SKYSEA Client Viewには、ログを収集する機能がありますが、実は収集したログをsyslogサーバーに転送する機能[1]も持っています。
SKYSEA Client Viewの製品ホームページに「syslog送信」機能のご紹介も掲載しております。
よろしければそちらもご覧ください。
最近、SIEMといった統合ログ管理システムにSKYSEA Client Viewのログも集約されたい、といったお声も多く、こちらの機能を利用することが要件となる案件も増えております。
本機能を社内で検証する際、syslogサーバーが必要となります。 ご参考までに、検証環境のUbuntuへsyslogサーバーを構築した際の手順をご紹介いたします。
Ubuntuへsyslogサーバーの構築
検証環境にUbuntuサーバー(22.04)を用意し、そこにsyslogサーバーを構築していきます。
- ターミナルを起動し、rsyslogパッケージをインストールします。
sudo apt-get update
sudo apt-get install rsyslog
※私の検証したUbuntu環境ではデフォルトで入っていました。
- rsyslogサービスの設定ファイルを編集し、以下の行のコメントアウトを外します。
設定ファイル:/etc/rsyslog.conf
# provides UDP syslog reception
module(load="imudp")
input(type="imudp" port="514")
# provides TCP syslog reception
module(load="imtcp")
input(type="imtcp" port="514")
- ファイアウォールの設定でsyslogに利用するポートを許可します。
sudo ufw allow 514/tcp
sudo ufw allow 514/udp
- rsyslogサービスを再起動します。
sudo systemctl restart rsyslog
- rsyslogサービスが実行されているかどうかを確認します。
sudo systemctl status rsyslog
※Active:active(running)と表示されており、とくにエラーなど出ていなければOKです。
上記手順でsyslogを受け付けるという最低限の動作はいたしました。
集めたsyslogデータを閲覧
初期設定では /var/log/syslog にsyslogが書き込まれていきます。 tail -fコマンドを利用すると、ログが上がってくる様子がリアルタイムに確認できて便利です。
tail -f /var/log/syslog
※syslogの書式はSKYSEA Client View側で任意に設定変更可能です。
※ネットワーク設定周りの情報は念のためマスクしております。
syslogの送信元ごとにログファイルや出力先を分けたりすることも可能なようですが、そこはまたおいおい検証していきたいと思います。
syslog送信機能は一部エディションではオプション機能です。 ↩︎