外部 syslog サーバを設定します
変更を提案
PDF
監査ログ、アプリケーションログ、およびセキュリティイベントログをグリッド以外の場所に保存する場合は、この手順 を使用して外部 syslog サーバを設定します。
-
を使用して Grid Manager にサインインします "サポートされている Web ブラウザ"。
-
Maintenance または Root アクセス権限が必要です。
-
ログファイルを受信して保存する容量を持つ syslog サーバを用意しておきます。詳細については、を参照してください "外部 syslog サーバに関する考慮事項"。
-
TLS または RELP/TLS を使用する場合は、適切なサーバおよびクライアントの認定資格を取得している必要があります。
外部の syslog サーバに監査情報を送信する場合は、先に外部サーバを設定する必要があります。
外部 syslog サーバに監査情報を送信すると、次のことが可能になります。
-
監査メッセージ、アプリケーションログ、セキュリティイベントなどの監査情報をより効率的に収集および管理できます
-
管理ノードを経由することなくさまざまなストレージノードから外部 syslog サーバに監査情報が直接転送されるため、管理ノードのネットワークトラフィックが軽減されます
外部 syslog サーバにログを送信する場合、外部 syslog サーバの実装で共通の制限に準拠するために、メッセージの末尾に 8192 バイトを超える単一のログが切り捨てられます。 
外部 syslog サーバに障害が発生した場合にデータを完全にリカバリできるようにするために、各ノードに最大 20GB の監査レコード( localaudit.log )が保持されます。
この手順 で使用可能な構成オプションが要件を満たすほど柔軟性がない場合は、プライベートAPIを使用して追加の構成オプションを適用できます audit-destinationsエンドポイント:たとえば、ノードのグループごとに異なる syslog サーバを使用できます。
外部サーバを設定します
ウィザードにアクセスします
起動するには、Configure external syslog serverウィザードにアクセスします。
-
* configuration * > * Monitoring * > * Audit and syslog server * を選択します。
-
監査および syslog サーバページで、 * 外部 syslog サーバの設定 * を選択します。以前に外部 syslog サーバを設定している場合は、 * 外部 syslog サーバの編集 * を選択します。
Configure external syslog serverウィザードが表示されます。
syslog 情報を入力します
外部syslogサーバにアクセスするためにStorageGRID が必要とする情報を指定する必要があります。
-
ウィザードの* syslog情報の入力*ステップで、* Host *フィールドに外部syslogサーバの有効な完全修飾ドメイン名またはIPv4またはIPv6アドレスを入力します。
-
外部 syslog サーバのデスティネーションポートを入力します( 1~65535 の整数で指定する必要があります)。デフォルトポートは 514 です。
-
外部 syslog サーバへの監査情報の送信に使用するプロトコルを選択します。
TLS または RELP/TLS *を使用することを推奨します。これらのいずれかのオプションを使用するには、サーバ証明書をアップロードする必要があります。証明書を使用して、グリッドと外部 syslog サーバの間の接続を保護できます。詳細については、を参照してください "セキュリティ証明書を管理する"。
すべてのプロトコルオプションで、外部 syslog サーバによるサポートおよび設定が必要です。外部 syslog サーバと互換性のあるオプションを選択する必要があります。
Reliable Event Logging Protocol (RELP) は、 syslog プロトコルの機能を拡張し、信頼性の高いイベントメッセージ配信を実現します。RELP を使用すると、外部 syslog サーバを再起動する必要がある場合に監査情報が失われないようにすることができます。 -
「 * Continue * 」を選択します。
-
[[attach-certificate] ]TLS * または * RELP/TLS * を選択した場合は、次の証明書をアップロードします。
-
* Server CA certificates* :外部 syslog サーバを検証するための信頼された CA 証明書( PEM エンコーディング)。省略すると、デフォルトの Grid CA 証明書が使用されます。ここでアップロードするファイルは CA バンドルである可能性があります。
-
* クライアント証明書 * :外部 syslog サーバへの認証用のクライアント証明書( PEM エンコード)。
-
* クライアント秘密鍵 * :クライアント証明書の秘密鍵( PEM エンコーディング)。
クライアント証明書を使用する場合は、クライアント秘密鍵も使用する必要があります。暗号化された秘密鍵を指定する場合は、パスフレーズも指定する必要があります。暗号化された秘密鍵を使用した場合、セキュリティ上の大きなメリットはありません。これは、鍵とパスフレーズを格納する必要があるためです。暗号化されていない秘密鍵を使用することを推奨します(使用可能な場合)。 -
使用する証明書またはキーの [* 参照 ] を選択します。
-
証明書ファイルまたはキーファイルを選択します。
-
ファイルをアップロードするには、 * 開く * を選択します。
証明書またはキーファイル名の横に緑のチェックマークが表示され、正常にアップロードされたことを通知します。
-
-
-
「 * Continue * 」を選択します。
syslog の内容を管理します
外部syslogサーバに送信する情報を選択できます。
-
ウィザードの* syslogコンテンツの管理*ステップで、外部syslogサーバに送信する監査情報の種類をそれぞれ選択します。
-
監査ログの送信:StorageGRID イベントとシステムアクティビティを送信します
-
セキュリティイベントの送信:許可されていないユーザーがサインインしようとしたときや、ユーザーがrootとしてサインインしようとしたときなど、セキュリティイベントを送信します
-
アプリケーションログを送信:次のようなトラブルシューティングに役立つログファイルを送信します。
-
bycast-err.log -
bycast.log -
jaeger.log -
nms.log(管理ノードのみ) -
prometheus.log -
raft.log -
hagroups.log
-
-
-
ドロップダウンメニューを使用して、送信する監査情報のカテゴリの重大度とファシリティ(メッセージのタイプ)を選択します。
重大度とファシリティに *Passthrough * を選択すると、リモート syslog サーバに送信される情報の重大度とファシリティは、ノードにローカルにログインしたときと同じになります。ファシリティと重大度を設定すると、カスタマイズ可能な方法でログを集約し、分析を容易にすることができます。
StorageGRID ソフトウェアログの詳細については、を参照してください "StorageGRID ソフトウェアのログ"。 -
各メッセージを外部 syslog に送信する際に、ローカル syslog の場合と同じ重大度値を使用する場合は、 [Severity] に [*Passthrough] を選択します。
監査ログの場合、*[Passthrough]*を選択すると、重大度は「info」です。
セキュリティイベントの場合、* Passthrough *を選択すると、重大度の値はノード上のLinuxディストリビューションによって生成されます。
アプリケーション・ログの場合、 *Passthrough * を選択すると、問題 の内容によって、重大度は「 info 」と「 notice 」の間で異なります。たとえば、NTPサーバを追加してHAグループを設定すると値は「info」になり、SSMサービスまたはRSMサービスを意図的に停止すると値は「notice」になります。
-
パススルー値を使用しない場合は、重大度値を0~7の範囲で選択します。
選択した値は、このタイプのすべてのメッセージに適用されます。重大度を固定の値で上書きすることを選択すると、それぞれの情報が失われます。
重大度 説明 0
EMERGENCY :システムが使用できない
1.
ALERT :早急に対処が必要です
2.
Critical :クリティカルな状態です
3.
Error :エラー状態
4.
Warning :警告状態です
5.
通知:通常の状態だが重要な状態
6.
INFORMATIONAL :情報メッセージです
7.
DEBUG :デバッグレベルのメッセージ
-
* Facility * の場合、各メッセージを外部 syslog に送信する際に、ローカル syslog の場合と同じファシリティ値を使用するには、 Passthrough を選択します。
監査ログの場合、* Passthrough *を選択すると、外部syslogサーバに送信されるファシリティは「local7」になります。
セキュリティ・イベントの場合は、 *Passthrough * を選択すると、ノード上の Linux ディストリビューションによってファシリティ値が生成されます。
アプリケーション・ログの場合、 *Passthrough * を選択すると、外部 syslog サーバに送信されるアプリケーション・ログには、次のファシリティ値が設定されます。
アプリケーションログ パススルー値 bycast.log
ユーザまたはデーモン
bycast-err.log
user 、 daemon 、 local3 、または local4
jaeger.log
local2
nms.log
ローカル 3
prometheus.log
「 LOCAL4 」
raft.log
local5
hagroups.log
local6
-
パススルー値を使用しない場合は、0~23のファシリティ値を選択します。
選択した値は、このタイプのすべてのメッセージに適用されます。施設を固定値でオーバーライドすることを選択すると、さまざまな施設に関する情報が失われます。
ファシリティ 説明 0
kern (カーネルメッセージ)
1.
ユーザ(ユーザレベルのメッセージ)
2.
メール
3.
デーモン(システムデーモン)
4.
AUTH (セキュリティ / 認証メッセージ)
5.
syslog ( syslogd で内部的に生成されるメッセージ)
6.
LPR (ラインプリンタサブシステム)
7.
News (ネットワークニュースサブシステム)
8.
UUCP
9.
cron クロックデーモン
10.
セキュリティ(セキュリティ / 認可メッセージ)
11.
FTP
12.
NTP
13
logaudit (ログ監査)
14
logalert (ログアラート)
15
clock ( clock デーモン)
16
local0
17
local1
18
local2
19
ローカル 3
20
「 LOCAL4 」
21
local5
22
local6
23
local7
-
-
「 * Continue * 」を選択します。
テストメッセージを送信します
外部 syslog サーバの使用を開始する前に、グリッド内のすべてのノードが外部 syslog サーバにテストメッセージを送信するように要求する必要があります。外部 syslog サーバへのデータ送信にコミットする前に、これらのテストメッセージを使用してログ収集インフラ全体を検証する必要があります。
|
|
外部syslogサーバがグリッド内の各ノードからテストメッセージを受信し、メッセージが想定どおりに処理されたことを確認するまでは、外部syslogサーバの設定を使用しないでください。 |
-
外部syslogサーバが適切に設定され、グリッド内のすべてのノードから監査情報を受信できることが確実であるためにテストメッセージを送信しない場合は、*[スキップして終了]*を選択します。
設定が正常に保存されたことを示す緑のバナーが表示されます。
-
それ以外の場合は、テストメッセージを送信(推奨)を選択します。
テスト結果は、テストを停止するまでページに継続的に表示されます。テストの実行中も、以前に設定した送信先に監査メッセージが引き続き送信されます。
-
エラーが発生した場合は、修正して、もう一度 [ テストメッセージを送信する *] を選択します。
を参照してください "外部 syslog サーバのトラブルシューティング" エラーの解決に役立ちます。
-
すべてのノードがテストに合格したことを示す緑のバナーが表示されるまで待ちます。
-
syslog サーバを調べて、テストメッセージが正常に受信および処理されているかどうかを確認します。
UDP を使用している場合は、ログ収集インフラストラクチャ全体を確認します。UDP プロトコルでは、他のプロトコルと同様に厳しいエラー検出はできません。 -
「 * ストップ & フィニッシュ * 」を選択します。
監査および syslog サーバ * ページに戻ります。syslog サーバの設定が正常に保存されたことを示す緑のバナーが表示されます。
外部 syslog サーバを含む送信先を選択するまで、 StorageGRID 監査情報は外部 syslog サーバに送信されません。
監査情報の送信先を選択します
セキュリティイベントログ、アプリケーションログ、および監査メッセージログの送信先を指定できます。
|
|
StorageGRID ソフトウェアログの詳細については、を参照してください "StorageGRID ソフトウェアのログ"。 |
-
Audit and syslog server ページで、表示されたオプションから監査情報の宛先を選択します。
オプション 説明 デフォルト(管理ノード / ローカルノード)
監査メッセージが監査ログに送信されます (`audit.log`管理ノードでは、セキュリティイベントログとアプリケーションログが生成されたノード(「ローカルノード」とも呼ばれます)に格納されます。
外部 syslog サーバ
監査情報が外部 syslog サーバに送信され、ローカルノードに保存されます。送信される情報の種類は、外部 syslog サーバの設定方法によって異なります。このオプションは、外部 syslog サーバを設定した場合にのみ有効になります。
管理ノードと外部 syslog サーバ
監査メッセージが監査ログに送信されます (
audit.log)が管理ノードに送信され、監査情報が外部syslogサーバに送信されてローカルノードに保存されます。送信される情報の種類は、外部 syslog サーバの設定方法によって異なります。このオプションは、外部 syslog サーバを設定した場合にのみ有効になります。ローカルノードのみ
管理ノードまたはリモート syslog サーバには監査情報は送信されません。監査情報は、生成したノードにのみ保存されます。
-
注: StorageGRID は、定期的にこれらのローカルログをローテーションから削除して、スペースを解放します。ノードのログファイルが 1GB に達すると、既存のファイルが保存され、新しいログファイルが開始されます。ログのローテーションの上限は 21 ファイルです。ログファイルの 22 番目のバージョンが作成されると、最も古いログファイルが削除されます。各ノードには平均約 20GB のログデータが格納されます。
すべてのローカルノードで生成された監査情報はに格納されます /var/local/log/localaudit.log -
-
[ 保存( Save ) ] を選択します。次に、* OK *を選択して、ログの保存先への変更を確定します。
-
監査情報のデスティネーションとして外部 syslog サーバ * または * 管理ノードと外部 syslog サーバ * のどちらかを選択した場合は、追加の警告が表示されます。警告テキストを確認します。
外部 syslog サーバがテスト用の StorageGRID メッセージを受信できることを確認する必要があります。 -
[OK]*を選択して、監査情報の保存先を変更することを確認します。
監査設定が正常に保存されたことを示す緑のバナーが表示されます。
選択した送信先に新しいログが送信されます。既存のログは現在の場所に残ります。