メッセージの監視方法を設計するために必要となる以下の項目について説明します。
メッセージの処理のながれ
イベント監視では、システムで発生したメッセージを、“メッセージの処理のしくみ”に示すように、メッセージログおよび監視イベントログで管理します。各サーバの、メッセージの処理のながれを説明します。
部門管理サーバ/業務サーバのメッセージ処理
自システムで発生したメッセージを、メッセージ送信先システムに送るとともに、メッセージログに格納します。このファイルは、メッセージ検索コマンドによって参照できます。また、“多階層の論理的通信構造”で示したような通信構造の場合は、中継システムとなる部門管理サーバ、業務サーバで、下位に位置するサーバのメッセージを格納することもできます。
運用管理サーバのメッセージ処理
部門管理サーバ、業務サーバから送られてきたメッセージおよび自システムで発生したメッセージは、メッセージログに格納されます。メッセージログに格納されたメッセージのうち、以下の2つの条件を満たすメッセージは、監視イベントとしてSystemwalkerコンソールの監視イベント一覧に表示され、同時に監視イベントログに格納されます。
メッセージの重要度レベルが最重要、重要、警告、または通知の場合
メッセージの監視イベント種別がサーバ環境定義に登録されている場合
ただし、メッセージの監視イベント種別がサーバ環境定義に登録されていない場合は、メッセージの監視イベント種別に「その他」が自動的に設定されます(サーバ環境定義に「その他」が登録されている場合)。
図2.3 メッセージの処理のしくみ
Systemwalker Centric Managerでは、アプリケーションがテキスト形式のログファイルに出力したメッセージをイベントとして扱うことができます。下図にログファイルを監視するながれを示します。
アプリケーションが出力したログを一定間隔(初期値:30秒)で監視し、前回からの増加分を運用管理サーバへ通知します。その場合、増加した内容について改行までを1メッセージとして処理します。
メッセージの監視方法の設計
システムで発生したメッセージについて、どのメッセージを監視しどのような処理を行うかを[イベント監視の条件定義]ウィンドウで定義します。
Systemwalker Centric Manager以外のメッセージを監視する場合は、以下で公開されている「Systemwalkerテンプレート」を使用してください。
参照
Systemwalker Centric Manager 技術情報
「Systemwalker Centric Manager サンプル / テンプレート / ツール / デザインシート」
http://www.fujitsu.com/jp/software/technical/systemwalker/centricmgr/template/ |
まず、監視するメッセージを特定する条件を設計します。メッセージを特定する条件には、次の項目があります。
ホスト名
監視イベント種別
エラー種別
通報番号
メッセージタイプ
重要度
ラベル
メッセージテキスト
監視するメッセージの定義については、“Systemwalker Centric Manager 使用手引書 監視機能編”を参照してください。
次に、発生したメッセージに対する処理方法を設計します。
発生したメッセージを上位システムに送信するか、または、メッセージログに格納するかを設計します。また、発生したメッセージに対して、以下の属性を設定することができます。
監視イベント種別
監視イベント種別は、メッセージの種類を示す属性です。
標準では、「システム」、「ネットワーク」などの監視イベント種別が用意されています。
運用方法に応じて、任意の監視イベント種別を追加することも可能です。またメッセージの発生の仕方により、監視イベント種別が自動的に設定されたり、イベント監視の条件定義に登録されている監視イベント種別が設定されたりします。
運用管理サーバの[サーバ環境定義]に登録されている監視イベント種別を設定したメッセージは、Systemwalkerコンソールの監視イベント一覧に表示されます。
重要度
メッセージの重要度を示す属性で、「最重要」、「重要」、「警告」、「通知」、および「一般」の5種類があります。メッセージのエラー種別に対応してあらかじめ設定される重要度を変更する場合に設定します。
「最重要」、「重要」、「警告」、および「通知」のメッセージが監視イベント一覧に表示されます。監視イベント一覧に表示する必要がなく、メッセージ検索時に参照できればよいメッセージには「一般」を設定します。
通報番号
メッセージを識別するための属性です。運用方法により一定の指針に基づいてメッセージに通報番号を設定しておき、この通報番号をキーとしてトラブルを特定したり分類したりして管理できます。
文字色/背景色
メッセージを[メッセージ一覧]ウィンドウに表示するときの文字色/背景色です。他のメッセージと区別して強調表示したい場合などに設定します。
発生したメッセージに対する処理方法としては、以下のアクションを実行することもできます。
ショートメール通報
メール通報
ポップアップメッセージ通報
音声通知
イベントログ出力【Windows版】
アプリケーション起動
リモートコマンド発行
SNMPトラップ発行
メッセージに対して返答を要求【Solaris版/Linux版】
アクションの定義およびメッセージ返答要求については、“Systemwalker Centric Manager 使用手引書 監視機能編”を参照してください。
イベントを監視する場合の制限値を下表に示します。
定義名 | 制限内容 | 制限値 |
|---|---|---|
監視イベント種別の登録 | 監視可能な監視イベント種別数 | 最大64種類 |
イベント監視の条件定義 | 登録可能な条件の行数 | 最大5,000行 |
システム操作環境の定義 | 呼び出し可能なアプリケーション種類数 | 最大128個 |
リモートコマンドの登録 | 登録可能なコマンド種類数 | 最大64個 |
メッセージ説明の登録 | 登録可能なメッセージ説明数 | 最大10,000行 |
メッセージ送信先システムの定義 | 上位に接続可能なシステム数 | 最大 4システム |
1階層で配下に同時接続可能なシステム数 | 最大512システム |
Systemwalker Centric Manager のバージョンにより異なります。
V4.0L10/4.0~V4.0L20/4.1は1,024行
V5.0L10/5.0~V13.0.0は2,048行
V13.1.0以降は5,000行
全システム、指定システムごとです。
ただし、メニューバーに表示されるため、途中から選べなくなる可能性があります。
解像度1,024×768で40個程度までしか表示されません。
[リモートコマンド]ウィンドウで登録します。
必要時接続することで、論理的には無限台数の接続が可能となります。
Windowsのサーバ、イベント監視機能をインストールした運用管理クライアント、またはクライアントで設定するイベントログの処理設定は、「必要に応じてイベントを上書きする」を推奨します。
他の処理指定の場合は、イベントログ(システム、セキュリティ、アプリケーション)がいっぱいになったときに、たまっているログを保存して、イベントログを消去しないと、発生イベントが出力されない場合があります。
Systemwalker Centric Managerに受け渡すメッセージを変更する場合は、イベントログ監視設定ファイルで定義を変更してください。イベントログ監視設定ファイルの詳細については“Systemwalker Centric Manager リファレンスマニュアル”を参照してください。
注意
メッセージの監視についての注意事項
異なるシステム・異なるリソース(イベントログ、ログファイル監視設定に定義されたログファイル等)に出力されたメッセージは、システム負荷やネットワークの状況により監視するメッセージの順番が前後する場合があります。
メッセージが大量に発生、または被監視サーバから大量に通知された場合(同時に複数の被監視サーバから通知される場合など)、Systemwalker Centric Managerの各プロセスのCPU使用率が高くなり、メッセージが発生してからSystemwalkerコンソールへ表示されるまでに時間がかかることがあります。
監視の必要がないメッセージは、メッセージ発生元(自システム)から運用管理サーバに通知しないように定義してください。メッセージ監視の設定詳細については、“Systemwalker Centric Manager 使用手引書 監視機能編”を参照してください。
セキュリティのイベントに対して監査する場合は、以下を設定してください。
監査が必要なイベントだけをイベントログに出力させる。
イベントログ監視設定ファイルでセキュリティのイベントログを監視しないように設定にする。イベントログ監視設定ファイルの詳細については“Systemwalker Centric Manager リファレンスマニュアル”の“イベントログ監視設定ファイル”を参照してください。
Systemwalker Centric Managerは、syslogdまたはrsyslogdからメッセージを受け取ります。このための設定は以下のとおりです。
syslogdの環境定義ファイル/etc/syslog.conf、またはrsyslogdの環境定義ファイル/etc/rsyslog.confをSystemwalkerのインストール時に自動的に設定します。
【Solaris/HP-UX/AIX】
/etc/syslog.confを以下のように設定します。
*.warning /var/opt/FJSVsagt/fifo/slg
【Red Hat Enterprise Linux 6】
/etc/rsyslog.confを以下のように設定します。
$template FJSVsagtTemplate,"%TIMESTAMP% %HOSTNAME% %syslogtag%%msg:::drop-last-lf%\n" *.warning |/var/opt/FJSVsagt/fifo/slg;FJSVsagtTemplate
【Red Hat Enterprise Linux 7】
/etc/rsyslog.confを以下のように設定します。
*.warning |/var/opt/FJSVsagt/fifo/slg;RSYSLOG_TraditionalFileFormat
【上記以外のLinux】
/etc/syslog.confを以下のように設定します。
*.warning |/var/opt/FJSVsagt/fifo/slg
Systemwalker Centric Managerに受け渡すメッセージを変更する場合には、メッセージの定義部分(*.warningの部分)を任意に変更してください。
Solarisでは、/etc/syslog.confに空白を記述すると、syslogdが正しくメッセージをSystemwalker Centric Managerに通知しません。パラメタの区切りはタブを使用してください。
/etc/syslog.confまたは/etc/rsyslog.confを変更した場合は、以下のようにsyslogdまたはrsyslogdに変更したことを通知するかデーモンを再起動します。
通知する場合
【Red Hat Enterprise Linux 6.3 以降】
HUPシグナルの送信ではなく、rsyslogdを再起動してください。
【Red Hat Enterprise Linux 6.0/Red Hat Enterprise Linux 6.1/Red Hat Enterprise Linux 6.2】
rsyslogdに対してHUPシグナルを送ります。
ps -ef | grep rsyslogd kill -HUP <上記で求めたプロセスID>
【Solaris/HP-UX/AIX/上記以外のLinux】
syslogdに対してHUPシグナルを送ります。
ps -ef | grep syslogd kill -HUP <上記で求めたプロセスID>
Solaris 10以降でzoneを作成している場合、/etc/syslog.confに変更を加えたzoneのsyslogdをzone名で特定し、HUPシグナルを送ります。なお、ログインしているzoneのzone名は「/usr/bin/zonename」コマンドで確認できます。
ps -Zef | grep syslogd | grep `/usr/bin/zonename` kill -HUP <上記で求めたプロセスID>
再起動する場合
【Solaris 9】
sh /etc/rc2.d/S74syslog stop sh /etc/rc2.d/S74syslog start
【Solaris 10以降】
再起動の実施ではなく、HUPシグナルの通知を実施してください。
【Red Hat Enterprise Linux 6.3 以降】
Red Hat Enterprise Linux 6の場合
service rsyslog restart
Red Hat Enterprise Linux 7以降の場合
systemctl restart rsyslog.service
【上記以外のLinux】
sh /etc/rc.d/init.d/rsyslog restart
【Red Hat Enterprise Linux 6 以外のLinux】
sh /etc/rc.d/init.d/syslog restart
【HP-UX】
/sbin/init.d/syslogd stop /sbin/init.d/syslogd start
【AIX】
AIXについては、syslogdを再起動する方法はありません。
再起動を行った場合、syslogdまたはrsyslogdが停止している間に発生したメッセージはsyslogdまたはrsyslogdで処理されない場合があります。syslog.confファイルおよびrsyslog.confファイルの編集方法については、manコマンドを参照してください。
例)
「facility.level」が「kern.info」のメッセージを監視対象に追加する場合の例を以下に示します。
/etc/syslog.confまたは/etc/rsyslog.confを以下のように変更します。
【Solaris/HP-UX/AIX】
/etc/syslog.confを以下のように変更します。
【変更前】
*.warning /var/opt/FJSVsagt/fifo/slg
【変更後】
*.warning;kern.info /var/opt/FJSVsagt/fifo/slg
【Red Hat Enterprise Linux 6】
/etc/rsyslog.confを以下のように変更します。
【変更前】
*.warning |/var/opt/FJSVsagt/fifo/slg;FJSVsagtTemplate
【変更後】
*.warning;kern.info |/var/opt/FJSVsagt/fifo/slg;FJSVsagtTemplate
【Red Hat Enterprise Linux 7以降】
/etc/rsyslog.confを以下のように変更します。
【変更前】
*.warning |/var/opt/FJSVsagt/fifo/slg;RSYSLOG_TraditionalFileFormat
【変更後】
*.warning;kern.info |/var/opt/FJSVsagt/fifo/slg;RSYSLOG_TraditionalFileFormat
【上記以外のLinux】
/etc/syslog.confを以下のように変更します。
【変更前】
*.warning |/var/opt/FJSVsagt/fifo/slg
【変更後】
*.warning;kern.info |/var/opt/FJSVsagt/fifo/slg
syslogdを再起動します。
注意
システムの設定についての注意事項
他ホストから、syslogdまたはrsyslogdの機能によって通知されたメッセージは、監視対象となりません。
コマンド「uname -n」で獲得できるホスト名と、シスログのメッセージファイル(注)に出力されているホスト名が異なる場合、syslogdまたはrsyslogdから出力されたメッセージは監視対象となりません。Linux版の場合、ドット「.」以前を一致させてください。
注)
標準ではシスログのメッセージファイルは以下となります。
メッセージファイル | |
|---|---|
Solaris版 | /var/adm/messages |
Linux版 | /var/log/messages |
HP-UX版 | /var/adm/syslog/syslog.log |
AIX版 | /var/adm/messages |
自システムについて上記のホスト名が異なる場合は、システムの設定(ホスト名の設定)に不整合があると考えられますので確認してください。なお、大文字、小文字の違いの場合も不整合となります。
例)
Linux版でホスト名不整合となるケース
以下のように、/etc/sysconfig/networkファイルに定義されたホスト名(「XXXXX」)とは異なるホスト名(「YYYYY」)が、/etc/hostsファイルでIPアドレスの直後(「XXXXX」より前)に定義されている場合、不整合となる場合があります。この場合、コマンド「uname -n」では「XXXXX」が取得されますが、シスログのメッセージに付加されるホスト名は「YYYYY」となります。
/etc/sysconfig/networkファイルの定義
HOSTNAME=XXXXX |
/etc/hostsファイルの定義
10.90.144.56 YYYYY XXXXX |
この場合、/etc/sysconfig/networkファイルの定義ホスト名と、/etc/hostsファイルでIPアドレスの直後に定義されているホスト名を一致させる必要があります。
Systemwalker Centric Managerは、/etc/syslog.confまたは/etc/rsyslog.confに定義した条件(facility.level)のメッセージをsyslogdまたはrsyslogdから直接受信しています。このため、syslogdまたはrsyslogdが初期設定で出力しているメッセージファイル(例:messages)に出力されているメッセージとSystemwalker Centric Managerで監視しているものが同じにならない場合があります。
メッセージファイル(例:messages)の監視は行っていません。
syslogdまたはrsyslogdが初期設定で出力しているメッセージファイルと同じメッセージを監視する場合は、この条件(facility.level)の部分をメッセージファイルと同一に設定し、syslogdまたはrsyslogdに変更したことを通知するか、デーモンを再起動してください。
syslogdまたはrsyslogdから通知されるメッセージがOSの文字コードと異なる文字コードを含んでいた場合、そのメッセージは監視できません。
異なるシステム・異なるリソース(syslog、ログファイル監視設定に定義されたログファイル等)に出力されたメッセージは、システム負荷やネットワークの状況により監視するメッセージの順番が前後する場合があります。
メッセージが大量の発生、または被監視サーバから大量に通知された場合(同時に複数の被監視監視サーバから通知される場合など)、Systemwalker Centric Managerの各プロセスのCPU使用率が高くなり、メッセージが発生してからSystemwalkerコンソールへ表示されるまでに時間がかかることがあります。
監視の必要がないメッセージは、メッセージ発生元(自システム)から運用管理サーバに通知しないように定義してください。メッセージ監視の設定詳細については、“Systemwalker Centric Manager 使用手引書 監視機能編”を参照してください。
Systemwalker Centric Managerの起動前に、シスログまたは監視ログファイルに500件を超えるメッセージが出力された場合は、最新の500件が監視対象となります。
Red Hat Enterprise Linux 6以降のシスログに出力されたメッセージをイベント監視の条件定義の簡易チェックツールへ読み込ませて使用する場合は、Systemwalker Centric Managerへ通知するメッセージを標準のシステムログとは別のファイルに出力させ、このファイルを簡易チェックツールに使用します。
定義例)
【Red Hat Enterprise Linux 6】
/etc/rsyslog.conf に以下の定義を追加します。
*.warning /tmp/syslogmsg.log;FJSVsagtTemplate
【Red Hat Enterprise Linux 7以降】
/etc/rsyslog.conf に以下の定義を追加します。
*.warning /tmp/syslogmsg.log;RSYSLOG_TraditionalFileFormat
/tmp/syslogmsg.log は任意のファイルです。ここで指定したファイルを簡易チェックツールに読み込ませて使用します。
