスクに記録されたプログラム内部のエラー数です。エラーの原因はログファイルへのアク セス不能あるいはプログラム内部エラーにあります。このカウンターは日別統計の送信後す ぐにリセットされます。日別統計は通常深夜に送信されるため、値は深夜 0:00 からのカウント になります。0 以外の値が表示されている場合はエラーログ(View -> View error log file)を参 Kiwi Syslog Server Ver.9.4 Rev. 1.2 273 照してください。 Disk space remaining (ディスクスペースの残量) ディスクスペースの残量を MB で示します。監視するドライブは Alarms -> Disk space monitor オプションで設定できます。デフォルト設定は C ドライブです。 Program up-time (プログラム稼動時間) プログラム開始からの経過時間を表示します。 CustomStatsXX (カスタム統計) カスタム統計値は Counters タブに表示されています。これらの値は Run Script アクション で変更できます。これらのカスタム統計カウンターを利用することで、任意の値をカウントし表 示することが可能です。 カウンター名を分かりやすい名前にするには、Setup 画面の Scripting オプションでカウンタ ー名と初期値を設定します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 274 5 Kiwi Syslog Server サービス版 この章では、Kiwi Syslog Server サービス版のシステム要件、インストール手順、サービスの管理 方法、問題解決方法、アップグレード手順について説明します。 5.1 Kiwi Syslog Server Service サービス版のシステム要件 Kiwi Syslog Server をサービスとしてインストールする場合の推奨要件は以下の通りです。 OS Windows Server 2012(x64*), Windows Server 2012 R2(x64*), Windows Server 2008 R2(x64*), Windows Server 2008 (x86、x64*), Windows 8 (x86、x64*), Windows 7 (x86、x64*) Windows Vista (x86、x64*), Windows 2003 (x86、x64*), Windows XP (x86、x64*) * Kiwi Syslog Server は 64 ビットシステムの WOW64 (Windows-on-Windows 64-bit)上で起動します。 ブラウザ Microsoft Internet Explorer Version 5.x 以上 メモリー 256MB 以上 解像度 800 × 600、 256 色以上 5.2 サービス版のインストール サービス版のインストール手順については、「インストール」を参照してください。手順 8 で、 “Install Kiwi Syslog Server as a Service“ を選択します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 275 サービス版をインストールすると、Manage メニューが表示されます。Manage メニューについては 「2.5 Manage (管理)メニュー」を参照してください。 サービスをコマンドラインから手動で起動するには、以下のコマンドを実行します。 C:\>net start "Kiwi Syslog Server" 以下のメッセージが表示されます。 Kiwi Syslog Server サービスを開始します. Kiwi Syslog Server サービスは正常に開始されました。 サービスをコマンドラインから手動で停止するには、以下のコマンドを実行します。 C:\>net stop "Kiwi Syslog Server" 以下のメッセージが表示されます。 Kiwi Syslog Server サービスを停止中です. Kiwi Syslog Server サービスは正常に停止されました。 注記: サービスの停止には 20 秒程度かかります。 サービスの管理と設定は、コントロールパネル -> 管理ツール -> サービス からも行えます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 276 サービスの手動インストール サービスを手動でインストールするには、スタート -> ファイル名を指定して実行 またはコマ ンドプロンプトを呼び出し、次のように入力します。 Kiwi Syslog Server のインストールフォルダ\Syslogd_Service.exe –install 例: C:\Program files\Syslogd\Syslogd_Service.exe –install サービスの手動アンインストール サービスをアンインストールする場合は、スタート -> ファイル名を指定して実行 またはコマ ンドプロンプトを呼び出し、次のように入力します。 Kiwi Syslog Server のインストールフォルダ\ Syslogd_Service.exe –uninstall 例: C:\Program files\Syslogd\Syslogd_Service.exe –uninstall サービ スの開始 Windows を再起動するとサービスが自動的に開始します。 Kiwi Syslog Service Manager から開始する場合 Manage -> Start the Syslogd service を選択するか Ctrl+F1 を押します。 5.3 サービス版の管理 Kiwi Syslog Server Manager のインターフェイスから Syslogd サービスを制御できます。 Syslog サービスの開始: Manage -> Start the Syslogd service を選択するか、Ctrl+F1 キーを押下します。 Syslog サービスの停止: Manage -> Stop the Syslogd service を選択するか、Ctrl+F2 キーを押下します。 Syslog サービスのテスト Manage -> Ping the Syslogd service を選択するか、Ctrl+F3 キーを押下します。結果はアプ リケーション画面のステータスバーに表示されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 277 Syslog サービスステータスの検証: Manage -> Show the Syslogd service state を選択するか、Ctrl+F4 キーを押下します。ステ ータスはアプリケーション画面のステータスバーに表示されます。 Syslog サービスバージョンの確認: Manage -> Debug -> Display the service version を選択します。バージョン情報はアプリケー ション画面のステータスバーに表示されます。 診断情報の確認: Manage -> Debug -> Get diagnostic information を選択します。この情報はメモ帳にロードさ れます。 サービスモードでのデバッグの有効化 デバッグモードは初期設定では無効です。デバッグモードを有効にするには、Manage -> Debug -> Enable Service Debug Mode を選択します。デバッグモードが有効になると syslog メッセージが<Program Files>\Syslogd\Syslogd-debug.txt ファイルに記録され ます。 サービスモードでのデバッグの無効化 デバッグモードを無効にするには、サービスを再起動します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 278 5.4 サービス版の問題解決 サービスが正常に動作しない場合は、以下を確認してください。 1. サービスが起動しているか? Manage -> Ping the Syslogd service を選択します。 2. Kiwi Syslog Server からテストメッセージを送信してそれを受信できるか? Syslog Service Manager で Ctrl+T を押して、テストメッセージを localhost に送信します。 3. ローカルマシンからメッセージを送信してそれを受信できるか? テストメッセージの送信には、以下の Web ページから Kiwi SyslogGen をダウンロードし てご利用ください。http://www.kiwisyslog.com/kiwi-sysloggen-download/ 5.5 Kiwi Syslog Server のアップグレード ここでは、Kiwi Syslog Server のアップグレードについて説明します。 Kiwi Syslog Server の新バージョンには、最新機能やバグの修正が含まれているため、できる限 りアップグレードしてください。 最新バージョンの Kiwi Syslog Server は次の Web ページから入手できます。 • ジュピターテクノロジー株式会社: http://www.jtc-i.co.jp • SolarWinds 社: http://www.kiwisyslog.com/ アップグレードを行う前に、必ず現在インストールされているバージョンのプログラムをアンインスト ールしてください。 5.5.1 アンインストール ここでは、Kiwi Syslog Server version 9.2.0 のアンインストール手順を説明します。 注記: Kiwi Syslog Deamon version 8 以前のアンインストールとは一部手順が異なります。 version 8 以前のプログラムのアンインストールを行う場合は、過去のマニュアルを参照いただく か製品に付属したヘルプを参照してください。 Kiwi Syslog Server version 9.2.0 のアンインストール手順 1. Kiwi Syslog Server Manager が起動していない場合は、スタート -> すべてのプログラム Kiwi Syslog Server Ver.9.4 Rev. 1.2 279 -> SolarWinds Kiwi Syslog Server -> Kiwi Syslog Server Console を選択し、Kiwi Syslog Service Manager を起動します。 2. Manage -> Stop the Syslogd service を選択します。 3. Kiwi Syslog Server Manager を終了します。 4. コントロールパネル -> アプリケーションと機能から Kiwi Syslog Server を選択し、アンイ ンストールをクリックします。 5. Kiwi Syslog Web Access をインストールしている場合に、Kiwi Syslog Server のアンインス トール時に Kiwi Syslog Web Access もアンインストールする場合は、確認ダイアログでは いをクリックします。 6. Uninstallation Complete(アンインストール完了)画面で Close をクリックします。 7. サーバーを再起動します。 8. 必要に応じて、Kiwi Syslog Server および Kiwi Syslog Web Access のインストールフォルダ を削除します。 注記: Kiwi Syslog Server の設定内容およびライセンス登録情報は、レジストリに登録さ れています。Kiwi Syslog Server のアンインストールでは、このレジストリ情報を削除しま せん。 このため、Kiwi Syslog Server の再インストールやバージョンアップ時には以前の設定が そのまま引き継がれます。 5.5.2 新バージョンのインストール ここでは、新バージョンの Kiwi Syslog Server をインストールする手順を説明します。 新バージョンの Kiwi Syslog Server のインストールと動作確認手順 1. 新バージョンの Kiwi Syslog Server をダウンロードします。 2. 新パージョンをインストールします。 3. Kiwi Syslog Server Manager が起動します。自動起動しない場合は、スタート -> すべて のプログラム -> SolarWinds Kiwi Syslog Server -> Kiwi Syslog Server Console を選択し、 Kiwi Syslog Service Manager を起動します。 4. Manage -> Ping the Syslogd service をクリックし、サービスが起動しているかどうかを確 認します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 280 5. Ctrl+T を押して localhost にテストメッセージを送信し、メッセージを正常に受信できるか どうかを確認します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 281 6 Syslog 送信デバイスの設定 この章では syslog メッセージ送信機能を使用するためのネットワーク機器の設定について個別に 解説します。 注記: この章の内容は、SolarWinds 社のマニュアルが更新されていないため、日本語マニュアル でも情報が古いままとなっています。適宜各ネットワーク機器のマニュアルをご参照いただくか製 造元にお問い合わせください。 本書に記載されていない syslog メッセージ送信可能デバイスについての情報をお持ちでしたら、 下記のサポートフォームからお知らせください。次回のマニュアル更新時に情報を追加させていた だきます。http://www.solarwinds.com/support/ 6.1 SNARE で Windows イベントログを取得する SNARE は弊社にてサポートしておりませんのでご了承ください。 Kiwi Syslog Server はそのままでは Windows のイベントログを読むことができません。 Windows イベントログを収集したいときはサードパーティ製アプリケーションを利用する必要があり ます。お勧めの Windows イベントログ収集アプリケーションは Snare Agent for Windows です。次 の Web ページから無料でダウンロードできます。 http://www.intersectalliance.com/projects/SnareWindows/index.html Snare は Windows のイベントログを syslog メッセージに変換し Kiwi Syslog Server に送信します。 この時点でメッセージをテキストファイルやデータベースに書き出すといった通常の方法で処理可 能です。 Windows ユーザーのログオン/ログオフイベントを収集するには次の Web ページを参照してくださ い。ログオン/ログオフイベントを有効にする方法の例が記載されています。 http://support.microsoft.com/kb/300549 Snare Agent for Windows をダウンロードしインストールしたら設定を行う必要があります。デフォ ルトのウィンドウから Network Configuration を選択します。 1. Destination Snare Server address フィールドに Kiwi Syslog Server をインストールしたシス テムの IP アドレスを入力します。 2. Destination Port は Kiwi Syslog Server の syslog メッセージ受信ポートと同じ 514 にしま Kiwi Syslog Server Ver.9.4 Rev. 1.2 282 す。 下図は Snare Network Configuration の例です。 Change Configuration ボタンを押したら Windows のコントロールパネル -> 管理ツール -> サー ビス で Snare サービスを再起動してください。変更が正しく読み込まれます。 Kiwi Syslog Server の syslog 受信ポート(514)が Windows ファイアーウォールによってブロックされ ていないことを確認してください。 syslog メッセージの受信に問題があるときは次の Web ページを参照してください。 http://www.kiwisyslog.com/index.php?option=com_kb&page=articles&articleid=123&Itemid=244 (リ ンク切れ) 6.2 3Com NetServer の設定 ここでは、3Com NetServer の設定手順を説明します。 NetServer 8/16 から syslog メッセージを送信する手順 1. NetServer に Telnet かコンソールケーブルで接続します。 2. 次の形式で Add Syslog コマンドを入力します。 ADD SYSLOG <IP Address> LOGLEVEL <logging level> IP Address : Kiwi Syslog Server を実行している PC の IP アドレスを入力します。 Logging level: COMMON、CRITICAL、DEBUG、UNUSUAL、VERBOSE のいずれかを入力し Kiwi Syslog Server Ver.9.4 Rev. 1.2 283 ます。 例: ADD SYSLOG 10.0.10.23 LOGLEVEL VERBOSE 3. LIST SYSLOGS コマンドを実行してエントリを表示し、syslog エントリが追加されていること を確認します。 例: Console Prompt>LIST SYSLOGS SYSLOG SINKS SysLog Log Level Msg Count 192.168.203.203 COMMON 507 192.168.203.230 COMMON 4551 注記: 必ず SAVE ALL コマンドを実行し、詳細を NVRAM に記憶させてください。 6.3 3Com Total Control Chassis の設定 ここでは、3Com Total Control Chassis の設定手順を説明します。 Total Control Chassis から syslog メッセージを送信する手順 1. HiPer Access Router Card (HiPer ARC) に Telnet かコンソールケーブルで接続します。 2. 次の形式で Add Syslog コマンドを入力します。 ADD SYSLOG <IP Address> FACILITY <Facility> LOGLEVEL <logging level> IP Address : Kiwi Syslog Server を実行している PC の IP アドレスを入力します。 FACILITY : LOG_AUTH、LOG_LOCAL0、LOG_LOCAL1、LOG_LOCAL2、LOG_LOCAL3、 LOG_LOCAL4、LOG_LOCAL5、LOG_LOCAL6、LOG_LOCAL7 のいずれかを入力します。 Logging level : COMMON、CRITICAL、UNUSUAL、VERBOSE のいずれかを入力します。 例: ADD SYSLOG 10.0.10.23 FACILITY LOG_LOCAL7 LOGLEVEL VERBOSE 3. LIST SYSLOGS コマンドを実行してエントリを表示し、syslog エントリが追加されていること を確認します。 例: Console Prompt>LIST SYSLOGS SYSLOG SINKS SysLog Log Level Msg Count 192.168.203.203 COMMON 507 Facility LOG_LOCAL7 Kiwi Syslog Server Ver.9.4 Rev. 1.2 284 192.168.203.230 COMMON 4551 LOG_AUTH 注記: 必ず SAVE ALL コマンドを実行し、詳細を NVRAM に記憶させてください。 6.4 Alliant Cellular Gateway の設定 以下の情報を提供してくださった Mark Hamilton 氏に謝意を表明いたします。 Alliant Cellular Gateway の詳細については次の Web ページを参照してください。 http://www.alliantnetworks.com/ SYSLOG メッセージを有効にしフィルターする手順 デフォルトでは SYSLOG メッセージ送信は無効になっています。SYSLOG サーバーの設定作業が 終わったら、SYSLOG メッセージを有効にしなければなりません。メッセージのフィルタリングを設 定して出力するメッセージタイプを制限することもできます。 必要な情報 • SYSLOG サーバーの IP アドレス • ゲートウェイの管理者パスワード(デフォルトのパスワードは: public) • Telnet CLI を使うのであれば、ゲートウェイの IP アドレス • シリアル CLI を使うのであれば、ゲートウェイに接続するためのシリアルケーブル SYSLOG メッセージの有効化とフィルター手順 1. シリアルまたは Telnet で CLI にアクセスします。 2. 次のコマンドを入力します。 CG> login <password> CG# configure system CG(sys)# configure syslog CG(sys-sys)# set status on 3. コマンドの効果は、show log コマンドで表示して確認します。 出力例: SYSLOG messages are enabled First SYSLOG server's IP address: 10.0.1.2 Second SYSLOG server's IP address: 0.0.0.0 Kiwi Syslog Server Ver.9.4 Rev. 1.2 285 Severity threshold 6 CG(sys)# 4. severity でメッセージをフィルターすると有効です。下記は error 以下のレベルのメ ッセージはすべて除外し、error イベント(severity は 3) と error 以上のイベントを 出力する場合の例です。 CG> login <password> CG# configure system Maintenance Onboard logging CG(sys)# configure syslog CG(sys-sys)# set status on CG(sys-sys)# set severity 3 6.5 Allied Telesyn ルーターの設定 以下の情報を提供してくださった Allied Telesyn New Zealand の Taylor Wilkens 氏に謝意を表 明いたします。 1. Syslog Server にログを送信するための定義を作成します。次のコマンドを入力します。 create log output=1 destination=syslog server=address address : Kiwi Syslog Server を実行しているホストの IP アドレスを入力します。 2. 送信するログメッセージの種類を決めるフィルターを追加します。 例: IP トラフィックフィルターで生成されたメッセージを送信するコマンド add log output=1 type=IPFILT 例: ISDN コールの時間を記録するコマンド add log output=1 mod=ICC type=CALL subtype=DOWN 例: すべてのイベントを表示するフィルターを追加するコマンド add log output=1 filter=1 all 例: フレームアップ/ダウンや lmi のステータス等のインターフェイスイベントのみを記録 するコマンド add log output=1 filter=1 type=vint Kiwi Syslog Server Ver.9.4 Rev. 1.2 286 add log output=1 filter=1 type=dlink 注記: 使用可能なログコマンドの詳細については、次の Web 公開資料を参照してくださ い。http://www.alliedtelesyn.co.nz/documentation/arrouter/241/pdf/log.pdf 6.6 Arris Cable Modem Termination System の設定 以下の情報を提供してくださった Dale Hutchinson 氏に謝意を表明いたします。 Kiwi Syslog Server を Arris CMTS1000 DOCSIS 1.0 Cable Modem Termination System と CMTS1500 DOCSIS 1.1 Cable Modem Termination System で使うコンソールコマンドは以下の通り です。 manage event-level syslog-ip-addr xxx.xxx.xxx.xxx //Kiwi Syslog Server IP アドレス admin-status-of-throttle unconstrained 6.7 Extreme Summit スイッチの設定 ここでは、Extreme Summit スイッチの設定手順を説明します。 Extreme Summit スイッチ から syslog メッセージを送信する手順 1. スイッチに Telnet かコンソールケーブルで接続し、管理者(admin)レベルユーザーでログイ ンします。 2. 次の形式で syslog サーバーエントリを追加するコマンドを入力します。 Configure syslog add <IP address of syslog server> <Facility name> 例: Configure syslog add 192.168.1.1 local0 注記: config から syslog サーバーエントリを削除するには次のコマンドを入力します。 Configure syslog delete <IP address of syslog server> <Facility name> 例: Configure syslog delete 192.168.1.1 local0 3. CLI コンフィグレーションコマンドのロギングを有効にするには次のコマンドを入力します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 287 enable cli-config-logging 6.8 Barracuda Spam Firewall の設定 以下の情報は Barracuda Spam Firewall マニュアルの概要です。詳細については次の Web ペー ジを参照してください。http://www.barracudanetworks.com/ns/support/documentation.php Barracuda の syslog とその抽出方法 Barracuda では syslog メッセージを Barracuda Spam Firewall がメッセージを処理するたびに その内容を記録する手段として利用しています。syslog メッセージは Spam Firewall に送られ テキストファイルとして保存されます。同時に Barracuda 管理者が管理可能なリモートサーバ ーにも送られます。この送られてきた syslog メッセージを管理者は解析を実行してレポートを 作成し、Barracuda Spam Firewall が行った処理内容をより深く理解することができます。 syslog を有効にするには Web GUI の Advanced から Syslog を選択し、メッセージ転送先 の syslog サーバーの IP アドレスを入力します。 注記: Web GUI の画面上には syslog 通知に関する項目がありますが、本書では解説してお りません。 syslog メッセージは標準 syslog ポートである UDP 514 ポートに送信されます。Barracuda と syslog メッセージの受信サーバー間にファイアーウォールが設置されている場合には、必ず ファイアーウォールのポート 514 が開いていることを確認してください。受信時の syslog メッセ ージのファシリティは mail、プライオリティレベルは debug です。Barracuda 製品内部では syslog メッセージを独自の方式でロギングするため、ファシリティやプライオリティレベルを変 更することはできません。 Barracuda の Syslog フォーマット Barracuda Spam Firewall は以下に挙げるような形式で syslog メッセージを送信します。メッセ ージに対して何らかのアクションが起こると syslog に記録されます。複数の受信者にメッセー ジを送信している場合は受信者ごとに個別のログファイルが作成されます。syslog の実装方 法は様々ですがそのすべてが以下と全く同じ形式で表示されるわけではありません。しかし、 syslog メッセージの行には表示されていない項目も含まれています。ここで挙げる例は syslog メッセージ行のメイン部分です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 288 Timestamp Host Barracuda Process Client IP Message ID Start End Service Info Sep 8 17:38:48 dev1 inbound/pass1[27564]: XX.XX.XX.XX 1126226282-27564-2-0 1126226286 1126226328 RECV [. . . . .] 6.9 Bay Networks デバイスの設定 以下の情報は Bay Networks 社の Web ページからの抜粋です。詳細については次の Web ページ を参照してください。http://support.nortel.com/go/main.jsp (リンク切れ) ルーターの syslog 設定 Technician Interface コマンドを使ってルーターの syslog 設定を行うことができます。syslog は一連 のタスクとして設定し、そのタスクの一部には 1 つまたは複数の番号が振られたステップが含まれ ています。 ルーターから syslog メッセージを送信する手順概略 1. ルーターに接続したコンソールから、あるいはルーターに Telnet で接続し、Technician Interface セッションを開きます。 2. ルーターに syslog をロードするためのスロットマスク(スロットマップ)を定義します。 3. ルーターに syslog エンティティを生成します。 4. syslog グローバル属性を設定します。 5. syslog ホストテーブルにリモートホストを追加します。 6. syslog エンティティフィルターテーブルにエンティティフィルターを追加します。 7. 5、6 の手順を繰り返してリモートホストとエンティティフィルターを追加します。 追加するリモートホストもエンティティフィルターもない場合は 8 へ進みます。 8. 設定に加えられた変更を NVFS ボリューム上にあるファイルに保存します。 9. Technician Interface セッションを終了します。 syslog 設定手順の詳細について、以下で(作業ごとに順番に)解説します。 設定手順の後に syslog 設定の例と syslog 属性の定義例を記載します。 作業 1: ルーターに接続したコンソールから、あるいはルーターに Telnet で接続し、Technician Interface セッションを開く。 Bay Networks ルーターの Technician Interface セッションオープンの詳細は、第 1 章を参照 してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 289 作業 2: ルーターに syslog をロードするためのスロットマスク(スロットマップ)を定義する。 ルーターに syslog エンティティを生成する前に syslog スロットマスクを定義します。スロットマ スクはシステムが syslog エンティティをロードし実行するスロットを特定します。Technician Interface プロンプトで、下記のように入力します。 $: set wfProtocols.wfSYSLLoad.0 0x7FFE0000;commit このコマンドはルーターの型番に関係なくすべてのスロット上で syslog 実行を有効にします。 次に、ルーターの syslog エンティティを作成します。 作業 3: ルーターに syslog エンティティを生成する。 次のようにルーター設定で syslog エンティティを生成します。 set wfSyslog.wfSyslogDelete.0 1;commit こ れ は ル ー ター の syslog も 有 効に します ( シ ステム は syslog ベー スレ コー ド の 属 性 wfSyslogDisable, OID = 1.3.6.1.4.1.18.3.3.2.15.1.2 を 1 にします)。 次に、syslog グローバル属性を設定します。 作業 4: syslog グローバル属性を設定する。 ルーター上での syslog 生成を有効にすると、wfSyslogMaxHosts と wfSyslogPollTimer 属性に対するデフォルト値をそのまま使うことも、カスタマイズする こともできます。syslog グローバル属性のデフォルト値をそのまま使用する場合は、作業 5 へ 進みます。それ以外は次の手順を実行してください。 1. ルーターの syslog でサポートするアクティブホストの最大数を設定します。 $: set wfSyslog.wfSyslogMaxHosts.0 <1 - 10>;commit wfSyslogMaxHosts のデフォルト設定は 5 です。設定されている最大数を超えて syslog ホストテーブルにエントリを追加することは可能ですが、syslog メッセージは 最初の n 個のアクティブホストに対してのみ転送されます。 n = wfSyslogMaxHosts の値です。 2. ルーターの syslog ポーリングサイクルの間隔(秒)を設定します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 290 $: set wfSyslog.wfSyslogPollTimer.0 <5 - 610000>;commit wfSyslogPollTimer のデフォルト値は 5 秒です。 次に、syslog ホストテーブルにリモートホストを追加します。 作業 5: syslog ホストテーブルにリモートホストを追加する。 ネットワーク内に設置されているルーター上で syslog(イベント)メッセージを受信するリモート ホストを定義します。 syslog ホストテーブルへの初めての登録の場合は下記の手順 1 へ進みます。初めてではな い場合はまず、ルーターで設定済みのホストの一覧を表示できます。syslog ホストテーブル へ登録済みのエントリを表示するには、Technician Interface プロンプトで次のコマンドを入 力します。 list -i wfSyslogHostEntry リストには、現在 syslog ホストテーブルに定義されているすべてのインスタンス ID(この場合は IP アドレス)が記載されています。 1. 次のように入力して syslog ホストテーブルに新しいホストエントリを追加します。 $: set wfSyslogHostTable.wfSyslogHostDelete.<host_IP_address> 1 $: commit 送信先として指定した IP アドレスのリモートホストに syslog 情報を送信します。 ホスト属性 wfSyslogHostLogFacility (184 = Local7)と wfSyslogHostTimeSeqEnable(2 = disabled) のデフォルト設定を使用する場合 は作業 6 へ進みます。それ以外は 2 に進んでこれらの属性をカスタマイズします。 2. ルーターから syslog メッセージを受信する UNIX システムのファシリティを定義するに は、次のコマンドを入力します。 $: set wfSyslogHostTable.wfSyslogHostLogFacility.<host_IP_address> <128|136|144|152|160|168|176|184>;commit 128 = local0 160 = local4 136 = local1 168 = local5 144 = local2 176 = local6 152 = local3 184 = local7 Kiwi Syslog Server Ver.9.4 Rev. 1.2 291 3. リモートホストの syslog メッセージタイムシーケンシングを有効にするには、次のよう に入力します(任意)。 $: set wfSyslogHostTable.wfSyslogHostTImeSeqEnable. <host_IP_address> 1;commit 注記: エントリが有効で(wfSyslogHostDisable =1) アクティブ (wfSyslogHostOperState = 1) なリモートホストのみがルーターの syslog か らメッセージを受信します。 次に、追加したホストエントリに対するエンティティフィルターを追加します。 作業 6: リモートホストにエンティティフィルターを追加する。 syslog ホストテーブルにホストを定義したら、ホストにエンティティ固有のメッセージフィルター を追加(定義)します。 エンティティとリモートホストの組み合わせに対して初めてフィルターを適用する場合以外は、 まず、次のように入力してフィルターインスタンスリストを表示してください。 list -i wfSyslogEntFltrEntry 表示されたインスタンス ID リスト (フォーマットは<host_IP_address>.<entity_code>.<filter_index>)から、追 加した<host_IP_address>と<entity_code>の組み合わせに適用する新しいフィルタ ーに割り当てる<filter_index>番号を決定します。新しいフィルターに割り当てる番号は リストに記載されている<filter_index>の最大値に 1 を加えた値でとなります。新しいフィ ルター番号を確認したら、1 に進みます。 1. 任意のエンティティトリモートホストの組み合わせに適用する新しいフィルターを作成 します。次のように入力して、まず syslog エンティティフィルターテーブルにエントリを作 成します。 $: set WfSyslogEntityFilterTable.WfSyslogEntFltrDelete. <host_IP_address>.<entity_code>. <filter_index> 1;commit <host_IP_address>にはリモートホスト(管理用ワークステーション)の IP アドレ スを入力します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 292 <entity_code>には<host_IP_address>のリモートホストへイベントメッセー ジを転送するソフトウェアエンティティを入力します。 <filter_index>には選択したエンティティトリモートホストの組み合わせにフィ ルターをアサインするための番号を入力します。 2. 特定のホストのエンティティフィルターを作成したら、次について定義します。 ・ イベント番号(または範囲)とスロット番号(または範囲) または ・ セベリティマスクとスロット番号(または範囲) 注記: フィルターはイベントとスロット番号、またはセベリティマスクとスロット番号を 定義するまで動作しません。 次の手順に従ってエンティティフィルター属性の設定を行います。 a. イベント番号別に定義して、イベントメッセージを syslog で選択し特定のリモートホスト に送信するには、次のように入力します。 $: set wfSyslogEntFltrEntry.wfSyslogEntFltrLogEvtLowBnd. <host_IP_address>.<entity_code>.<filter_index> <0 - 255> $: set wfSyslogEntFltrEntry.wfSyslogEntFltrLogEvtUppBnd <host_IP_address>.<entity_code>.<filter_index> <0 - 255> $: commit イベント番号によるフィルタリングを定義したくない場合は、イベント番号の下限と上 限のデフォルト値である 0 と 255 を使用してください(2bへ進みます)。デフォルト 値を使用する場合、メッセージの選択と転送を行うときの条件としてセべりティとス ロットマスクのみが適用されます。 b. イベント番号(または範囲)が未定義のときに限りセベリティマスクを定義します。イベ ント番号や範囲が定義済みである場合、syslog はこのフィルターのセベリティマスクを 無視します。 セべリティレベル別に定義して、イベントメッセージを syslog で選択し特定のリモートホス トに送信するには、次のように入力します $: set wfSyslogEntFltrEntry.wfSyslogEntFltrSevMask. <host_IP_address>.<entity_code>.<filter_index> "<fwitd>" Kiwi Syslog Server Ver.9.4 Rev. 1.2 293 $: commit c. スロット番号別に定義して、イベントメッセージを syslog で選択し特定のリモートホスト に送信するには、次のように入力します。 $: set wfSyslogEntFltrEntry.wfSyslogEntFltrSlotLowBnd. <host_IP_address>.<entity_code>.<filter_index> <0 - 14> $: set wfSyslogEntFltrEntry.wfSyslogEntFltrSlotLowUpp. <host_IP_address>.<entity_code>.<filter_index> <0 - 14> $: commit 注記: 有効なスロット番号の下限と上限はそれぞれ 0 から 14 ですが、設定しようと しているルーターモデルの実際のスロット番号の範囲の値を指定してください。実 際の値以外の値を設定すると、フィルターは実行状態になりません。 3. ルーターイベントメッセージのセベリティレベルと UNIX システムのエラーレベルをマッ ピングします。 ほとんどの場合、デフォルト設定を使用して作業 7 へ進んで構いません。設定を変更す る場合は、次の手順に従ってメッセージマッピングをカスタマイズします。 Technician Interface プロンプトで、変更するメッセージマッピングのためのコマンドを入 力します。 a. 次のように入力してルーターの FAULT メッセージのマッピングを変更します。 $: set wfSyslogEntFltrEntry.wfSyslogEntFltrFaultMap. <host_IP_address>.<entity_code>.<filter_index> <1 - 8> wfSyslogEntFltrFaultMap のデフォルト値は 3 であり、ルーターの FAULT レベルメッセージを UNIX システムレベルが CRIT のメッセージにマッピングしま す。 b. 次のように入力してルーターの WARNING メッセージのマッピングを変更します。 $: set wfSyslogEntFltrEntry.wfSyslogEntFltrWarningMap. <host_IP_address>.<entity_code>.<filter_index> <1 - 8> wfSyslogEntFltrWarningMap の デ フ ォ ル ト 値 は 5 で あ り 、 ル ー タ ー の Kiwi Syslog Server Ver.9.4 Rev. 1.2 294 WARNING レベルメッセージを UNIX システムレベルが WARNING のメッセージに マッピングします。 例: $: set wfSyslogEntFltrEntry.wfSyslogEntFltrWarningMap 5 このコマンドは Warning レベルのルーターイベントメッセージをそれぞれ Warning レベルの UNIX システムエラーメッセージにマッピングします。 c. 次のように入力してルーターの INFO メッセージのマッピングを変更します。 $: set wfSyslogEntFltrEntry.wfSyslogEntFltrInfoMap. <host_IP_address>.<entity_code>.<filter_index> <1 - 8> wfSyslogEntFltrInfoMap のデフォルト値は 7 であり、ルーターの INFO レ ベルメッセージを UNIX システムレベルが INFO のメッセージにマッピングします。 d. 次のように入力してルーターの TRACE メッセージのマッピングを変更します。 $: set wfSyslogEntFltrEntry.wfSyslogEntFltrTraceMap. <host_IP_address>.<entity_code>.<filter_index> <1 - 8> wfSyslogEntFltrTraceMap のデフォルト値は 3 であり、ルーターの TRACE レベルメッセージを UNIX システムレベルが CRIT のメッセージにマッピングしま す。 e. 次のように入力してルーターの DEBUG メッセージのマッピングを変更します。 $: set wfSyslogEntFltrEntry.wfSyslogEntFltrDebugMap. <host_IP_address>.<entity_code>.<filter_index> <1 - 8> wfSyslogEntFltrDebugMap のデフォルト値は 8 であり、ルーターの DEBUG レベルメッセージを UNIX システムレベルが DEBUG のメッセージにマッピングしま す。 作業 7: ホストまたはエンティティフィルターの追加を続ける。 syslog 設定にホストやエンティティフィルターをさらに追加する場合は次の手順に従ってくださ い。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 295 1. このリモートホストへのエンティティフィルターの追加を完了し別のリモートホストを追加し ない場合は作業 8 へ進みます。追加する場合は 2 へ進みます。 2. 今までと同じリモートホストへもう一つエンティティフィルターを追加したい場合は作業 6 に 戻ります。別のリモートホストを追加する場合は 3 へ進みます。 3. ルーターから syslog メッセージを受信する別のリモートホストを追加するには作業 5 へ戻り ます。 作業 8: ルーターの Syslog 設定を保存する。 次のように入力して syslog 設定に加えられた変更を NVFS ボリューム上にあるファイルに保 存します。 save config <vol>:<filename> 作業 9: Technician Interface からログアウトする。 Technician Interface コマンドラインインターフェイスから次のコマンドを入力します。 $: logout 6.10 BinTec アクセスルーターの設定 以下の情報を提供してくださった Torsten Richter 氏に謝意を表明いたします。 詳細については BinTec 社の Web ページを参照してください。 http://www.bintec.net/en/index.php (リンク切れ) コマンドラインインターフェイス設定: • ルーターに Telnet で接続 • ゴール - (input / action) • このセッションのタイムアウトをオフにする- (t 0 と入力) • setup を開く - (setup と入力) • 選択 - (SYSTEM を選択) Kiwi Syslog Server Ver.9.4 Rev. 1.2 296 • 選択 - (External System Logging を選択) • 選択- (ADD を選択) • フィールド: Log Host - (Kiwi Syslog Server マシンの [IP アドレスまたはホスト名]) • フィールド: Level - (スペースとタブで選択) • フィールド: facility - (スペースとタブで選択) • イールド: Type - (スペースとタブで選択) • フィールド: Timestamp - (スペースとタブで選択) • セーブ- (save) • setup tool/system を終了 - (exit) • setup tool を終了- (save) • 保存して終了 - (Save as boot configuration and exit を選択) 6.11 Buffalo AirStation ルーターの設定 以下の情報は Buffalo AirStation のユーザーマニュアルからの抜粋です。. 詳細は次の Web ページで公開されているオンラインマニュアルで確認してください。 http://buffalo.jp/download/manual/ 設定手順 1. CD からエアステーションセットアップソフトウェア AirNavigator をインストールします。 2. 管理するエアステーションに接続します。 3. 左のメニューリストから、Management を選択します。 4. ツリーから Syslog Transmitting をクリックします。 5. Use を選択して syslog メッセージ送信を有効にします。 6. Kiwi Syslog Server を実行するマシンの IP アドレスを入力します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 297 7. Error か Notify を選択しリモートの Syslog Server に記録するメッセージレベルを指定します。 8. Log information から Syslog Server に送信する特定のレポートを選択します。 6.12 Checkpoint FW-1 ファイアーウォールの設定 以下の情報は LogAnalysis フォーラムの投稿を引用しました。 詳細については次の Web ページを参照してください。 http://lists.jammed.com/loganalysis/2001/09/0006.html この情報は Firewall-1 の UNIX バージョンを前提としています。 Checkpoint コマンド $FWDIR/bin/fw log -f で Checkpoint の固有フォーマットからプレーン テキストに変換できます。次に UNIX の logger ユーティリティでプレーンテキストを syslog に変 換します。fw log -f はすべてのネットワーク接続ログをテキストに変換しますので、ファイアー ウォールの停止と再起動の度にすべての接続ログが syslog に変換されます。重複を避けるため、 システムの再起動時には毎回ネットワーク接続ログをローテーションしてください。 また、これによって得られる syslog には、ネットワーク接続ログやホストの OS の標準 syslog には 含まれていないファイアーウォールの稼動状態等の価値ある情報がたくさん含まれています。特 に、ファイアーウォール管理に GUI を使うと管理者の GUI へのログイン/ログアウト、ファイアーウォ ールへの新しいポリシーの発行などを見ることができます。集中ログサーバーにこれらの情報を 記録するには、ファイル$FWDIR/log/cpmgmt.aud を使って上記の logger を実行する必 要があります。 6.13 Cisco 3000 シリーズ VPN コンセントレータの設定 Cisco VPN 3000 シリーズコンセントレータは syslog メッセージおよび SNMP トラップの送信をサポ ートしています。Kiwi Syslog Server はどちらも受信できます。 設定手順については Cisco 社の Web サイトを参照してください。 http://www.cisco.com/web/JP/product/hs/security/vpn3000con/prod_literature.html 6.14 Cisco Catalyst スイッチの設定 set コマンドタイプ CLI を使う Cisco Catalyst スイッチで動作します。旧タイプである 2900 シリーズ や 5000 シリーズのスイッチも対象です。 設定手順: Kiwi Syslog Server Ver.9.4 Rev. 1.2 298 1. スイッチへ Telnet あるいはコンソールケーブルで接続し enable モードに入ります。 2. スイッチの enable プロンプトから次のコマンドを入力します。 Set logging enable Set logging level all 7 default (すべてのファシリティに debug レベルが適用されます) Set logging <Kiwi Syslog Server 実行マシンの IP アドレスまたはホスト名> IOS タイプ CLI を使う新しい Catalyst スイッチの場合は次のコマンドを入力します。 Logging on logging trap warnings (任意のレベル) Logging Facility Local7 (またはこのルーターに割り当る、その他のファシリティ) Logging <Kiwi Syslog Server 実行マシンの IP アドレスまたはホスト名> Catalyst 6000 のロギングについては次の Web ページを参照してください。 http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sw/cat60/65scg2/chapte r28/8978_01_28.shtml および http://www.cisco.com/en/US/products/hw/switches/ps708/products_system_message_guide _chapter09186a008007e784.html (リンク切れ) 6.15 Cisco PIX の設定 Cisco 社の次の Web ページを参照してください。 http://www.cisco.com/cisco/web/support/JP/100/1002/1002233_pixsyslog.html PIX のログメッセージについては下記の Web ページを参照してください。 http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/pix_sw/v_63/63syslog/pixemsgs. htm http://www.cisco.com/japanese/warp/public/3/jp/service/manual_j/sec/pix/slm/chapter02/pix emsgs.html http://www.cisco.com/cgi-bin/Support/Errordecoder/home.pl http://www.cisco.com/univercd/cc/td/doc/product/iaabu/pix/index.htm 注記: TCP プロトコルを使って PIX から syslog メッセージを送信する場合は、次のコマンドも追加し てください。 logging permit-hostdown Kiwi Syslog Server Ver.9.4 Rev. 1.2 299 このコマンドにより、シスログサーバーが停止してもトラフィック転送は続けられるようになります。 このコマンドを指定しない場合、シスログサーバーの TCP 接続が切れると直ちに PIX はトラフィッ ク転送を停止します。 セキュア VPN トンネル経由の PIX SNMP トラップまたは syslog メッセージ送信については次の Web ページを参照してください。 http://www.cisco.com/cisco/web/support/JP/100/1000/1000172_pix_vpn_4094.html 6.16 Cisco ルーターの設定 設定手順: 1. ルーターに Telnet あるいはコンソール経由で接続し、enable モードに入ります。 2. ルーターの enable プロンプトから次のコマンドを入力します。 Config term Logging on Logging Facility Local7 (またはこのルーターに割り当てる、その他のファシリティ) Logging [Kiwi Syslog Server 実行マシンの IP アドレスまたはホスト名] End この他に IOS v11.2 で初めて登場した logging source-interface も有用なコマンドです。 Cisco 社によれば、syslog メッセージにはルーターの出力側インターフェイスの IP アドレスが含ま れています。logging source-interface コマンドで、パケットがルーターから送出されると きに使用されたインターフェイスに関わらず、特定のインターフェイスの IP アドレスを含む syslog パケットを指定することができます。 注記: 一部の IOS バージョンにはバグが存在しますので、必ず logging source-interface コマンドを使用してください。このコマンドを使わないと、送信さ れる syslog メッセージの UDP チェックサムは不正となり、Kiwi Syslog Server が受け取る前に Winsock で廃棄されます。 Cisco ロギングコマンドの詳細については次の Web ページを参照してください。 http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/cs/csprtf/csprtf4/cstr oubl.htm Kiwi Syslog Server Ver.9.4 Rev. 1.2 300 Cisco ワイヤレスデバイス(Aironet)の設定 6.17 設定手順: 1. ワイヤレスアクセスポイントに Telnet あるいはコンソール経由で接続し、enable モードに入り ます。 2. デバイスの enable プロンプトから次のコマンドを入力します。 Config terminal Logging on Logging Facility Local7 (またはこのデバイスに割り当てる、その他のファシリティ) Logging [Kiwi Syslog Server 実行マシンの IP アドレスまたはホスト名] End この他に IOS v11.2 で初めて登場した logging source-interface も有用なコマンドです。 Cisco 社によれば、syslog メッセージにはルーターの出力側インターフェイスの IP アドレスが含ま れています。logging source-interface コマンドで、パケットがルーターから送出されると きに使用されたインターフェイスに関わらず、特定のインターフェイスの IP アドレスを含む syslog パケットを指定することができます。 注記: 一部の IOS バージョンにはバグが存在しますので、必ず logging source-interface コマンドを使用してください。このコマンドを使わないと、送信さ れる syslog メッセージの UDP チェックサムは不正となり、Kiwi Syslog Server が受け取る前に Winsock で廃棄されます。 Cisco ロギングコマンドの詳細については次の Web ページを参照してください。 http://www.cisco.com/univercd/cc/td/doc/product/software/ios113ed/cs/csprtf/csprtf4/cstr oubl.htm 6.18 D-Link DFL-700 ファイアーウォールの設定 以下の情報を提供してくださった Geir Aasmoe 氏に謝意を表明いたします。 詳細については次の Web ページを参照してください。 http://support.dlink.com/products/view.asp?productid=DFL%2D700 (リンク切れ) DFL-700 で syslog メッセージを送信するための設定 Kiwi Syslog Server Ver.9.4 Rev. 1.2 301 1. ファイアーウォールがインストールされ動作していることを確認します。 2. Web ブラウザを立ち上げ、コンフィグレーションパネルを開きます (http://192.168.1.1 )。上部のナビゲーションバーにある System タブをクリックしま す。 3. 左側のナビゲーションバーにある Logging を選択します。 4. Syslog チェックボックスをオンにします。 5. Syslog Server 1 ボックスに Kiwi Syslog Server をインストールしたマシンの IP アドレスを入 力します。 6. 使用する syslog のファシリティを選択します(推奨値: Local7)。 6.19 DLink DL-840V ルーターの設定 以下の情報は DShield 社の Web サイト(http://www.dshield.org/)で公開されているセットアップガ イドからの抜粋です。詳細については次の Web ページを参照してください。 http://www.dshield.org/clients/dlinkhelp DLink DL-840V で syslog メッセージを送信するための設定 1. ルーターがインストールされ動作していることを確認します。 2. Web ブラウザを立ち上げ、コンフィグレーションパネルを開きます (http://192.168.1.1)。上部のナビゲーションバーにある Advanced Settings タブを クリックします。 3. 左側のナビゲーションバーにある Administration Settings を選択します。 4. SYSTEM Log の下の Enable System Log Function をクリックし、Kiwi Syslog Server をイン ストールしたマシンの IP アドレスを入力します。 6.20 FortiGate アンチウィルスファイアーウォールの設定 以下の情報は FortiGate 60 設定マニュアルからの抜粋です。 詳細については次の Web ページを参照してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 302 http://docs.forticare.com/fgt/admin/01-28008-0002-20050909_FortiGate-60_Administration_Gui de.pdf (リンク切れ) FortiGate ユニットから syslog サーバーを実行しているリモートコンピュータへログを送信するため の設定は、CLI または Web インターフェイスから行います。 コマンド構文 config log syslogd setting set <keyword> <variable> config log syslogd setting unset <keyword> get log syslogd setting show log syslogd setting 注記: Web ベースの管理ツールに表示されない syslog 設定のコマンドキーワードのみがファ シリティキーワードとなります。 例: リモート syslog サーバーへのロギングを有効にし、サーバーの IP アドレスとポートおよびユー ザーのファシリティタイプを設定するコマンド config log syslogd setting set status enable set server 220.210.200.190 set port 514 set facility user end リモート syslog サーバーに対するロギングの設定を表示するコマンド get log syslogd setting リモート syslog サーバーに対するロギングのコンフィグレーションを表示するコマンド show log syslogd setting Kiwi Syslog Server Ver.9.4 Rev. 1.2 303 show コマンドを入力したときにプロンプトが返されたときは設定がデフォルトのままであること を示しています。 FortiOS V 2.8 を実行している FortiGate デバイスの設定に関する詳細は次の Web ページを参照し てください。http://kc.forticare.com/default.asp?id=1580&Lang=1&SID= (No data to disply) 6.21 FREESCO ルーター/ファイアーウォールの設定 以下の情報を提供してくださった Bill Hely 氏に謝意を表明いたします。 Freesco (http://www.freesco.org/) は優れたフロッピーベースの Linux ファイアーウォール/ルー ター O/S です。8Mb RAM を搭載した 386sx 以上(486 以上推奨)のハードウェア上で動作します。 オプションの HDD インストレーションではさらに広範な機能を有しアドオンも充実しています。 Freesco は syslog 出力が可能であり、Kiwi Syslog Server で使用するには小さなファイルを 1 つだ け編集する必要があります。 syslog メッセージを送信するための設定 1. Freesco PC に root でログインします。 2. [Linux]プロンプトで、edit /boot/etc/syslog.cfg と入力します。 (既存の syslog.cfg ファイルが表示されます。このファイルでは [TAB] が大文字の I のよう な垂直線として表示されますので注意が必要です)。 3. 既存のファイルの末尾行に、次のエントリを追加します。 *.*[press the TAB key]@192.168.1.20 (IP アドレスは Kiwi Syslog Server の実行コンピュータのアドレスです。IP アドレスの直前に @ を付けます。) 4. Enter キーを押してファイルの最後に空白行を挿入します。 5. Alt + S で変更したファイルを保存します。次に Alt + X でエディタを終了します。 6. F1 を押すと、その他の使用可能コマンドキーのリストが表示されます。 7. Freesco コンピュータを再起動すると変更が有効になります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 304 6.22 HP JetDirect プリンタの設定 HP JetDirect の syslog 設定は HP JetAdmin プログラムまたは内蔵の Web インターフェイスから 行います。 Web インターフェイスに接続するには、ブラウザで http://print_server_address:8000/ (リンク切れ) と入力します。 syslog メッセージを送信するための設定 1. HP ロゴをクリックしてメインメニューを表示します。 2. 使用可能なデバイスの一覧から設定するプリンタを選択します。 3. Configuration リンクをクリックします。 4. 左側のメニューから Network リンクをクリックします。 5. System Log Server にカーソルを移動します。 6. Kiwi Syslog Server 実行マシンのアドレスを入力します。 7. Apply ボタンを押します。 6.23 Intertex ADSL ルーターの設定 以下の情報は IG ADSL ルーターのマニュアルからの抜粋です。 外部の syslog サーバーへのシステムログのエクスポート 本製品の syslog クライアントは、システムログおよびセキュリティログを接続されているコンピ ュータ上で実行中の RFC 3164 準拠 syslog サーバーに送信できます。syslog を有効にするに はコンピュータ上で syslog サーバーが稼動していなければなりません。多くのシェアウェアあ るいはフリーウェアの syslog サーバーがあります。 Kiwi Syslog Server(http://www.kiwisyslog.com)はフリーウェアの Windows 用 syslog サーバー であり製品 CD にバンドルされています。 syslog メッセージを送信するための設定 Kiwi Syslog Server Ver.9.4 Rev. 1.2 305 1. Web ブラウザで Internet Gate Web ページを開きます (デフォルト IP アドレス: 192.168.0.1.)。 2. ログインします。 3. Administration をクリックします。 4. Syslog server フィールドで Kiwi Syslog サーバー実行マシンの IP アドレスを入力します。 5. Save をクリックします。 システムログに記録された新しいイベントもすべて指定した Kiwi Syslog Server サーバーに送信さ れます。 6.24 Linksys ファイアーウォールの設定 Linksys ファイアーウォールは SNMP 経由でメッセージを送信します。Kiwi Syslog Server でポート 162 での SNMP トラップ受信を有効にする必要があります。 syslog メッセージを送信するための設定 1. Kiwi Syslog Server のメイン画面で File -> Setup を選択します。 2. Setup 画面で Inputs -> SNMP オプションを表示します。 3. Listen for SNMP traps チェックボックスをオンにします(デフォルトポートは 162 です)。 Use Linksys Display Filter... をオンにすることもできます。このオプションをオンにすると PPP と PPPoE メッセージが表示されなくなりますが、ログファイルには残ります。Linksys ファイアー ウォールは大量のメッセージを送信する傾向があるため、極めて効果的です。 設定の変更が終わったらシステムを再起動してください。Kiwi Syslog Server の設定が正しく 更新されます。 Linksys ファイアーウォールの吐き出すメッセージは SNMP トラップにエンコードされたテキストメッ セージです。OID 値に対する MIB 参照が実行されますが、有用な情報の多くはテキストに既に含 まれています。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 306 6.25 Linksys ワイヤレス VPN ルーターの設定 新しい Linksys Wireless-G VPN ブロードバンドルーターで syslog メッセージ送信が可能になりまし た。以前の Linksys ファームウェアではアラート送信に SNMP トラップを経由していました。SNMP トラップの設定については前項を参照してください。 syslog メッセージを送信するための設定 1. Web ブラウザから Linksys ルーターへログインします。 2. Administration タブをクリックします。 3. Log タブをクリックします。 4. Syslog notification を表示します。 5. オプションを Enabled にします。 6. Device name にログメッセージを識別するための固有名を入力します。Linksys のままでも 構いません。 7. Kiwi Syslog Server 実行マシンの IP アドレス(例: 192.168.1.100)を入力します。 8. 送信する syslog メッセージのタイプを設定します。デフォルト Informational です。す べてのメッセージのプライオリティが debug となります。 9. Alert Log では通知を受信したいアラートに関係するボックスを選択します。 10. General Log では通知を受信したいメッセージに関係するボックスを選択します。 11. ページ下部の Save Settings リンクをクリックして変更を保存します。 6.26 Lucent ルーターの設定 syslog メッセージを送信するための設定 Ethernet -> Mod Config --> Log... Kiwi Syslog Server Ver.9.4 Rev. 1.2 307 Syslog=Yes Log Host=10.23.45.111 Log Facility=Local5 MAX が Syslog Server にメッセージ送信するように設定するには、Ethernet Profile (Mod Config メニュー)の Log サブメニューを開き、次の作業を行います。 Syslog を Yes にする ホストが MAX と同じサブネット上にない場合、Kiwi Syslog Server の実行ホストの IP アドレス を指定します。. MAX にはホストに対して RIP 経由でのルートもしくはスタティックルートが確立されていなけ ればなりません。 Table 12-3 を参照 "System configuration and administration parameters." "Location Parameters via RIP or a static route." Chapter 10 を参照. "Configuring the MAX as an IP Router." 注記: ダイアルアップ接続しかできない syslog ホストにレポートを送るような設定はしないでく ださい。そのように設定してしまうと、MAX はログアクションの度にログホストにダイヤルしハ ングアップ等を引き起こす可能性があります。 Log Facility パラメータは MAX からのメッセージを識別するために使われます。ログファシリ ティ番号を設定したら、Kiwi Syslog Server でそのファシリティ番号の含まれたすべてのメッセ ージを指定したログファイル(MAX ログファイル)へ書き込むよう設定します。 Actions タブでファシリティ別にログファイルを設定します(あるいは all.debug ですべてのフ ァシリティを取得します)。 パラメータの詳細については、MAX Reference Guide または Lucent 社の Web サイトを参照し てください。 6.27 Meinberg タイムサーバーの設定 以下の情報を提供してくださった Meinberg Funkuhren 社の Heiko Gerstung 氏に謝意を表明いたし Kiwi Syslog Server Ver.9.4 Rev. 1.2 308 ます。詳細については次の Web ページを参照してください。 http://www.meinberg.de/english/products/time-server.htm Meinberg LANTIME タイムサーバー http://www.meinberg.de/english/products/time-server.htm Meinberg Linux ベースタイムサーバーはローカルで生成した syslog エントリを最大 2 つのリモート syslog サーバー(例:Windows ベースの PC と Kiwi Syslog Server 実行サーバー)に転送することが できます。設定はシステムに搭載されている Web 管理インターフェイスを使って行います。 syslog メッセージを送信するための設定 1. LANTIME の Web インターフェイスにログオンします。 2. メインページで Ethernet を選択します。 3. Syslog Server 1 フィールドに Kiwi Syslog Server 実行システムのホスト名か IP アドレスを入 力します(もう 1 台別の syslog サーバーを運用している場合は Syslog Server 2 フィールド に 2 代目の syslog 受信マシンの IP アドレス/ホスト名を入力します)。 4. Save Settings をクリックして設定を保存します。すぐに Kiwi Syslog Server で最初の syslog メッセージの受信を確認できるはずです。 Web ベースの設定インターフェイスは次の Web ページでオンラインデモとして公開されています。 http://www.meinberg.de/cgi-bin/main.cgi (このデモではログオン処理がスキップされています。最初に表示される画面は上記のメインペー ジです) LAN-XPT モジュール搭載 Meinberg GPS 受信機 http://www.meinberg.de/english/products/lanxpt.htm Meinberg GPS 電波時計の代表モデルである GPS167 シリーズは多くの増設用ネットワーク管理モ ジュールに搭載可能であり、SNMP を使用した GPS 電波時計のステータス値の問い合わせができ るようになります。 (GPS167 シリーズについては、http://www.meinberg.de/english/products/gps167.htm を参照) また、これらのモジュールからは syslog メッセージを 1 台の syslog サーバーに送信し、SNMP トラ ップを最大 3 台の SNMP とラップ受信機に送信することができます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 309 モジュールの設定手順 1. Telnet でモジュールのポート 9999 に接続し、ログオンします。 *** Meinberg XPT Setup V1.5 *** MAC address 00204A82B8B8 Software version V0160 (050127) CPK_580_XPTEX [] XPT Password:******** 2. Setup メニューでオプション 4(syslog configuration)を選択します。 4 と入力して[RETURN]を押します。 Change Setup: 1 Network configuration 2 Clock port configuration 3 SNMP configuration 4 SYSLOG configuration 7 factory defaults 8 exit without save (no reboot) 9 save and exit 90 Change password Your choice ? 3. Use SYSLOG logging? という質問に対し Y(=yes) と答えます。 電波時計のマニュアルに書かれている通りに Kiwi Syslog Server 実行システムの IP アドレ スを入力します。 ******** SYSLOG Configuration ******** Use SYSLOG logging? (Y) ? Y Enter IP address for SYSLOG server:(172) .(016) .(003) .(042) 4. 9 と入力して[RETURN]を押し、設定を保存します。モジュール(電波時計全体ではない)が 再起動され syslog サーバーへのステータスメッセージの送信が開始されます。 Meinberg Redundant GPS 電波時計(SCU-XPT ネットワーク管理モジュールに搭載) http://www.meinberg.de/english/products/scu_xpt.htm Kiwi Syslog Server Ver.9.4 Rev. 1.2 310 SCU-XPT モジュールは冗長 GPS 電波時計システムに採用されており、2 つの GPS 電波時計が 動作して SCU-XPT モジュールが出力信号の送信元をこの 2 つの時計のステータスに応じて切り 替えます。このユニットは syslog および SNMP トラップの機能と処理手順という意味では LAN-XPT モジュールと非常に似通っており、LAN-XPT モジュールの設定を変更無しでそのまま使用でき ます。 6.28 Netgear / ZyXEL RT311/RT314 以下の情報は次の Netgear 非公式サポートページからの抜粋です。 http://www.netgear.org Web インターフェイスは syslog 設定をサポートしておりません。Telnet コマンドから実行してくださ い。 syslog メッセージを送信するための設定 Menu 24.3.2 - System Maintenance - UNIX Syslog Syslog: Active= Yes Syslog IP Address= xxx.xxx.xxx.xxx <---- syslog サーバーの IP アドレス Log Facility= Local 1 <----- syslog でも同じグループが設定されていることを確認 Types: CDR= Yes Packet triggered= Yes Filter log= Yes PPP log= Yes 6.29 Netgear ADSL ファイアーウォールルーター DG834 詳細については次の Web ページを参照してください。 http://www.netgear.com/products/details/DG834.php (リンク切れ) syslog メッセージを送信するための設定 1. Web インターフェイスから Netgear ルーターにログインします。 2. 左側の SECURITY の下にある Security logs を選択します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 311 3. Security logs 画面の Syslog の下にある Send to this syslog server IP address チェック ボックスをオンにします。 4. Send syslog to this address フィールドに Kiwi Syslog Server 実行サーバーの IP アドレスを 入力します。 5. Include in Log では送信したいログアイテムを選択できます(任意)。 6.30 Netgear FVS318 VPN ファイアーウォール 以下の情報を提供してくださった Mount Sterling Ohio の Paul Bohn 氏に謝意を表明いたします。 詳細については次の Web ページを参照してください。 http://www.netgear.com/products/details/FVS318.php (リンク切れ) 必要なファームウェアレベル:NETGEAR FVS318 FIRMWARE 1.01j beta 2002 年 8 月 7 日以降 syslog メッセージを送信するための設定 1. Netgear ルーターにサインオンします。 2. 左側の SECURITY の下にある Security logs を選択します。 3. Security logs 画面の SYSLOG チェックボックスをオンにします。 4. Send syslog to this address フィールドに Kiwi Syslog Server 実行サーバーの IP アドレスを 入力します。 6.31 Netgear RP114 ルーター 以下の情報は Netgear RP114 の資料からの抜粋です。 詳細については次の Web ページを参照してください。 http://www.netgear.jp/products/details/RP114.html Web インターフェイスは syslog 設定をサポートしておりません。Telnet コマンドから実行してくださ い。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 312 Menu24.3.2 の System Maintenance の下の UNIX Syslog で sysylog の設定を行うことができま す。Menu 24.3.2 ではルーターが Unix システムログを他のマシンに送信するよう設定します。パラ メータを変更して syslog を有効にしてください。 syslog メッセージを送信するための設定 フィールド: Active コマンド: スペースバーで yes / no を切り替え 説明: syslog オプションのオン/オフが切り替わる フィールド: Syslog IP Address コマンド: a.b.c.d のように小数点付き 4 桁のアドレスを入力。a,b,c,d は 0~255 までの数字 説明: syslog 送信先の IP アドレス フィールド: Log Facility コマンド: Facility 値を入力 説明: 7 個のローカルオプションから選択。メッセージをサーバーの異なるファイルに記録でき る。 フィールド: Types: CDR, Packet triggered, Filter log, PPP log コマンド: すべてスペースバーで yes/no を切り替え 説明: Call detail record (CDR), Packet trigger, Filter event (match or not match), PPP event. の記録を有効にする ローカルホスト上の syslogd プログラムを使ってロギングするためのルーター設定 1. Menu 24.3.2 の System Maintenance の下の UNIX Syslog を表示します。 2. Active を Yes にします。 3. Syslog IP Address フィールドに syslog ホスト PC の IP アドレスを入力します。 4. Log Facility 番号を選択します。 5. 記録するアクティビティのタイプを選択します。 ルーターから送信可能な syslog メッセージ Kiwi Syslog Server Ver.9.4 Rev. 1.2 313 • Call detail record (CDR) • Packet trigger • Filter event log • PPP event log 6. 設定を保存してメニュー画面を閉じます。 6.32 NetScreen ファイアーウォールの設定 以下の情報を提供してくださった George McCashin 氏に謝意を表明いたします。 Web インターフェイスによる設定手順 1. admin ユーザーで Web インターフェイスにログオンします。 2. Configuration -> Report Settings -> Syslog を表示します。 3. Enable Syslog をクリックします。 4. すべてのトラフィックをログ出力させたい場合は Include Traffic Log をクリックします。 5. ログホストアドレスとポート番号を入力します(Kiwi Syslog Server 実行マシンのアドレスと UDP ポート 514) Kevin Branch による追加情報 すべてのタイプの Netscreen ポリシー(permit/deny/tunnel)から受信する全トラフィック を、デフォルトで許可されているログトラフィックと同様にログ出力します(Netscreen が特に拒 否指定されていないセッションを許可するように設定されている場合)。 Log Packets Terminated to Self オプションは Netscreen 全体のセッションとは関係ありませ んが、Netscreen 自身にセッションをログ出力します (Netscreen 管理トラフィックだけですが、 インターネットからのプローブを表示します)。 代わりに、CLI から NetScreen を設定することができます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 314 コマンドラインインターフェイス設定 syslog サーバーの設定に必要なコマンドは以下の通りです。 set syslog config ip_address security_facility local_facility set syslog enable set syslog traffic set log module system level level destination syslog 注記: set syslog config コマンドでは security facility と local facility を定 義することが必要です。syslog コマンドの security_facility と local_facility のオプション一覧については、NetScreen CLI Reference Guide を参照してください。 注記: メッセージレベルごとに set log コマンドを入力する必要があります。レベルのオプシ ョンは以下の通りです。 emergency alert critical error warning notification information 6.33 Nortel Networks ルーターの設定 以下の情報を提供してくださった Flavio Ramos 氏に謝意を表明いたします。 syslog メッセージを送信するための設定 Bay Command Console (BCC)から、次のコマンドを入力してください。 stack# syslog syslog log-poll-timer 10 log-host address <Kiwi Syslog Server 実行 PC の IP アドレス> filter name WILDCARD entity all severity-mask {fault warning} slot-lower-bound 1 slot-upper-bound 14 Kiwi Syslog Server Ver.9.4 Rev. 1.2 315 back back back 6.34 Pack X IDScenter の設定 IDScenter は Windows プラットフォーム用 Snort IDS の設定管理ツールです。 次のサイトからダウンロードできます。 http://www.packx.net/packx/html/en/index-en.htm (リンク切れ) output プラグインを使えばアラートを Kiwi Syslog Server に送信できます。 設定 1. IDScenter メインウィンドウから、左側の IDS Rules タブを選択します。 2. 左側の Output プラグインアイコンを押します。 3. すべての設定済み output プラグインのリストが表示されます。 4. 新しいプラグインの追加は、-> Add ボタンを押し、ポップアップメニューから Syslog Alert Plugin を選択します。 5. ウィンドウの下部にプラグインの設定画面が表示されます。 アラートメッセージを送信する facility と priority (level) を選択します。 Facility: LOG_LOCAL7 Priority: LOG_ALERT 6. 通知するエラー状態をすべてチェックします。 LOG_CONS, LOG_PERROR, LOG_NDELAY, LOG_PID 7. 次に右下の Add ボタンを押します。設定したばかりの syslog アラート output プラグインが リストの一番上に表示されます。 6.35 SnapGear SOHO+ の設定 syslog メッセージを送信するための設定 1. Web ブラウザで、SOHO+の管理コンソールに接続します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 316 2. 左側の SYSTEM セクションの下にある Advanced リンクをクリックします。 3. System Log セクションの下にある System Log リンクをクリックします。 4. Address of remote machine フィールドに Kiwi Syslog Server 実行マシンの IP アドレスまた はホスト名を入力します。 5. Enable remote logging チェックボックスをオンにしてメッセージの送信を有効にします。 6. Submit ボタンを押して変更を適用します。 これでシステムログに記録される新しいイベントはすべて Kiwi Syslog Server サーバーに送 信されるようになります。 6.36 SonicWall ファイアーウォールの設定 SonicWALL ファイアーウォールアプライアンスはリモートの Syslog Server への syslog メッセージ送 信をサポートします。2 台のサーバーまで構成できます。 syslog メッセージを送信するための設定 1. SonicWALL の管理インターフェイスに Web ブラウザで接続し、ユーザー名とパスワードを入 力してログインします。 2. 左側のメニューにある Log ボタンをクリックします。 3. メインディスプレイにタブ付きウィンドウが表示されます。 4. Log Settings タブをクリックします。 5. Sending the Log の Syslog Server 1 フィールドに Kiwi Syslog Server 実行マシンの IP アド レスを入力します。 受信ポートとして 514 以外のポートを使用している場合は、Syslog server port 1 に実際に使用しているポート番号を入力します。 6. Automation で Syslog Format で Webtrends を選択してください。 7. Categories の Log で syslog メッセージとして受信したいイベントタイプをすべてチェックし てください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 317 8. update ボタンを押します。 9. 新しい設定を有効にするには SonicWALL を再起動する必要があります。 SonicWALL が出力する syslog メッセージのレポートを作成するには、RnRSoft ReportGen for SonicWALL をご利用ください。次の Web ページからトライアル版がダウンロードできます。 http://rnrsoft.com/modules/PDdownloads/index.php 6.37 Symantec ファイアーウォール/VPN 200 以下の情報を提供してくださった David Masilott 氏に謝意を表明いたします。 syslog メッセージを送信するための設定 1. Web ブラウザで管理コンソールに接続します。 2. 左側の Advanced の下にある Log Settings リンクをクリックします。 3. Syslog Server フィールドに Kiwi Syslog Server 実行マシンの IP アドレスまたはホスト名を入 力します。 4. 必要に応じて System、Debug、Blocked、Dropped および Attack の中から送信したいメッ セージタイプのチェックボックスをオンにして送信を有効にします。はじめはすべてのメッセ ージタイプを有効にし、記録する情報が多すぎる場合はチェックを減らしてください。 5. Save ボタンを押して変更を適用します。 6. これでシステムログに記録される新しいイベントはすべて Kiwi Syslog Server サーバーに送 信されるようになります。 6.38 Unix マシンの設定 以下の情報を提供してくださった Antonino Iannella 氏に謝意を表明いたします。 syslog メッセージを送信するための設定 1. super user 権限のあるユーザーでログインします。 Unix ホストで以下のファイルを変更するには、super user 権限が必要です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 318 /etc/syslog.conf /etc/hosts 上記のファイルの変更後は Unix マシンの Syslog Server を再起動(HUP)します。 2. vi あるいはご使用のテキストエディターで/etc/hosts ファイルを編集します。 hosts ファイルの例: # # Internet host table # 127.0.0.1 localhost 192.168.230.23 loghost loghost というホスト名のホストにメッセージが転送されます。 Loghost の IP アドレスは Kiwi Syslog Server を実行している Windows マシンまたは NT マシンのアドレスです。 3. vi あるいはご使用のテキストエディターで/etc/syslog.conf ファイルを編集します。 syslog.conf ファイルの例: # Syslog configuration file. # *.err;kern.notice;auth.notice /dev/console *.err;kern.debug;daemon.notice;mail.crit /var/adm/messages *.alert;kern.err;daemon.err operator *.alert root *.emerg @loghost mail.debug @loghost 上記の例では、emerg レベルのすべてのファシリティが loghost(hosts ファイルで 定義したホスト)に転送され、debug レベルのメールアラートも同様に転送されることに 注目してください。一般的には ファシリティ.レベル <TAB> @loghost と指定します。 4. 編集が終わったら、このファイルを保存します。Unix マシンの Syslog Server を再起動するこ Kiwi Syslog Server Ver.9.4 Rev. 1.2 319 とによって変更が有効になります。Syslog Server のプロセス ID を確認し、SIGHUP シグナ ルを送ります。logger コマンドを使って Syslog Server がメッセージを書き出しているかどう かテストしてください。例:logger –p user.emerg Unix test message 5. 正しく動作しているかどうか疑わしいときは man syslogd を再ソートしてみてください。 6.39 VegaStream テレフォニーゲートウェイの設定 以下の情報は VegaStream の技術マニュアルからの抜粋です。 オリジナルは次の Web ページからダウンロードできます。 http://www.vegaassist.com/download/docs/IN_21-Syslog_03.pdf Vega での syslog 設定 Vega ゲートウェイは次にあげる 4 種の syslog 情報をサポートしています。 • Log データ(ログとして表示されるデータと同じ) • Billing / CDR データ(料金として表示されるデータと同じ) • Console audit (全コンソールに対するシリアル、Web、Telnet コマンドすべてのログ) • Debug 情報(デバッグとして表示されるデータと同じ) Vega ゲートウェイでは最大 5 つの syslog セッションをサポートしています。1 つの syslog セッション でこれらの情報のうち 1 つ、あるいは複数の情報を組み合わせて送信するよう設定できます。 Vega が syslog 送信するときに使用するポートは UDP です。 設定手順 1. syslog セッションの設定を行うには、Web ブラウザで左側のメニューから Logging を選択し SYSLOG Configuration の下の SYSLOG を選択します。 2. syslog サーバーのリストから適宜 Add、Delete、Modify を選択します。 3. Name フィールドには自分でわかりやすい名前を入力し、Host にはメッセージ送信先 syslog サーバーの IP アドレスを入力します。 4. Port にはメッセージの出力用 UDP ポート番号を入力します(通常は 514)。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 320 5. このサーバーに送信する情報のタイプを Logging、Billing、Console、Debug の中から選択 し定義します。 6. Submit ボタンを押し、Apply Changes ボタンを押すと変更が適用されて新しい設定が有効 になります。 注記: syslog によってかなり大量のデータトラフィックが発生する可能性があります。複数の syslog ロギングオプションが選択され受信先サーバーを複数設定されている場合は特にこの 傾向が顕著となります。その結果、LAN 帯域やゲートウェイのパフォーマンスに影響が及ぶ ことがあります。 6.40 Watchguard Firebox と Dshield の連携設定 詳細については、次の Web ページを参照してください。 http://live.dshield.org/clients/watchguard_kiwi_setup.php (リンク切れ) 6.41 WatchGuard SOHO ファイアーウォールの設定 以下の情報は WatchGuard Knowledgebase からの抜粋です。 SOHO 2.4.0 以上ではネットワーク経由での syslog サーバーに対するログ送信がサポートされてい ます。syslog は Solaris、CO Unix、BSD、Linux およびその他の*nix 形式のオペレーティングシス テムからログデータを取得する共通サービスです。SOHO では標準ログと同時に syslog 機能が実 行され、バックアップ手段として活用可能です。 しかし、若干の制約があります。syslog サービスでは UDP 514 ポートでネットワークデータを送りま す。SOHO や syslog ホストからはログデータが正確に配信されたかどうか確認できません。syslog 仕様によればデータの暗号化はされません。 設定は簡単です。次の手順に従ってください。 syslog メッセージを送信するための設定 1. SOHO の設定インターフェイスを開きます。 2. System Administration をクリックします。 3. Syslog Logging をクリックします。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 321 4. Enable Syslog output チェックボックスをオンにします。 5. Kiwi Syslog Server 実行ホストの IP アドレスを入力します。 6. syslog はログデータの暗号化を行いません。syslog を悪意のあるネットワーク経由で送信し ないよう設定時には十分気を付けてください。 7. Submit をクリックします。 8. SOHO を再起動します。 6.42 W-Linx MB ブロードバンドルーターの設定 以下の情報を提供してくださった Philipp Beckers 氏に謝意を表明いたします。 詳細については次の Web ページを参照してください。 http://www.w-linx.com.tw/products/multifunction/soho_mate.htm (リンク切れ) syslog メッセージを送信するための設定 1. Web ブラウザで W-Linx ボックス(http://192.168.1.254)に接続し、 admin でログインします。 2. Advanced Setting をクリックし、System Log を表示します。 3. IP Address for Syslog フィールドに Kiwi Syslog Server 実行 PC の IP アドレスを入力します。 4. enable チェックボックスがオンになっていることを確認し、save をクリックします。 5. ルーターを再起動すると syslog が使用可能になります。 6.43 ZyXEL ZyWALL 10 の設定 以下の情報を提供してくださった Killian McCourt 氏に謝意を表明いたします。 詳細については次の Web ページを参照してください。 http://www.netgear.org Kiwi Syslog Server Ver.9.4 Rev. 1.2 322 Web インターフェイスからは syslog 設定は行えません。Telnet コマンドラインインターフェイスもしく はコンソールポート経由でのみ設定可能です。 syslog メッセージを送信するための設定 Menu 24.3.2 - System Maintenance - UNIX Syslog Syslog: Active= Yes Syslog IP Address= xxx.xxx.xxx.xxx (syslog サーバーの IP アドレス) Log Facility= Local 1 (ファシリティレベル) Types: CDR= No Packet triggered= No Filter log= No PPP log= No Firewall log= Yes VPN log= No 上記の設定方法は Netgear / ZyXEL RT311/RT314 とほとんど同じです。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 323 7 SNMP トラップ送信デバイスの設定 この章では SNMP トラップ送信可能なネットワーク機器の設定について説明します。 本書に記載されていない SNMP トラップ送信可能デバイスについての情報をお持ちでしたら、下記 サイトからお知らせください。次回のマニュアル更新時に情報を追加させていただきます。 http://www.solarwinds.com/support/ 7.1 Cisco IOS SNMP トラップのサポート設定 Cisco 標準 IOS ソフトウェアを実行する Cisco デバイス(各種ルーター、ATM スイッチ、リモートアク セスサーバー)は多くの SNMP トラップを送信できます。 サポート対象 Cisco IOS SNMP トラップおよび設定手順については次の Web ページを参照してく ださい。 http://www.cisco.com/cisco/web/support/JP/100/1001/1001716_snmp_traps.html Kiwi Syslog Server Ver.9.4 Rev. 1.2 324 8 Syslog Server エラーと E メールログ ここでは、Syslog Server のログについて説明します。 8.1 エラーログ Kiwi Syslog Server がログファイルにメッセージを書き込めない時や、ログファイルのアーカイブに 問題がある時、エラーログテキストファイルにエラーを記録します。エラーログテキストファイルは、 Kiwi Syslog Server をインストールしたフォルダの直下にある Errorlog.txt です。 Kiwi Syslog Server で発生したその他のエラーもこのファイルに記録されます。 8.2 エラーログファイルの表示 Kiwi Syslog Server のメイン画面から View -> View error log file を選択する、もしくは Ctrl+R を 押すとエラーログが記録されている場合はメモ帳で Errorlog.txt が開きます。 8.3 SMTP メールログ アラーム通知メールや、日別統計が E メールで送信されると詳細が送信メールログファイルに記 録されます。送信メールログファイルは、Kiwi Syslog Server をインストールしたフォルダの直下に ある SendmailLog.txt です。 8.4 E メールログファイルの表示 Kiwi Syslog Server のメイン画面から View ->View e-mail log file を選択する、もしくは Ctrl+M を 押すと、メールログが記録されている場合はメモ帳で SendmailLog.txt ファイルが開きます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 325 9 Syslog プロトコル この章では、syslog プロトコルについて説明します。 9.1 Syslog ファシリティ 各 syslog メッセージにはテキストの先頭にプライオリティ値が付けられています。プライオリティは 0~191 までの値であり、ファシリティ値とレベル値で構成されます。プライオリティは<>で括られ ています。 以下は BSD Unix の syslog メッセージの一例です。 <PRI>HEADER MESSAGE プライオリティは 0~191 の値です。スペースを挿入したり先頭桁を 0 埋めしたりしないでください。 syslog メッセージフォーマットの詳細については、RFC 文書を参照してください。 ファシリティは、マシンのどのプロセスによって生成されたメッセージであるかを示しています。 syslog プロトコルは当初 BSD Unix 用に開発されたものであるため、ファシリティは Unix のプロセス やデーモンの名前が反映されています。 プライオリティは次の式で計算されます。 Priority = Facility * 8 + Level ファシリティの一覧 0 kernel messages 1 user-level messages 2 mail system 3 system daemons 4 security/authorization messages 5 messages generated internally by syslogd 6 line printer subsystem 7 network news subsystem 8 UUCP subsystem 9 clock daemon (note 2) 10 security/authorization messages 11 FTP daemon 12 NTP subsystem 13 log audit Kiwi Syslog Server Ver.9.4 Rev. 1.2 326 14 log alert 15 clock daemon (note 2) 16 local use 0 (local0) 17 local use 1 (local1) 18 local use 2 (local2) 19 local use 3 (local3) 20 local use 4 (local4) 21 local use 5 (local5) 22 local use 6 (local6) 23 local use 7 (local7) Unix システムからメッセージを受信している場合、まずはファシリティとして User を指定してくだ さい。Local0~Local7 は Unix では使用されておらず、通常はネットワーク機器が使用します。 例えば、Cisco ルーターは Local6 と Local7 を使用します。 9.2 Syslog レベル 各 syslog メッセージにはテキストの先頭にプライオリティ値が付けられています。プライオリティは 0~191 までの値であり、ファシリティ値とレベル値で構成されます。プライオリティは<>で括られ ています。 以下は BSD Unix の syslog メッセージの一例です。 <PRI>HEADER MESSAGE プライオリティは 0~191 の値です。スペースを挿入したり先頭桁を 0 埋めしたりしないでください。 syslog メッセージフォーマットの詳細については、RFC 文書を参照してください。 ファシリティは、マシンのどのプロセスによって生成されたメッセージであるかを示しています。 syslog プロトコルは当初 BSD Unix 用に開発されたものであるため、ファシリティは Unix のプロセス やデーモンの名前が反映されています。 プライオリティは次の式で計算されます。 Priority = Facility * 8 + Level セベリティレベルの一覧 0 Emergency: システム使用不可 1 Alert: 対応至急必要 2 Critical: 危険な状態 Kiwi Syslog Server Ver.9.4 Rev. 1.2 327 3 Error: エラー発生 4 Warning: 警報発生 5 Notice: 正常だが重大な事態 6 Informational: 情報 7 Debug: デバッグレベルメッセージ 通常のメッセージには Notice または Informational レベルを指定してください。 セベリティレベルの詳細 DEBUG アプリケーションのデバッギング用で開発者にとっては有用だが、オペレーターには有 用でない情報 INFORMATIONAL 通常のオペレーションで発生するメッセージ –レポート作成やスループット測定等に活 用される場合がある。対応不要。 NOTICE 異常ではあるがエラーではないイベント – 緊急な対応は不要だが問題が発生する可 能性があるため概要を開発者や管理者にEメールで連絡してもよい。 WARNING 警告メッセージ – エラーではないが、何らかの対応を怠るとエラーが発生する可能性を 示す。例:file system 85% full – 一定時間内での対応が必要 ERROR 緊急ではないが障害が発生していることを示す - 開発者か管理者に連絡する必要が ある。一定時間内に解決する必要がある。 ALERT 至急に解決する必要がある障害が発生していることを示す – 問題解決できるメンバー に連絡 – 例:予備の ISP 接続の切断 Kiwi Syslog Server Ver.9.4 Rev. 1.2 328 CRITICAL 至急に解決する必要がある障害が発生しており、主要システムに問題があることを示す – ALERT よりも優先して対応する必要がある。 – 例:ISP との手接続の切断 EMERGENCY 緊急対応を要するパニック状態が発生していることを示す – 多くのアプリケーション、 サーバー、サイト等に影響を及ぼすような状況(地震/竜巻など)であるため、技術スタッ フ全員に通知する必要があるかもしれない。 9.3 Syslog プライオリティ 各 syslog メッセージにはテキストの先頭にプライオリティ値が付けられています。プライオリティは 0~191 までの値であり、ファシリティ値とレベル値で構成されます。プライオリティは<>で括られ ています。 以下は BSD Unix の syslog メッセージの一例です。 <PRI>HEADER MESSAGE プライオリティは 0~191 の値です。スペースを挿入したり先頭桁を 0 埋めしたりしないでください。 syslog メッセージフォーマットの詳細については、RFC 文書を参照してください。 プライオリティは次の式で計算されます。 Priority = Facility * 8 + Level 手動で特定のプライオリティを設定するには Priority フィールドに数字を入力し Use this value チェックボックスをオンにします。入力した値は syslog メッセージの <PRI> フィールドに 送られます。191~255 まで使用できます。191 以上は不正な値であり不測の結果を引き起こす 可能性があります。 9.4 転送 Kiwi Syslog Server は UDP と TCP 両方のメッセージも受信します。通常 syslog メッセージは UDP で送信されます。Cisco PIX ファイアーウォール等一部のネットワークデバイスは、TCP でメッセー ジを送信し Kiwi Syslog Server からの受信応答を待ってパケットが確実に届いたかどうか確認しま す。 UDP を使ってメッセージを送信する際の受信ポートは通常 514 です。 TCP を使ってメッセージを送信する際の受信ポートは通常 1468 です。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 329 Kiwi Syslog Server で使用されるポートについては「Kiwi Syslog Server で使用するポート」をご参照 ください。 9.5 Syslog RFC 3164 ヘッダーフォーマット HEADER 部分には時刻とデバイスのホスト名または IP アドレスが入ります。 HEADER には TIMESTAMP と HOSTNAME というフィールドがあります。 PRI の > の直後に TIMESTAMP が入り、1 つスペースを空けて HOSTNAME フィールドが入り ます。TIMESTAMP と HOSTNAME の間には必ず 1 文字分のスペースが入ります。 HOSTNAME にはその名の通りホスト名が入ります。ホスト名が指定されていなければ IP アドレス が入ります。 TIMESTAMP には現地時刻が入りそのフォーマットは Mmm dd hh:mm:ss です。 MSG 部分には TAG と CONTENT というフィールドがあります。TAG フィールドにはメッセージを 生成したプログラム名またはプロセス名が入ります。CONTENT にはメッセージの詳細が入ります。 イベント情報などを自由に書けるフリーフォームのメッセージです。TAG には ABNF 英数字で 32 文字以内の文字列が入ります。英数字以外の文字を入力すると、そこが TAG フィールドの終点で CONTENT フィールドの始点とみなされます。通常、CONTENT フィールドの開始文字は[、:また はスペースであり、これは同時に TAG フィールドの終点を意味します。 Kiwi SyslogGen によって生成されるメッセージのフォーマットは次の通りです。 <PRI>Jul 10 12:00:00 192.168.1.1 SyslogGen MESSAGE TEXT BSD Syslog プロトコルについては RFC 3164 で議論されています http://community.roxen.com/developers/idocs/rfc/rfc3164.html syslog プロトコル全般については次の Web ページを参照してください。 http://www.sans.org/infosecFAQ/unix/syslog.htm (リンク切れ) 9.6 Kiwi Reliable Delivery Protocol (KRDP) 背景 Kiwi Reliable Derivery Protocol はネットワーク障害で TCP 接続が切断されたときにデータが 喪失する問題を解決するために設計されました。 KRDP は TCP プロトコルを利用しています。送信パケットに番号が付けられ受信すると応答 があるため各パケットが順番に確実に送信されます。受信システムの TCP プロトコルはパケ Kiwi Syslog Server Ver.9.4 Rev. 1.2 330 ット順に処理し、失われたパケットが再送されていることを確認します。 問題点 TCP は接続の開閉に問題がないときには信頼できる転送を行います。TCP ハンドシェイクが 閉じられるあいだ、通常、転送途中のパケットの受信が済み、応答があってから接続が閉じ られます。 しかし、メッセージ送信中にネットワークが切断されると、送信者は TCP ウィンドウサイズまで パケット送信を継続します。タイムアウトを過ぎても応答がないと Winsock スタックはタイム アウトイベントを実行します。この場合どのメッセージまで(あるいはメッセージのどの部分ま で)正確に受信しリモートホストから応答があったかを正確に知ることは不可能です。 Winsock スタックバッファのデータは失われます。TCP ウィンドウサイズとデータ送信速度に もよりますが、失われるメッセージは数 100 に達すると思われます。 解決策 KDRP は TCP 転送の上に別の応答とシーケンスレイヤーを追加します。KRDP は各 syslog メ ッセージを固有のシーケンス番号を含むヘッダーでラップします。KRDP 送信者は送信した各 メッセージのローカルコピーを保存します。KRDP 受信者は最後に受信した KRDP ラップ済み syslog メッセージに対して定期的に応答を返します。応答を受信したら、KRDP 送信者は応答 済みの最終シーケンス番号までのローカル保存メッセージを削除しても構いません。接続が 切れ、再接続されたときには、受信者はどのメッセージの再送が必要かを送信者に連絡しま す。 各 KRDP 送信者は固有の接続名で識別されます。このため送信者と受信者は同じセッション とシーケンス番号で再接続ができます。DHCP などにより送信者の IP アドレスや送信ポート などが変更されても大丈夫です。 固有のメッセージシーケンス 各 KRDP メッセージは固有のシーケンス番号で識別されます。シーケンスは 1 から始まり 2147483647(20 億)まで 1 ずつ増加し、2147483647 に到達したら 1 に戻ります。メッセージ番 号 0 は、システムで最終番号を認識できないことを示し、新たに番号を振り直す必要がある 場合に使用されます。このような場合、送信者側と受信者側の双方でメッセージが喪失した ことを示すエラーが記録されます。 外国文字の処理 Unicode はすべての外国文字を既知のバイトシーケンスにマッピングします。非 US-ASCII 文 Kiwi Syslog Server Ver.9.4 Rev. 1.2 331 字は 1 文字あたりに複数バイト使用します。TCP でこれらの複数バイト文字を送信するときに 最も多く使用されているのは、UTF-8 エンコーディングを利用する方法です。KRDP 送信者は syslog メッセージを UTF-8 でエンコードし、KRDP 受信者は Unicode にデコードします。 KRDP メッセージのフォーマット Sender (S) Receiver (R) メッセージタイプ (MsgType): 00 = SenderID 01 = ReceiverResponse 02 = Sequenced message 03 = Message acknowledgement 04 = Receiver KeepAlive 99 = Error message メッセージフォーマット: KRDP AA 0000000000 Message<CR> KRDP = Unique tag Space (ASCII 32) AA = Msg type (as above) Space (ASCII 32) 0000000000 = Sequence number 0 to 2147483647 Space (ASCII 32) Message = UTF-8 encoded message text <CR> = Carriage return character ASCII 13 to indicate end of message stream イベントのシーケンス: S connects via TCP S sends first ID packet (MsgType 00) R responds with ReceiverResponse message (MsgType 01) S sends sequenced messages (MsgType 02) Kiwi Syslog Server Ver.9.4 Rev. 1.2 332 ルール: 1. If the first message R receives is not a ID message (MsgType 00), R disconnects. (Any data received is ignored). 2. If R does not receive ID message after 60 seconds, R disconnects. 3. After S sends the ID message, S will wait up to 60 seconds for a ReceiverResponse message. If there is no response, S will disconnect session. 4. R sends ACK messages to S with the next expected message sequence 5. ACK messages are sent no more frequently than once every 200ms メッセージフォーマット: MsgType 00 (Version and SenderID) KRDP 00 PV UniqueKey<CR> The unique key identifies the channel and is used to synchronise the message numbers PV = Protocol Version to use. 01 = KRDP Reliable/Acknowledged Unique key format is free form. An example would be: "IP=192.168.1.1, Host=myhost.com, ID=Instance1" Or, just: "Instance1" Since the receiver might already have an "Instance1" name from another source, the first UniqueKey would be better. Use as much information to uniquely describe the source of the messages MsgType 01 (ReceiverResponse message) KRDP 01 0000000000 Listener ID<CR> Message number is 10 digit number 0000000000 to 2147483647 MsgType 02 (Sender Message content) KRDP 02 0000000000 Message content<CR> Message number is 10 digit number 0000000000 to 2147483647 MsgType 03 (Receiver ACK) Kiwi Syslog Server Ver.9.4 Rev. 1.2 333 KRDP 03 0000000000 ACK<CR> Message number is 10 digit number 0000000000 to 2147483647 Message number indicates the next sequence number it expects to receive ACK messages are sent at a maximum rate of once every 200ms MsgType 04 (Keep alive) KRDP 04 0000000000 KeepAlive<CR> Message number is 10 digit number 0000000000 to 2147483647 Message number = Next expected message number If being sent by Sender, MsgSeq should be set to 0 If being sent by Receiver, MsgSeq should be set to next expected message number MsgType 99 (Error) KRDP 99 0000000000 0000 Error message here<CR> Message number is 10 digit number 0000000000 to 2147483647 Message number indicates which message caused the error if any. Set to zero (0) if not related to message number 0000 = Error number (0000 to 9999) Error message can be any text 9.6.1 KRDP エラーメッセージ Error 1000 - Unable to decode the following message: <不正メッセージ> 正しくエンコードされなかった、あるいは破損したメッセージを受信しました。メッセージを参照 してデバッグしてください。 Error 1001 - Sender is unable to supply message number: <NextMsgSeq>. Starting again from 0. Sender ID:<UniqueSenderID> シーケンス番号 1 以上のメッセージを受信するはずでしたが送信者がメッセージを送信でき なかったたため、0 から再スタートする必要があります。受信者は送信者と同期を取りなおし ます。 Error 1002 - Missed message number: <NextMsgSeq>. Received: <ActualMsgSeq> on ID: <UniqueSenderID> 受信するはずだったメッセージ番号のメッセージを受信できませんでした。受信者は送信者と Kiwi Syslog Server Ver.9.4 Rev. 1.2 334 同期を取りなおします。 Error 1003 - Received unexpected message data. Message ignored. Sender ID: <UniqueSenderID> 予期しないメッセージを受信しました。このデータは無視されます。 Error 1004 - First message did not contain Sender ID. Connection closed. 接続確立後に最初に受信したメッセージに送信者 ID が含まれていませんでした。受信者側 でその接続を閉じました。 Error 1005 - Unable to send Expected message number reply. Connection closed. 受信者側から確立されている接続を通じて応答メッセージを送信できませんでした。受信者 側でその接続を閉じました。 Error 1006 - Unable to send error message. 受信側から確立されている接続を通じてエラーメッセージを送信できませんでした。 Error 1007 - Unable to send KeepAlive message. Connection closed. 受信側から確立されている接続を通じてキープアライブメッセージを送信できませんでした。 受信者側でその接続を閉じました。 Error 1008 - Unable to send KeepAlive to connection: <UniqueSenderID> 受信側から確立されている接続を通じてキープアライブメッセージを送信できませんでした。 Error 1009 - Unable to send ACK to connection: <UniqueSenderID> 受信側から確立されている接続を通じて ACK メッセージを送信できませんでした。 Error 1099 - <送信者からのメッセージ> 1099 エラーを発信することによって送信者から受信者にエラー発生を通知できます。メッセー ジは送信者からのものです。 Error 1010 - Unexpected message received. Type: <MsgType>. Message content: <Message Content> 予期しないタイプのメッセージを受信しました。メッセージを参照してデバッグしてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 335 10 問題の解決 ここでは、Kiwi Syslog Server でログが表示されない問題の解決方法を説明します。 10.1 問題を解決するには メッセージが表示されない、あるいはログが記録されない • 送信デバイスから Kiwi Syslog Server マシンに Ping してネットワーク接続に問題がないか 確認してください。 • 複数の Kiwi Syslog Server インスタンスが稼動していないか確認してください(Ctrl+ Alt+Del でタスクリストを表示できます)。 • ZoneAlarm や BlackIce のようなパーソナルファイアーウォールを無効にしてくださ い。 • コマンドプロンプトからホスト名で Ping し、DNS が正しく解決されているか確認して下さい。 • 受信したいメッセージのファシリティとレベルに対し Display アクションの設定がされている ことを確認してください。 • Ctrl+T でテストメッセージを送信してください。 次の Web ページから無料の Syslog Server Message Generator (SyslogGen)をダウンロー ドしてください。http://www.kiwisyslog.com/kiwi-sysloggen-download/ • Kiwi SyslogGen をインストールし、127.0.0.1 (ローカルホスト)に 1 秒ごとにメッセージを 送ってください。メッセージが表示された場合は、問題はルーター、スイッチ、Unix ボックス 等 syslog メッセージ送信側デバイスにあります。 • 他のマシンから Kiwi SyslogGen で Kiwi Syslog Server 実行ホストにメッセージを送信してく ださい。 • メッセージ送信デバイスから送られてくるメッセージにプライオリティ値が含まれていない 可能性があります。Kiwi Syslog Server の Setup 画面の Modifiers オプションでデフォル トのプライオリティ値を設定してください。Setup 画面を表示するには Kiwi Syslog Server のメイン画面から File -> Setup を選択します。 • Cisco ルーターからのメッセージを受信できていない場合、 Logging source-interface コマンドで送信元のインターフェイスを指定してくださ い。Cisco IOS のバグにより、このコマンドで指定しないと UDP チェックサムが不正になり ます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 336 まだ Kiwi Syslog Server にメッセージが表示されない • コンピュータを再起動してください(可能ならば電源を切ってください)。 • IP アドレス解決を行わないよう、DNS 設定を無効にしてください。 • Alarm と Statistics 通知オプションのチェックをはずし、E メール送信を無効にしてくださ い。 • Defaults/Import/Export の Load default Rules and Settings ボタンをクリックしてください。 次に OK をクリックして変更を適用してください。 • Kiwi Syslog Server のエラーログファイルを表示して、役に立ちそうな情報がないか確認し てください。エラーログファイルは、Kiwi Syslog Server をインストールしたフォルダ直下に ある Errorlog.txt です。 • エラーログファイルの中に Kiwi Syslog Server が特定のポートをバインドできないことを示 すメッセージを見つけたら、そのポートを使用しているアプリケーションを閉じてから Kiwi Syslog Server をもう一度再起動してください。詳細については次の Web ページにある FAQ を参照してください。http://www.solarwinds.com/support/ まだ Kiwi Syslog Server にメッセージが表示されない 上記の作業を行ってもまだ問題が解決しない場合は、次の Web ページからアクセスできるサ ポートフォームに記入して詳細をお知らせください。その際は問題の早期解決のため、できる だけ詳細な技術情報をご記入ください。http://www.solarwinds.com/support/ 10.2 Windows XP SP2 / Windows 2003 Server SP1 上で使用する場合の注 意事項 Windows XP Service Pack 2/Windows 2003 Server Service Pack 1 をインストールすると、デフォル トで Windows のファイアーウォール機能がオンになります。このままだと Kiwi Syslog Server へのト ラフィック転送がすべてブロックされてしまいます。 この問題を解決するには Windows のファイアーウォールの設定で例外を作成する必要がありま す。 次の手順でファイアーウォールの例外を設定してください。 1. Windows の コントロールパネル -> Windows ファイウォール を開きます。 2. 例外 タブを選択します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 337 3. ポートの追加 ボタンを押します。 4. 名前 と ポート番号 をそれぞれ入力し、TCP と UDP のどちらかを選択します (デフォルトでは Kiwi Syslog Server は UDP ポート 514 を使用します)。 Kiwi Syslog Server 側で受信用として異なるポートを指定した場合は、指定したポートごとに 例外を作成する必要があります。例えば、SNMP トラップを受信するよう設定してある場合 は UDP ポート 162 を許可する例外を作成する必要があります。 上記の設定を行ってもまだ問題が解決しない場合は、次の Web ページからアクセスできるサポー トフォームに記入して詳細をお知らせください。http://www.solarwinds.com/support/ また、前項の「問題を解決するには」も参照してください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 338 11 上級者向け情報 この章では、レジストリ値を編集して Kiwi Syslog Server のチューニングを行う、コマンドプログラム からの起動する、Kiwi Syslog Server を自動インストールする等上級者向けの情報を提供します。 11.1 Kiwi Syslog Server のレジストリ設定 以下では Kiwi Syslog Server に影響を与えるレジストリ値について解説します。 レジストリを変更する前に、Kiwi Syslog Server が停止していることを確認してください。 サービス版を使用している場合は、Kiwi Syslog Service Manager の Manage -> Stop the Syslogd service をクリックし、サービスを停止してください。 レジストリ値の表示および変更には、RegEdit を使用します。 レジストリ値を変更後、Kiwi Syslog Server を再起動することによって新しい値が読み込まれます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 64 ビット Windows に Kiwi Syslog Server をインストールした場合、Kiwi Syslog Server は WOW (Windows on Windows) 32 ビットエミュレーションモードで稼働します。 WOW モードの場合、SolarWinds レジストリは HKEY_LOCAL_MACHINE\Software ではなく、 HKEY_LOCAL_MACHINE\Software\WOW6432Node 以下に登録されます。 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 339 11.1.1 Display (表示) – 有効列 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DisplayColumnsEnabled 最小値: 0 最大値: 31 デフォルト値: 31 タイプ: 0-31 までの 10 進数 ディスプレイに表示する列数を指定します。通常はすべての列が表示されます。 値を設定することで、表示列を有効にしたり無効にしたりすることができます。 各列は 0 または 1 に設定されるバイナリービット値で表されます。 ビット数 10 進数 列名 0 1 Date 1 2 Time 2 4 Priority 3 8 Hostname 4 16 Message text 全列を表示する場合は、31 を設定します。 Message text (16) および Hostname (8)列を表示するには、24 (16 + 8 = 24)に設定します。 Message text (16) および Time (2)列を表示するには 18 (16 + 2 = 18)に設定します。 Message text 列のみを表示するには 16 に設定します。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 340 11.1.2 表示 – デフォルトの行の高さ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DisplayRowHeight 最小値: 5 最大値: 50 デフォルト値: 15 タイプ: 行の高さ(ピクセル) ディスプレイに表示する行のデフォルトの高さを指定します。指定した高さよりも表示されるフォン トの高さが高い場合はテキストに合わせて自動調整されます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.3 統計メール配信時刻 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: MailStatsDeliveryTime 最小値: 00:00 最大値: 23:59 デフォルト値: 00:00 タイプ: HH:MM 日別統計 E メールの送信時刻を指定します。デフォルトでは真夜中(00:00)に送信されます。統計 メールを午後 6 時に送信するには 18:00 と設定します。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 341 11.1.4 サービス – 開始/停止 タイムアウト セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ServiceStartTimeout 最小値: 1 最大値: 120 デフォルト値: 30 タイプ: 秒 どのくらいの時間 Service Manager がサービスの開始あるいはサービスの停止を待つかを指定 します。設定済みのアクションが 10 以上ある場合、あるいは 300Mhz 以下の CPU を搭載したマシ ン上で実行している場合は、適宜この値を大きくしてください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.5 サービス – プロパティ更新タイムアウト セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ServiceUpdateTimeout 最小値: 1 最大値: 120 デフォルト値: 5 タイプ: 秒 どのくらいの時間 Service Manager がプロパティ更新の完了を待つかを指定します。設定済みの アクションが 10 以上ある場合、あるいは 300Mhz 以下の CPU を搭載したマシン上で実行している 場合は、適宜この値を大きくしてください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 342 11.1.6 サービス – アプリケーション間通信ポート セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: NTServiceSocket 最小値: 1 最大値: 65535 デフォルト値: 3300 タイプ: TCP ポート番号 Kiwi Syslog Server の Manager はサービスと TCP 3300 ポートを使って通信を行います。2 つのア プリケーションとの通信が可能です。サービスは表示するメッセージ、警告、統計情報を Manager に送り、受信したらすぐに表示できるようにします。他のプロセスが同じポートを使用している場合 は、値を変更してください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.7 サービス – 依存関係 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: NTServiceDependencies デフォルト値: ブランク タイプ: サービス名のテキスト 複数指定する倍はセミコロン(;)で区切る 例: ServiceName1;ServiceName2;ServiceName3 サービスの依存関係 大半のオペレーティングシステムでは、サービスは問題なく開始されます。Windows 2000 Server システムの一部には他のいくつかのシステムサービスの開始を待ってからでないと開 始できないものもあります。そうしないと再起動後にコンソールの画面上に One or more system services failed to start (1 つ以上のシステムサービスが開始されませ んでした)というエラーメッセージが表示されます。 必要なサービスが確実に開始されてから Kiwi Syslog Server が開始されるようにするには、 上記のレジストリ設定を変更する必要があります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 343 サービスの依存関係の追加手順 1. RegEdit を起動します。 2. HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties セクションを表示します。 3. NTServiceDependencies という名前で文字列値を新規作成します。 4. 最初に開始するサービスのリストが含まれるよう値を変更します。 例: LanmanWorkstation;TCPIP;WMI 上記の例では、Workstation、WMI (Windows Management Interface)および TCP/IP の各スタックサ ービスが実行中であることを確認してから Kiwi Syslog Server サービスの起動試行を行います。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.8 サービス – デバッグ開始 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Options 文字列値: DebugStart デバッグ有効: 1 デバッグ無効: 0 タイプ: 文字列 この値を 1 に設定するとサービスと Manager の両方のデバッグが有効になります。 コマンドラインの値: DEBUGSTART 適用: Syslogd.exe、Syslogd_Service.exe と Syslogd_Manager.exe 効果: レジスト値を 1 に設定してプログラムを実行すると、Kiwi Syslog Server をインストールしたフォ ルダの直下にデバッグファイルが作成されます。ファイル名は実行ファイルの名前によって異 なります(下記参照)。デバッグファイルにはプログラムの起動とソケット初期化ルーチンの結 果が記録されます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 344 作成されるファイル: アプリケーション版 = Syslogd_Startup.txt Syslog サービス = Syslogd_Service_Startup.txt Syslog Manager = Syslogd_Manager_Startup.txt 使用タイミング: プログラムが Input 設定オプションで指定したポートのメッセージを受信していないように見 えるときは、Startup デバッグファイルをチェックしてソケットの初期化が正常に行われたかど うか確認してください。起動時にプログラムがクラッシュしているような場合に、どこに問題が あるのかを探す手助けになります。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.9 DNS – ビジー時に待機を無効にする セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DNSDisableWaitWhenBusy 最小値: 0 最大値: 100 デフォルト値: 10 タイプ: パーセンテージ ビジー時に待機を無効にする 通常、DNS キャッシュ内に IP アドレスが見つからない場合、プログラムは IP アドレスが解決さ れるまで一定時間待機します。負荷が高い環境下では、この遅延がメッセージ入力バッファ を満杯にしてしまい、新しいメッセージを取りこぼす結果になることがあります。 このオプションは、入力メッセージバッファの最大容量を指定してそれを超えたら DNS の解決 待機を無効にすることができます。デフォルトでは、入力バッファが 10%に達すると Kiwi Syslog Server は IP アドレスの解決待機を止めるようになっています。 プリエンプティブルックアップを有効にしていると、バックグラウンドで IP アドレス解決が続行さ れ結果がキャッシュに入ります。このオプションはバッファに負荷がかかっている間のみ Kiwi Syslog Server Ver.9.4 Rev. 1.2 345 DNS timeout の待ち時間を無効にします。解決されるまで待たずにバッファに入ったメッセー ジを処理することができるようプログラムを開放します。 入力バッファレベルが設定値を下回ると、通常の待機タイムアウトが再び有効になります。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.10 DNS – 最大キャッシュサイズ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DNSCacheMaxSize 正規登録版: 最小値: 50 最大値: 1000000 デフォルト値: 20000 タイプ: キャッシュエントリの最大数 キャッシュエントリの最大数: キャッシュバッファメモリーサイズを制限します。正規登録版では 1,000,000 エントリまで可能 です。キャッシュに保存したい IP アドレスの数を設定します。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.11 DNS キャッシュの参照失敗 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DNSCacheFailedLookups 最小値: 0 最大値: 1 Kiwi Syslog Server Ver.9.4 Rev. 1.2 346 デフォルト値: 1 タイプ: 1=DNS キャッシュ参照失敗, 0=DNS キャッシュ参照成功 DNS キャッシュの失敗参照 失敗した参照をキャッシュに溜めることによって DNS 名前解決をスピードアップします。DNS サーバーが有効な応答を返しているがその中に解決済みの名前が含まれていないようなと き、Kiwi Syslog Server はその応答をキャッシュに保存して同様の問合せが DNS サーバーに 繰り返し送信されないようにします。このような処理は、DNS サーバー自体が未知の IP アドレ スやホスト名をその DNS サーバーに対して問い合わせるようなときに行われます。タイムア ウトするのではなく、DNS サーバーからは NAME NOT FOUND という有効な応答が返されま す。このような応答がキャッシュに溜められて検索できない名前の問合せが繰り返し DNS サ ーバーに送信されるのを防ぎます。失敗参照は Flush entries after X minutes で定義した間 隔で消去されます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.12 DNS 設定- DNS/NetBIOS キューバッファバースト係数 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DNSSetupQueueBufferBurstCoefficient 最小値: 1 最大値: 50 デフォルト値: 10 タイプ: 内部キューバーファから即待機解除される DNS/NetBIOS 要求の数 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.13 DNS 設定 - DNS/NetBIOS キューバッファクリア率 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties Kiwi Syslog Server Ver.9.4 Rev. 1.2 347 文字列値: DNSSetupQueueBufferClearRate 最小値: 1 最大値: 100 デフォルト値: 10 タイプ: DNS/NetBios 内部キューバッファをクリアする割合 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.14 DNS 設定 - DNS/NetBIOS キュー制限 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DNSSetupQueueLimit 最小値: 100 最大値: 30000 デフォルト値: 1000 タイプ: DNS/NetBIOS 内部キューバッファのサイズ Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.15 DNS 設定 – デバッグモード セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DNSSetupDebugModeOn 最小値: 0 最大値: 1 デフォルト値: 0 タイプ: DNS/NetBIOS 詳細デバッグモード(on/off) 1 に設定した場合、DNS/NetBIOS の詳細デバッグ要求と応答は Program Files/Syslogd/DNS-debug.txt からアンロードされます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 348 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.16 メッセージバッファサイズ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: MsgBufferSize 登録正規版: 最小値: 100 最大値: 10,000,000 (1000 万) デフォルト値: 500,000 (50 万) タイプ: メッセージバッファエントリの最大数 メッセージバッファエントリの最大数: 受信したメッセージ(UDP, TCP, SNMP, Keep Alive)は内部キューに入ります。次に、メッセージ はキューから取り出され到着順(FIFO)に処理されます。処理エンジンがビジー状態のとき大 量のメッセージを受信すると、メッセージはキューに入ります。そのため負荷が高い場合でも メッセージは失われません。 キューに入ったメッセージが消費するメモリーはわずかです。多くの場合、最大 500,000 メッ セージ分のバッファがあれば十分です。メッセージを大量に受信する場合は、バッファサイズ を増やすことができます。バッファ処理はメッセージの流れをスムーズにし、処理エンジンが すべてのメッセージを処理しきれるようにします。 メッセージは1文字あたり 2 バイト使用する Unicode で保存されます。つまり、100 文字のメッ セージであれば 200 バイトのメモリーが消費されます。メッセージは内容によりサイズが異な りますが、1 件 100 文字あるとして 500,000 件のメッセージを保存するのに 100,000,000 バイト (100MB) のメモリーを使います。1 件が 200 文字ならば 200MB のメモリーを使うことなります。 メモリーはメッセージがキューに入るときのみ使われます。通常の量のトラフィックを処理する 場合、処理エンジンはメッセージフローに十分追いつくため、メッセージがキューに入ることは ありません。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 349 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.17 E メール – 件名追加テキスト セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: MailAdditionalSubjectText デフォルト値: ブランク タイプ: テキスト E メール件名の前に追加するテキスト 日別統計およびアラーム E メールの件名の先頭にテキストを追加します。日別統計とアラー ム E メールを多数の Syslog Server から受信する場合、どの Syslog Server から送信されたか 識別するための情報を挿入する手段として利用できます。 Syslog Server の名前やロケーションを簡潔に説明するテキストを指定してください。テキスト は E メールの件名の先頭に追加されます。 例: 最大メッセージアラーム E メールに通常使用される件名は次の通りです。 Syslog Alarm: 16000 messages received this hour. MailAdditionalSubjectText に [London] と設定すると、上記 E メールの件名は次のようにな ります。 [London] Syslog Alarm: 16000 messages received this hour. 件名と追加されるテキストの間には自動的にスペースが挿入されます。 次の「E メール – 本文追加テキスト」も参照してください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 350 11.1.18 E メール – 本文追加テキスト セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: MailAdditionalBodyText デフォルト値: ブランク タイプ: テキスト E メール本文に追加するテキスト ここでは日別統計およびアラーム E メールに挿入する追加テキストを指定します。日別統計と アラーム E メールを多数の Syslog Server から受信する場合、どの Syslog Server から送信さ れたか識別するための情報を挿入する手段として利用できます。 Syslog Server の名前やロケーションを簡潔に説明するテキストを指定してください。テキスト は E メールの本文の先頭に追加されます。 例: 通常送信される統計 E メールは次のようなものです。 /// Kiwi Syslog Server Statistics /// --------------------------------------------------24 hour period ending on: Fri, 06 Feb 2004 13:04:55 +1300 Syslog Server started on: Fri, 06 Feb 2004 13:03:54 Syslog Server uptime: 24 hours, 0 minutes --------------------------------------------------- + Messages received - Total: 20000 + Messages received - Last 24 hours: 20000 MailAdditionalBodyText に London - Firewall Monitoring Syslog Server と設定すると、上記 の日別統計 E メールは次のようになります: London - Firewall Monitoring Syslog Server /// Kiwi Syslog Server Statistics /// --------------------------------------------------24 hour period ending on: Fri, 06 Feb 2004 13:04:55 +1300 Syslog Server started on: Fri, 06 Feb 2004 13:03:54 Syslog Server uptime: 24 hours, 0 minutes Kiwi Syslog Server Ver.9.4 Rev. 1.2 351 --------------------------------------------------+ Messages received - Total: 20000 + Messages received - Last 24 hours: 20000 テキストの前後には CRLF が追加されます。 前の「E メール – 本文追加テキスト」も参照してください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.19 E メール – 送信メッセージの制限 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: MailMaxMessageSend 最小値: 1 最大値: 1000 デフォルト値: 50 タイプ: メッセージ数 E メールメッセージは一時的に内部キューに入り、それからまとめて送信されます。これは SMTP サーバー接続は1回でよいことを意味しています。各メッセージは別々に送られ、サーバーへの接 続がクローズされます。 MailMaxMessageSend には 1 分間に送信されるメッセージの最大数を指定します。送信され なかったメッセージは再びキューに入り、1分後に再送信されます。 このオプションはメッセージ送信に制限がある SMS ゲートウェイ経由で大量の E メールを送信する 場合に有効です。メールサーバーの負荷を減少させ、数回に分けて送信することによってメッセー ジ負荷を分散させることも可能です。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 352 11.1.20 ファイル書き込みキャッシュ 大量のメッセージを受信するとき、ファイル書き込みキャッシュにより Log to file アクションのパフ ォーマンスは大幅に向上します。 この機能を有効にすると、Log to file アクションはファイル書き込み前に指定した時間(秒)、また は指定した数のメッセージをキャッシュに保存します。データはログファイルが更新されるまでメモ リーのキャッシュに溜められます。これはメッセージ受信の都度ファイルに書くのに比べ効率的で す。 出力ファイルごとにメモリキャッシュが作成されます。通常の場合出力ファイルは 1 つですが、 AutoSplit やフィルターを使ってメッセージを複数のファイルに分割しているときは複数の出力 ファイルが生成されることもあります。 出力ファイルキャッシュが指定した時間の間使用されないとリソース節約のためキャッシュは破棄 されます。 プログラムが終了されると、キャッシュに溜められていたすべてのデータが該当するファイルに書 き込まれるため、データが喪失されることはありません。 ファイル書き込みキャッシュの有効化 セクション: KEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: FileWriteCacheEnabled 最小値: 0 最大値: 1 デフォルト値: 1 タイプ: 有効 = 1, 無効 = 0 有効にすると、Log to file アクションはファイル書き込み前のデータを指定した時間、あるい は指定したメッセージ数に到達するまでキャッシュに保存します。データはログファイルが更 新されるまでメモリーのキャッシュに溜められます。これはメッセージ受信の都度ファイルに 書くのに比べ効率的です。 キャッシュのタイムアウト セクション: KEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: FileWriteCacheTimeout 最小値: 1 Kiwi Syslog Server Ver.9.4 Rev. 1.2 353 最大値: 120 デフォルト値: 5 タイプ: 秒 タイムアウト後キャッシュの内容はディスクに書き込まれます。タイマーは最初のメッセージが キャッシュに入った時点でスタートします。キャッシュがフルにならず、タイムアウトになるまで 消去されずに残っている場合、キャッシュに溜まっているデータはディスクに書き込んだ後に 消去されます。この設定ではメッセージをディスクに書き込むまでのキャッシュに溜める最大 時間を指定します。ディスク書き込み回数が少ないほど、ファイルへのロギング処理の効率 は高まります。 最大キャッシュエントリ数 セクション: KEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: FileWriteCacheEntries 最小値: 10 最大値: 100,000 デフォルト値: 1000 タイプ: キャッシュエントリの最大数(メッセージ) 各出力ファイルに対して、ファイル書き込み前にキャッシュに保存するメッセージの最大数を 指定します。 最大数に達するまで、あるいはタイムアウトになるまでメッセージはキャッシュに溜められま す。ディスク書き込み回数が少ないほど、ファイルへのロギング処理の効率は高まります。メ ッセージは1文字あたり 2 バイト使用する Unicode で保存されます。つまり、100 文字のメッセ ージであれば 200 バイトのメモリーが消費されます。 1 つのキャッシュに対する最大メモリーサイズ セクション: KEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: FileWriteCacheMaxSizeKB 最小値: 1 最大値: 2,000 デフォルト値: 50 タイプ: 最大サイズ/キャッシュ(KB) 最大キャッシュサイズ(KB)を設定します。キャッシュがこのサイズに達するとファイルに書き込 まれます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 354 最大メモリーサイズに達するまで、あるいはタイムアウトになるまでメッセージはキャッシュに 溜められます。ディスク書き込み回数が少ないほど、ファイルへのロギング処理の効率は高 まります。メッセージは1文字あたり 2 バイト使用する Unicode で保存されます。つまり、100 文字のメッセージであれば 200 バイトのメモリーが消費されます。Out of Memory エラーが表 示されたときは、この値を小さくするかファイル書き込みキャッシュを無効にしてください。 キャッシュクリーンアップ時間 セクション: KEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: FileWriteCacheCleanup 最小値: 10 最大値: 1440 デフォルト値: 10 タイプ: キャッシュを破棄する前に無効にする時間(分) キャッシュが無効になりメッセージ受信をストップすると、クリーンアッププロセスによってキャ ッシュを破棄しリソースを開放します。クリーンアッププロセスはすでにファイルに書き出され ている無効キャッシュのみを破棄しますので、データが喪失されることはありません。 ログファイルのロック セクション: KEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: FileWriteCacheFileLock 最小値: 0 最大値: 1 デフォルト値: 0 タイプ: 有効 = 1, 無効 = 0 効率性を高めることとセキュリティ上の理由から、ログファイルは append shared モード で開くことができます。キャッシュへの書き込みが行われるたびにファイルを開閉する必要が ないので効率的です。ファイルが開かれている間は、他のアプリケーションを起動して中身を 変更したり、削除したりすることはできません。新しいエントリの追加のみが可能です。ファイ ルは読み取り専用で開くことができますが、変更はできません。 大量の syslog メッセージを受信するとき、このオプションを有効にすることによってパフォーマ ンスを改善することができます。唯一の難点は、ファイルが新しいログエントリをすぐには反 映しないことです。OS は内部バッファがフルになるまでデータをキャッシュに溜め、それから Kiwi Syslog Server Ver.9.4 Rev. 1.2 355 ファイルに書き出します。メッセージが多いときは、すぐにこの状態になりますが、少ないとき はバッファがフルになりデータが書き出されるまでに時間がかかります。 FileWriteCacheCleanup に指定した時間(分)の間キャッシュが無効になると、ログファ イルは自動的に更新され閉じられます。 開いているログファイルの最大数 セクション: KEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: FileWriteCacheOpenFiles 最小値: 1 最大値: 250 デフォルト値: 100 タイプ: 最大数 FileWriteCacheFileLock が 1(有効)のとき、各ログファイルは append shared モ ードで開いています。プログラムは同時に最大 255 ファイルまで開くことができます。ここでは 同時に開くファイルの最大数を指定します。指定した数に達すると、現在のキャッシュの FileWriteCacheFileLock 値が無効になり、キャッシュへの書き込みが行われるたび にファイルが開閉されます。Log to file アクションで AutoSplit を使ってログホストごとに 独立したファイルを作成するように設定されている場合、同時に 255 以上のファイルが開かれ る可能性があります(255 以上の有効な送信ホストがある場合)。適切なレベルでシステムリソ ースを利用するため、この値は 100 ファイルに設定することをお勧めします。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.21 ファイルへの記録 – 日付区切り文字 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: LogFileDateSeparator デフォルト値: "-" (ダッシュ) タイプ: 文字または文字列 通常、現在の日付は YYYY-MM-DD 形式で表され、区切り文字としてダッシュ記号(-)が使用さ れます。区切り文字は自由に変更できます。例えば、スラッシュ(/)を用いる国もあります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 356 日付区切り文字を変更すると、使用する構文解析プログラム(パーサー)やレポート作成ツール(レ ポーター)によってはログファイルが読めなくなる可能性があるので注意してください。レポート作 成ソフトウェアはダッシュ記号(-)を検索するものもあるので、見つからないとエラーを発生させるこ とになるかもしれません。 この設定は次のフォーマットに対してのみ適用されます。 • Kiwi フォーマット ISO yyyy-mm-dd (タブ区切り) • Kiwi フォーマット ISO UTC yyyy-mm-dd (タブ区切り) 使用例: 通常の Kiwi ISO ログファイルフォーマットのメッセージ: 2004-05-27 10:58:22 Kernel.Warning 192.168.0.1 kernel: This is a test message 区切り文字をスラッシュ(/)に変更した場合: 2004/05/27 10:58:22 Kernel.Warning 192.168.0.1 kernel: This is a test message 次の「ファイルへの記録 – 時間区切り文字」を参照してください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.22 ファイルへの記録 – 時間区切り文字 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: LogFileTimeSeparator デフォルト値: ":" (コロン) タイプ: 文字または文字列 通常、現在の日付は HH:MM:SS 形式で表され、区切り文字としてコロン記号(:)が使用されてい ます。区切り文字は自由に変更できます。例えば、ドット(.)を用いる国もあります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 357 時間区切り文字を変更すると、使用する構文解析プログラム(パーサー)やレポート作成ツール(レ ポーター)によってはログファイルが読めなくなる可能性があるので注意してください。レポート作 成ソフトウェアはコロン記号(:)を検索するものもあるので、見つからないとエラーを発生させること になるかもしれません。 この設定は次のフォーマットに対してのみ適用されます。 • Kiwi フォーマット ISO yyyy-mm-dd (タブ区切り) • Kiwi フォーマット ISO UTC yyyy-mm-dd (タブ区切り) 使用例: 通常の Kiwi ISO ログファイルフォーマットのメッセージ: 2004-05-27 10:58:22 Kernel.Warning 192.168.0.1 kernel: This is a test message 区切り文字をドット(.)に変更した場合: 2004-05-27 10.58.22 Kernel.Warning 192.168.0.1 kernel: This is a test message 前の「ファイルへの記録 – 日付区切り文字」も参照してください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.23 ファイルへの記録 – エンコード形式 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: LogFileEncodingFormat 最小値: 0 最大値: 65535 デフォルト値: 1 (System) タイプ: コードページ番号 通常、メッセージがログファイルに書き込まれるときはシステムのデフォルトエンコード形式(コード Kiwi Syslog Server Ver.9.4 Rev. 1.2 358 ページ)が使用されます。デフォルトコードページの異なるシステムからメッセージを受信する場合 の最良の対策は、UTF-8 にエンコードして送受信することです。Kiwi Syslog Server には受信メッセ ージを内部で Unicode に変換する機能があります。Unicode メッセージをログファイルに書き込む 際には UTF-8(コードページ 65001)エンコードの使用をお勧めします。UTF-8 は全 Unicode 文字セ ットを表すことができます。 大半の Windows システムで使用可能なコードページについては、次の Web ページで確認してくだ さい。http://msdn.microsoft.com/ja-jp/library/aa288104.aspx 以下は使用可能な標準コードページ番号です。 名前 コードページ番号 説明 System 1 システムコードページ ANSI 0 ANSI 65001 UTF-8 932 Shift-JIS 51932 EUC-JP Unicode Transformation Format 8 日本語 日本語(EUC) BIG5 950 繁体字中国語 Chinese 936 簡体字中国語 注記: 指定した番号がご使用のシステムで有効なコードページではない場合ファイルへのデータ 書き込みは行われません。 不安があるときは UTF-8 エンコードを使用してください。UTF-8 はすべての Unicode 文字を処理で きます。 Unicode および UTF-8 の詳細については次の Web ページを参照してください。 http://ja.wikipedia.org/wiki/UTF-8 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.24 スクリプトエディター セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ScriptEditor デフォルト値: Notepad.exe タイプ: スクリプトエディターのパスおよびファイル名 Kiwi Syslog Server Ver.9.4 Rev. 1.2 359 例: C:\Program files\MetaPad\MetaPad.exe この設定により、Edit Script ボタンが押されたときに起動するスクリプトエディターを変更すること ができます。デフォルトではスクリプトの編集にはメモ帳が起動します。この設定は Run Script ア クションの設定ページに対してのみ適用されます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.25 スクリプトのタイムアウト セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ScriptTimeout 最小値: 0 (タイムアウトなし – 非推奨) 最大値: 60000 デフォルト値: 10000 タイプ: タイムアウト(ミリ秒 10000 ミリ秒 = 10 秒) スクリプトによっては他よりも実行時間が長くかかるものがあります。スクリプトによってタイムアウ トエラーが引き起こされるような場合、スクリプト実行のタイムアウト値を大きくしたい場合がありま す。スクリプトはリアルタイムで処理されるため、長いスクリプトを実行中にメッセージが喪失したり、 キューに入った他のメッセージの処理に遅延が生じたりする可能性があります。複雑な長いスクリ プトを実行するときは後処理として実行することをお勧めします。これを行うには Kiwi Syslog Server が作成するログファイルに対して Windows Scripting Host を使用してスクリプトを実行しま す。リアルタイムで長いスクリプトを実行するのはできるだけ避けてください。 デフォルトではスクリプトの実行時間は最大 10 秒で、10 秒経過するとタイムアウトします。スクリプ トがリアルタイムでデータ処理を行うのに 10 秒以上かかる場合は、タイムアウト値を最大 60 秒ま で大きくすることができます。タイムアウト値を 0 に設定するとスクリプトがタイムアウトしなくなりま す(スクリプトが無限ループ状態になったときにプログラムが落ちる可能性があるため、このように 設定することはお勧めできません)。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server Ver.9.4 Rev. 1.2 360 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.26 データベースコマンドのタイムアウト セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DBCommandTimeout 最小値: 0 (タイムアウトなし – 非推奨) 最大値: 120 デフォルト値: 30 タイプ: タイムアウト(秒) Log to Database アクションは指定したデータベースにレコードを挿入する際に ADO を使用します。 デフォルトでは ADO データベースコマンドはデータベースがビジー状態のときや応答がない場合 に 30 秒待ってからタイムアウトするようになっています。 エラーログに ADO コマンドのタイムアウトエラーが表示されている場合タイムアウト値を大きくする ことができます。データベースレコードはリアルタイムに挿入されるため、タイムアウト値を大きくす るとメッセージが喪失したり、キューに入った他のメッセージの処理に遅延が生じたりする可能性 があります。この値を大きくするのはタイムアウトエラーが発生しているときのみに限ってください。 デフォルトではデータベース挿入コマンドの実行時間は最大 30 秒で、30 秒経過するとタイムアウト します。ご使用のデータベースが低速で、リアルタイムでデータ処理を行うのに 30 秒以降かかる 場合は、タイムアウト値を最大 120 秒まで大きくすることができます。タイムアウト値を 0 に設定す るとスクリプトがタイムアウトしなくなります(データベースが無応答になったときにプログラムが落 ちる可能性があるため、このように設定することはお勧めできません)。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.27 アーカイブ – 置換文字 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ArchiveFileReplacementChr Kiwi Syslog Server Ver.9.4 Rev. 1.2 361 デフォルト値: "-" (ダッシュ) タイプ: 文字、文字列 アーカイビングプロセスは現在のシステム日時を使ってアーカイブ後のファイルやフォルダ名に日 時を追加します。 日付フォーマットはユーザーが選択できるため、ファイル名に使用できない文字が含まれているこ とがあります。アーカイビングプロセスはこのような不正文字(& * + = : ; , / \ | ? < > 等) を有効な文字(- 等)に置き換えて正しい名前の付いたファイルやフォルダを作成します。 例えば、システム日時が 2004/12/25 12:45:00 であれば、アーカイビングプロセスにより名 前が 2004-12-25 12-45-00 に変換されます。この文字列がアーカイビングプロセスのファイ ルやフォルダ名となります。- ではなく他の文字を指定することもできます。不正な文字を指定す ると、アーカイビングプロセスによって不正なファイルやフォルダが作成されてしまう可能性がある ので注意してください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.28 アーカイブ – 区切り文字 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ArchiveFileSeparator デフォルト値: "-" (ダッシュ) タイプ: 文字、文字列 アーカイブスケジュールを Use dated file names に設定すると、既存のファイル名と現在のシステ ム日時の間に区切り文字が挿入されます。通常この文字はダッシュ(-)です。ダッシュ以外の文字 を使用したいときは、このレジストリ設定を変更してください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 362 11.1.29 アーカイビング – 旧アーカイブ名規則を使用する セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: UseOldArchiveNaming 最小値: 0 最大値: 1 デフォルト値: 0 (無効) タイプ: 数値 この設定はアーカイブタスクで 1 つの zip アーカイブを作成する際に適用されるデフォルトの命名 規則を変更します。この値を (1) に設定すると Kiwi Syslog Server 8.3.x 以前のバージョンで使用さ れていたアーカイブ名規則が使用されるようになります。 この設定の影響を受けるのは、1 つの zip ファイルに圧縮するアーカイブタスクのみです。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.30 アーカイビング – アーカイブ処理時 Temp フォルダのパス指定 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ArchiveTempPath デフォルト値: (なし) タイプ: 文字列 この設定は Kiwi Syslog Server のアーカイバが使用するデフォルトの一時フォルダを変更します。 デフォルトでは Windows の一時フォルダが使用されます(通常は C:\Windows\Temp または C:\Documents and Settings\<Username>\Local Settings\Temp)。 注記: この設定は EnableArchiveTempFile が有効になっている場合のみ適用されます(次項参 照)。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 363 11.1.31 アーカイビング – Temp ファイルの有効化 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: EnableArchiveTempFile 最小値: 0 最大値: 1 デフォルト値: 0 (無効) タイプ: 数値 この設定はデフォルトのアーカイブスケジュールタスクのデフォルトの振る舞いを変更します。 (1) に設定すると Kiwi Syslog Server はアーカイブファイルの作成時に一時ファイルを生成するよう になります。一時ファイルは 1 回のみ書き込み可能なメディア(CD-WORM)やネットワーク上にある zip ファイルに書き込む際に使用すると便利です。zip ファイルは一時ファイルとして(通常はローカ ルドライブ上に)作成され、圧縮処理が終わると指定したドライブやネットワーク上に書き込むため です。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.32 エラーログフォルダ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ErrorLogFolder デフォルト値: プログラムのインストール先パス タイプ: フォルダのパス (C:\My Logs\) Errorlog.txt ファイルには操作上生じたすべてのエラーが記録されます。通常このファイル はプログラムのインストールフォルダ下に作成されます。この値を変更すると Errorlog.txt フ ァイルは指定した場所に作成され、そこにエラーが書き込まれるようになります。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 364 11.1.33 メールログフォルダ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: MailLogFolder デフォルト値: プログラムのインストール先パス タイプ: フォルダのパス (C:\My Mail Logs\) SendMailLog.txt ファイルにはすべてのメールアクティビティが記録されます。通常このファイ ルはプログラムをインストールしたフォルダの下に作成されます。この値を変更すると SendMailLog.txt ファイルは指定した場所に作成され、そこにメールアクティビティが書き込ま れるようになります。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.34 KRDP - ACK タイマー セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPACKTimer 最小値: 10 最大値: 65535 デフォルト値: 200 タイプ: ミリ秒 この設定は TCP_ACK プロトコルの確認タイマーの間隔を指定します。デフォルトではプロトコルは 200 ミリ秒ごとに受信パケットの確認(ACK)を行っています。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 365 11.1.35 KRDP – キープアライブタイマー セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPKeepAliveTimer 最小値: 1 最大値: 65535 デフォルト値: 25 タイプ: ACK タイマーの間隔 この設定は接続済みセッションのキープアライブメッセージを送信する間隔を指定します。このカ ウンターは KRDPACKTimer の倍数となります。例えば、KRDPACKTimer が 200ms に設定さ れており 5 秒おきにキープアライブを送信したいときはこの値を 25(25 x 200ms = 5 秒)に指定する 必要があります。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.36 KRDP - ディスクキャッシュフォルダ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPCacheFolder デフォルト値: InstallFolder\Cache\ タイプ: キャッシュフォルダのパス この設定はディスクキャッシュファイルの保存先を指定します。ディスクキャッシュファイルはリモー トホストがダウンしているとき、およびメモリキャッシュがフルになったときにのみ作成されます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 366 11.1.37 KRDP - Rx デバッグ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPRxDebug 最小値: 0 最大値: 1 デフォルト値: 0 タイプ: 有効/無効 この設定は KRDP 受信イベントのデバッグログファイルの有効/無効を指定します。KRDP TCP 受 信機に関するすべてのイベントが対象となります。ログファイルはプログラムをインストールしたフ ォルダの下に KRDPRxDebug.txt という名前で作成されます。 KRDP 受信機は Inputs の TCP オプションを有効にすることで作成されます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.38 KRDP - Tx デバッグ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPTxDebug 最小値: 0 最大値: 1 デフォルト値: 0 タイプ: 有効/無効 この設定は KRDP 送信イベントのデバッグログファイルの有効/無効を指定します。KRDP 送信機 に関するすべてのイベントが対象となります。ログファイルはプログラムをインストールしたフォル ダの下に KRDPTxDebug.txt という名前で作成されます。 KRDP 送信機は Forward to another host アクションを使うと作成されます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を Kiwi Syslog Server Ver.9.4 Rev. 1.2 367 HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.39 KRDP – キューサイズ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPQueueSize 最小値: 50 最大値: 200000 デフォルト値: 10000 タイプ: キューに入れるメッセージ数 この設定は KRDP および TCP メッセージのバッファリング時に使用されるメッセージキューのサイ ズを指定します。キューがフルになると、キューに溜まっていたデータはキャッシュファイルとして 書き出されます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.40 KRDP – キューの最大サイズ(MB) セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPQueueMaxMBSize 最小値: 1 最大値: 100 デフォルト値: 20 タイプ: メモリーキューおよびキャッシュファイルの最大サイズ(MB) バッファに入ったメッセージは個別にメモリーキューに追加され、メモリーキューのサイズは常に監 視されています。キューの総サイズが KRDPQueueMaxMBSize の設定値に達すると、キューに 溜まっているメッセージはキャッシュファイルに書き出されます。通常よりも大きなメッセージを受 信したときにシステムメモリーを使い切らないようにするための対策です。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を Kiwi Syslog Server Ver.9.4 Rev. 1.2 368 HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.41 KRDP – 自動接続 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPAutoConnect 最小値: 0 最大値: 1 デフォルト値: 1 タイプ: 有効/無効 この値が 1 に設定されていると、KRDP および TCP メッセージの送信機はリモートホストへの自動 接続を試みます。0 に設定されていると、送信メッセージがキューに入った場合のみ接続されま す。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.42 KRDP - 接続時間 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPConnectTime 最小値: 5 最大値: 65535 デフォルト値: 5 タイプ: 秒 接続を再試行する間隔を指定します。リモートピアに対する接続が確立できないとき、 KRDPConnectTime で指定した間隔(秒)で接続を試みます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 369 11.1.43 KRDP – 送信スピード セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties キー: KRDPSendSpeed 最小値: 10 最大値: 10000 デフォルト値: 2000 タイプ: 送信メッセージ数/秒 1 秒間に送信可能なメッセージの最大数を指定します。リモートピアに最速でメッセージを送信し 受信機やネットワークリンクの過負荷を回避することができます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.44 KRDP – アイドルタイムアウト セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: KRDPIdleTimeout 最小値: 0 (オフ) 最大値: 65535 デフォルト値: 60 タイプ: 秒 最終メッセージの送信後に送信ソケットを開けたままにする時間を指定します。TCP は接続時お よび切断時にオーバーヘッドが生じるため、TCP コネクションは一定時間新しい接続を開かずに 次の送信メッセージが来るまでポートを開いたままにします。アイドル時間のカウントはメッセージ 送信直後から始まります。KRDPIdleTimeout で指定した時間内に送信メッセージが来なかっ た場合、接続ポートは閉じられます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 370 11.1.45 KRDP – SeqNum の追加 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties キー: KRDPAddSeqToMsgText 最小値: 0 最大値: 1 デフォルト値: 0 タイプ: 有効/無効 この値が 1 に設定されていると、KRDP 受信機は受信したシーケンス番号をメッセージテキストの 末尾に追加します。シーケンス番号はコネクション ID ごとに 0~2147483647 までの重複しない番 号が割り当てられます。追加されるタグの例: KRDP_Seq=1234 例: The quick brown fox jumped over the lazy dogs back KRDP_Seq=5742 The quick brown fox jumped over the lazy dogs back KRDP_Seq=5743 The quick brown fox jumped over the lazy dogs back KRDP_Seq=5744 The quick brown fox jumped over the lazy dogs back KRDP_Seq=5745 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.46 Syslogd プロセスのプライオリティ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: ProcessPriority 最小値: 0 最大値: 3 デフォルト値: 0 タイプ: Syslog プロセスのプライオリティ このレジストリ設定が存在している場合、この値を指定することによって syslogd の Windows プライ オリティを変更できます。 指定可能な値は以下の通りです。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 371 0 - LOW_PRIORITY 1 - BELOW_NORMAL_PRIORITY 2 - NORMAL_PRIORITY (デフォルト) 3 - ABOVE_NORMAL_PRIORITY 4 - HIGH_PRIORITY 5 - REALTIME_PRIORITY (注記:この値に設定するとシステムがロックアップする可能 性があります) AboveNormal Normal 以上 High 以下のプライオリティのプロセスに対して指定します。 BelowNormal Idle 以上 Normal 以下のプライオリティのプロセスに対して指定します。 High 直ぐに実行する必要のある緊急度の高いタスクを実行するプロセスに対して指定します。 Normal や Idle のプロセススレッドよりも先に処理されます。例えば、Task List など OS にか かる負荷を無視してでもユーザーに呼び出されたらすぐに応答する必要のあるプロセスに対 して設定します。この値を適用すると、使用可能なほぼすべての CPU 時間が消費されるため 使用するときは特に注意が必要です。 Low システムがアイドルのときのみに実行されるスレッドのプロセスに対して指定します。この値 の設定されたプロセススレッドは Low 以上のプライオリティクラスが設定されているプロセス の実行後に実行されます。スクリーンセーバーなどが該当します。プライオリティクラスが Idle のプロセスは子プロセスに引き継がれます。 Normal 特にスケジュールする必要のないプロセスに対して指定します。 Realtime 最優先のプロセスに対して指定します。この値の設定されたプロセススレッドは他のすべて のプロセスよりも先に実行されます。重要なタスクを実行する OS のプロセスなどがこれに該 当します。例えば、非常に短い間隔でアルタイムプロセスが繰り返し実行されると、ディスク Kiwi Syslog Server Ver.9.4 Rev. 1.2 372 キャッシュへの書き込みが不能になったり、マウスが応答しなくなったりすることがあります。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.47 送信元アドレス – カスタムの開始 / 終了タグ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: OriginalAddressStartTag デフォルト値: "Orignial Address=" タイプ: 送信元アドレスの開始タグ セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: OriginalAddressEndTag デフォルト値: " " (空白) タイプ: 送信元アドレスの終了タグ 通常 syslog プロトコルは syslog メッセージを転送/リレーしてしまうと送信元のアドレスを保持でき ません。送信者アドレスは受信した UDP/TCP パケットから取得されるためです。 Kiwi Syslog Server では送信元アドレスを含むメッセージテキストにタグを付けることによってこの 問題に対応できます。デフォルトでは Original Address=192.168.1.1 というタグが付け られます。すなわち Original Address= の後に IP アドレスと空白が来ます。 これらのタグは Foward to another host アクションで Retain the original source address of the message がチェックされているときのみ挿入されます。「Forward to another host (他のホストへ転 送)」を参照してください。 上記 2 つのレジストリキーを指定することによってデフォルトの開始タグおよび終了タグを変更でき ます。 例: デフォルトの送信元アドレスタグの場合 OriginalAddressStartTag = "Orginial Address=" OriginalAddressEndTag = " " (空白) - 結果は Original Address=nnn.nnn.nnn.nnn となります。 nnn.nnn.nnn.nnn には送信元の IP アドレスが入ります。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 373 新しい(カスタムの)送信元アドレスタグの場合 OriginalAddressStartTag = "<ORIGIN>" OriginalAddressEndTag = "</ORIGIN>" - 結果は <ORIGIN>nnn.nnn.nnn.nnn</ORIGIN> となります。 nnn.nnn.nnn.nnn には送信元の IP アドレスが入ります。 新しい(カスタムの)送信元アドレスタグの場合 OriginalAddressStartTag = "F=" OriginalAddressEndTag = " " (空白) - 結果は F=nnn.nnn.nnn.nnn となります。 nnn.nnn.nnn.nnn には送信元の IP アドレスが入ります。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.48 ルール - 最大ルール数 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Options 文字列値: MaxRuleCount 最小値: 10 最大値: 999 デフォルト値: 100 タイプ: Kiwi Syslog Server で設定可能なルールの上限数 注記: 最大ルール数として 100 を超える値を設定しないでください。この値を大きくしすぎると Kiwi Syslog Server の実行速度が遅くなり、メモリー消費量が急激に増えます。ルール数の上限である 100 に近づいている場合は別の方法をとることをお勧めします。考えられる方法としてファイルロ ギングの AutoSplit 機能の利用が挙げられます。詳細については「AutoSplit (自動分割)値」を参 照してください。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を Kiwi Syslog Server Ver.9.4 Rev. 1.2 374 HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.49 データベースロガー – キャッシュクリアの頻度 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DBLoggerCacheClearRate 最小値: 10 最大値: 1000 デフォルト値: 1000 (ms) タイプ: 数値 データベースキャッシュをチェックして未実行の SQL データを確認する頻度(ミリ秒)を指定します。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.1.50 データベースロガー - キャッシュのタイムアウト セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DBLoggerCacheTimeout 最小値: 1 最大値: 30 デフォルト値: 3 (日) タイプ: 数値 未変更のキャッシュファイルの最大経過時間(日)を指定します。この値に達したデータベースキャ ッシュファイルはすべてシステムにより削除されます。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 375 11.1.51 データベースロガー – データベースキャッシュを無効化 セクション: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd\Properties 文字列値: DBLoggerCacheDisable 最小値: 0 最大値: 1 デフォルト値: 0 (有効) タイプ: 数値 上記の設定はデータベースのデフォルトの振る舞いを変更します。 Kiwi Syslog Server を 64 ビットマシンにインストールした場合 Kiwi Syslog Server を 64 ビット Windows マシン上で使用している場合は、 HKEY_LOCAL_MACHINE\Software\SolarWinds\... の部分を HKEY_LOCAL_MACHINE\Software\WOW6432Node\SolarWinds\...に読み替えてください。 11.2 コマンドライン引数 Syslogd 実行ファイル‐ Syslog.exe、Syslogd_Manager.exe、Syslogd_Service.exe のいずれかの起動時には以下の項で挙げるコマンドラインパラメータを使用できます。パラメータ は大文字、小文字を区別しません。複数のパラメータを指定する時はスペースで区切ってくださ い。 11.2.1 起動時デバッグ コマンドラインの値: DEBUGSTART 適用: Syslogd.exe, Syslogd_Service.exe & Syslogd_Manager.exe 効果 上記のコマンドでプログラムを実行すると、Kiwi Syslog Server をインストールしたフォルダの 直下にデバッグファイルが作成されます。ファイル名は実行ファイルの名前によって異なりま す(下記参照)。デバッグファイルにはプログラムの起動とソケット初期化ルーチンの結果が記 録されます。 作成されるファイル Syslog アプリケーション版 = Syslogd_Startup.txt SyslogService = Syslogd_Service_Startup.txt Kiwi Syslog Server Ver.9.4 Rev. 1.2 376 SyslogManager = Syslogd_Manager_Startup.txt 使用タイミング プログラムが Input 設定オプションで指定したポートのメッセージを受信していないように見 えるときは、起動デバッグファイルをチェックしてソケットの初期化が正常に行われたかどうか 確認してください。 起動時にプログラムがクラッシュしているような場合にどこに問題があるのかを探す手助けに なります。 サービス版のデバッグ サービス版ではコマンドライン引数を使用できません。レジストリでエントリを設定する必要が あります。 レジストリの設定については、「サービス – デバッグ開始」を参照してください。 11.2.2 サービス版のインストール コマンドラインの値: -INSTALL 適用: Syslogd_Service.exe 効果 Windows NT/2000 マシンで Kiwi Syslog Server をサービスとしてインストールします。 成功/失敗を示すメッセージが表示されます。 使用タイミング バッチファイルからサービス版の自動インストールを行う必要があるときにこの方法をお試し ください。 Silent オプション コマンドの末尾に –silent を付けて実行するとインストールの成否を示すメッセージが表 示されなくなります。例: -install-silent Kiwi Syslog Server Ver.9.4 Rev. 1.2 377 11.2.3 サービス版のアンインストール コマンドラインの値: -UNINSTALL 適用: Syslogd_Service.exe 効果 Windows NT/2000 マシンから Kiwi Syslog Server サービス版をアンインストールします。 成功/失敗を示すメッセージが表示されます。 使用タイミング バッチファイルからサービス版の自動インストール/アンインストールを行う必要があるときに この方法をお試しください。 アンインストールを始める前にサービスが停止していることを確認してください。 コマンドラインから net stop コマンドを実行しても同じことができます。 例: net stop “Kiwi Syslog Server” Silent オプション: コマンドの末尾に –silent を付けて実行するとアンインストールの成否を示すメッセージ が表示されなくなります。例: -uninstall-silent 11.3 Kiwi Syslog Server の自動インストール Kiwi Syslog Server では一切人の手を煩わせずにインストールと設定作業を自動的に行うことがで きます。ここでは、Kiwi Syslog Server の自動インストールについて説明します。 アプリケーション版のインストール 標準の対話式アプリケーションとして Kiwi Syslog Server をインストールし、使用するにはバッ チファイルを作成する必要があります。バッチファイルには以下の情報が記述されている必 要があります。 "AppPath\Kiwi_Syslogd_X.X.X.setup.exe" /S INSTALL=APP /D=InstallPath サービス版のインストール Windows サービスとして Kiwi Syslog Server をインストールし、使用するにはバッチファイルを 作成する必要があります。バッチファイルには以下の情報が記述されている必要がありま Kiwi Syslog Server Ver.9.4 Rev. 1.2 378 す。 "AppPath\Kiwi_Syslogd_X.X.X.setup.exe" /S INSTALL=SERVICE /D= InstallPath ライセンスキーの適用 インストーラーからライセンスキーを適用するには、次のように入力してライセンス登録内容 をプログラムに渡してください。 "AppPath\Kiwi_Syslogd_X.X.X.setup.exe REGKEY="Name|Company|E-mail|Serial|Key" インストールが完了すると自動的にソフトウェアのライセンスが登録されます。 すべてのスイッチを結合し実行 すべてのスイッチを結合して実行する場合は、/D スイッチを最後に使用します。 "AppPath\Kiwi_Syslogd_X.X.X.setup.exe REGKEY="…"/ S INSTALL=SERVICE /D="InstallPath" また、自動的に定義済みのコンフィグレーション設定を適用し、Kiwi Syslog Server アプリケーショ ンやサービスの初回起動時にロードすることも可能です。 詳細については、「INI ファイルの使用(自動設定)」を参照してください。 • AppPath の 部 分 に は イ ン ス ト ー ル 用 パ ッ ケ ー ジ (Kiwi_Syslogd_X.X.X.setup.exe)が実際に置かれているパスを入力します。 • 二重引用符は AppPath 等に空白が含まれている場合には付ける必要があります。 例:"C:\Program Files\" 11.4 INI ファイルの使用(自動設定) 通常、プログラムの設定値は起動時にレジストリから読み込まれます。リモートマシンから設定を 変更したい場合は、特定の INI ファイルをインストール先のフォルダに置き、そこから設定をロード してください。この INI ファイルはリモートマシンのフォルダにコピーできます。次にプログラムを起 動する際にはその INI ファイルから設定が読み込まれ、レジストリに書き出されます。次の起動か らはこのレジストリ値が読み込まれます。いったん設定が読み込まれると、INI ファイルは削除され ます。INI ファイルが削除されないようにするには、ファイル属性を読み取り専用に変更します。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 379 プログラムは起動時にインストール先フォルダ(通常は C:\Program files\Syslogd)にある LoadNewSettings.ini を検索します。 ファイルが見つかるとそこから設定が読み込まれ、 通常の Syslogd レジストリキー: HKEY_LOCAL_MACHINE\SOFTWARE\SolarWinds\Syslogd の下のレジストリに置かれます。 いったんファイルが読み込まれると削除されるため、再度同じファイルが読み込まれることはあり ません。プログラムはレジストリから設定を読み込み通常通り起動します。INI ファイルに記述され ている設定は既存のレジストリ設定を上書きします。 INI ファイルは Kiwi Syslog Server の INI ファイルとして有効であればどんなものでもかまいません。 File -> Export メニューまたは Setup 画面の Defaults/Import/Export で設定をエクスポートで きます。 INI ファイルは手動で変更するものではありません。ルール、アクション、フィルターの設定の多くは エンコードされているためです。しかし、ドライブ文字を変更(D:を C:に変更する等)する目的でやむ なく手動で設定変更する場合には、メモ帳の検索と置換機能を使って変更してください。エンコー ドされている文字列は変更しないよう注意してください。INI ファイルを読み込む際に予期せぬエラ ーが発生することがあります。 心配なときは下記からお問合せください。http://www.solarwinds.com/support/ 11.5 Kiwi Syslog Server で使用するポート Kiwi Syslog Server は以下のポートを使用します。 • UDP インプット - UDP 0.0.0.0:514 (デフォルト) (プラス1エフェメラルポート) • TCP インプット - TCP 0.0.0.0:1468 (デフォルト) • SNMP インプット - UDP 0.0.0.0:162 (デフォルト) • Secure TCP インプット - TCP 0.0.0.0:6514 (デフォルト) • Syslog Service <-> Syslog Manager 内部通信ポート - TCP 0.0.0.0:3300 (プラス1 エフェメラルポート) • Web Access - TCP 0.0.0.0:8088 (デフォルト) 注記: Kiwi Syslog Server 9.2.1 以前のバージョンには Ultidev Cassini Web Server Explorer がイ ンストールされており、追加の TCP 0.0.0.0:7756 ポートが使用されています。Cassini Web Server Explorer(とこのポート)は、もはや使用されません。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 380 12 その他の Kiwi 製品 ここでは、その他の Kiwi 製品を紹介します。 12.1 Kiwi CatTools Kiwi CatTools はルーター、スイッチ、ファイアーウォールなどのデバイスのコンフィグレーションを 自動管理する目的で開発されたソフトです。 Cisco / 3Com / Extreme / Foundry / HP / Netscreen / Multicom 製デバイス、その他多くの機器 に対応しています。 Kiwi CatTools が実行する多くのタスクの中でも次の機能・特長は日々の管理業務の効率化に大 いに貢献します。 • コンフィグレーションの自動バックアップと変更が加えられたときにすぐさま電子メールで 管理者に連絡が入る E メール通知機能 • 多数のデバイスに対し Telnet や SSH を通じてコマンドを同時に実行 • スケジュールに従いコンフィグレーションを自動的に変更 • すべてのネットワークデバイスのパスワードを一括変更 本製品はスクリプトに完全対応したコンフィグレーション管理ツールでもあり、Telnet、SSH などを サポートする TFTP サーバーが内蔵されています。 Kiwi CatTools の詳細については弊社 Web サイトを参照してください。プログラムのダウンロードも できます。http://www.kiwisyslog.com/ 12.2 Kiwi SyslogGen Windows 98/2000/2003/XP/Vista/2008 用の syslog メッセージジェネレータです。 Kiwi SyslogGen は GUI から Unix タイプの syslog メッセージを生成し Kiwi Syslog Server 実行ホスト に送信します。 Kiwi SyslogGen は Kiwi Syslog Server の設定と通信に問題がないかどうかをテストする目的で使 用することもできます。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 381 機能・特長 • ランダムに Facility と Level を組み合わせてプライオリティを設定可能 • 既成またはユーザー入力によるメッセージ生成 • 配信頻度(1 回のみ、毎秒、毎分、連続、バーストモードから選択) • Kiwi Syslog Server に互換性のあるメッセージをプロキシ送信* • ランダムに不正パケットを発生させて Kiwi Syslog Server サーバーの耐障害性能をテスト プロキシ送信すると、Kiwi Syslog Server サーバーから他のサーバーにホスト名フィールドに書か れている送信元の IP アドレスを保持した状態でメッセージを送ることができます。 弊社 Web サイトからプログラムをダウンロードできます。 http://www.kiwisyslog.com/kiwi-secure-tunnel-download/ 12.3 Kiwi Log Viewer Kiwi Log Viewer は Windows 2000/2003/XP/Vista/7/8/2008/2008 R2/2012 用のソフトウェアで す。 Kiwi Syslog Server によって生成されたタブ区切りログファイルを簡単に、読み易く表示します。 機能・特長 • 列ソート • ドラッグ&ドロップで列の並び替え • タブ区切りファイルフォーマットで出力 • カンマ区切りファイルフォーマットで出力 • ブラウザ用に HTML テーブルで出力 • タブ区切りファイルの読み込み • カンマ区切りファイルの読み込み • コマンドラインオプションとスイッチ • ヘッダーに標準 syslog フィールドのタイトルを使用可能 Kiwi Syslog Server Ver.9.4 Rev. 1.2 382 • デフォルトの振る舞いを設定可能 Kiwi Log Viewer の詳細については弊社 Web サイトを参照してください。プログラムのダウンロード もできます。http://www.kiwisyslog.com/ 12.4 Kiwi Secure Tunnel Kiwi Secure Tunnel は Kiwi Syslog Server(あるいは互換性のあるシスログデーモン)と併用する Windows 用セキュアトンネルサービスを提供するフリーウェアです。ネットワーク上に分散している 各種デバイスから送信された Syslog メッセージを受信し、圧縮・暗号化して安全に Kiwi Syslog Server に転送します。 Kiwi Secure Tunnel はサービス版のみで、Windows /2000/2003/XP/Vista/2008 をサポートして います。Kiwi Secure Tunnel Manager プログラムには Windows NT サービスの設定・管理を行うた めのインターフェイスが付属しています。 Kiwi Secure Tunnel はクライアント 1 台とサーバー1 台で構成されます。 トンネルとなるクライアントはネットワーク上に設置されている 1 台以上のデバイスから送信された メッセージを収集し、安全なリンクを通じてトンネルサーバーに転送します。 トンネルサーバーは受信したメッセージを 1 台以上の Kiwi Syslog Server サーバーに転送します。 また、選択したファイルの内容を監視し、これらのファイルから送信されたデータを syslog メッセー ジとして Kiwi Syslog Server に送信することができます。 Kiwi Secure Tunnel の詳細については弊社 Web サイトを参照してください。プログラムのダウンロ ードもできます。http://www.kiwisyslog.com/kiwi-secure-tunnel-download/ 12.5 Kiwi Harvester Kiwi Harvester はコンピュータのシリアルインターフェイス経由でデータを受信し、標準の Syslog メ ッセージに変換するフリーのアプリケーションです。メッセージは Kiwi Syslog Server のようなログ サーバーに UDP プロトコル経由でフォワードされます。 Kiwi Harvester を使用すれば、非イーサネット有効デバイスを中央のログシステムに統合できます (ロギングシステム、メインフレームコンピューター、遠隔検出装置、ルーターコンソールポートな ど)。 Kiwi Syslog Server Ver.9.4 Rev. 1.2 383 Kiwi Harvester は、Windows NT, Windows 2000、Windows XP、Windows 2003、Windows Vista 上で サービスとしてインストールされます。 このアプリケーションは、ini ファイルから簡単に素早く設定できます。Kiwi Harvester の使用目的は、 非イーサネットおよび syslog 機能を持たないデバイスから Kiwi Syslog Server のような中央のロギ ングサーバーに通知メッセージを送信できるようにすることです。 主な機能は以下の通りです。 • 帯域通知に関するルーターコンソールメッセージのフォワード • 請求に関する PBX Call レコードのフォワード • 遠隔検出装置または PLC デバイスからのメッセージのフォワード • セキュアファイアーウォールの帯域外メッセージ(ログ出力をシリアルポートにリダイレク ト) • リダイレクトされたプリンタの出力をキャプチャ(プリンターポートを Com1 に設定) Kiwi Harvester の詳細については弊社 Web サイトを参照してください。プログラムのダウンロードも できます。http://www.kiwisyslog.com/kiwi-harvester-download/ Kiwi Syslog Server Ver.9.4 Rev. 1.2 384 リリースノート • Ver.9.4.1 2013 年 10 月リリース 修正: ・Syslog を転送すると、送信元ポートが"0"と表示されていた件の修正 ・統計メールで、Cisco のデータが欠落または誤っていた部分の解決 ・Kiwi Web Access - イベント保持期間に基づいた(Based on Event age)データベースメン テナンスの問題の解決 ・ Kiwi Syslog Server の スキ ン ( 外 観 ) の 変 更 中 に 表 示 され る "Active Skin Control message"を削除 インストール手順: ・Version 9.4 は新しいウェブサーバーが含まれています。インストール中に以前のバージ ョンの Kiwi Web Access ファイルを手動でアンインストールするよう求められる場合があり ます。 • Ver.9.4.2 2015 年 3 月 10 日リリース 修正: ・Windows Server 2012 R2 システム上でのサポート ・Windows Server 2012 物理システム上の Kiwi Syslog Server サービスのスタートアップ問 題を解決 ・Kiwi Web Access 使用時に、CPU 使用率が高くなる問題を最適化 ・Kiwi Web Access のセッションタイムアウトの問題を解決 ・FIPS が有効なシステムに、Kiwi Web Access をインストールするためのサポートを追加 Kiwi Syslog Server Ver.9.4 Rev. 1.2 385 日本語マニュアル発行日 2015 年 5 月 7 日 本マニュアル原文 Kiwi Syslog Server ジュピターテクノロジー株式会社 翻訳/技術グループ Kiwi Syslog Server Ver.9.4 Rev. 1.2