メインコンテンツまでスキップ
Sumo Logic Japanese

インストール済みコレクタについて

概要

インストール済みコレクタとは、ソースからログとメトリクスを受け取り、データを暗号化して圧縮した状態で Sumo サービスに送信する Java エージェントです。その名前が暗示するように、インストール済みコレクタは Sumo サービス上に配置されるホスト型コレクタとは異なり、ユーザ環境にインストールされます。コレクタをインストールしたら、コレクタを接続して Sumo サービスに送信するデータを取得するためのソースを追加します。 

Sumo ソースは、特定のコレクタに合わせて設定されたオブジェクトであり、特定のターゲットを定期的にスキャンして、新しいデータがあればコレクタに送信します。Sumo には、インストール済みコレクタで使用できる多くのソース タイプがあります。次に例を示します。

  • ファイル ソース — ローカルおよびリモート ファイル ソースは、コレクタ ホストまたはリモート ホストで選択されたディレクトリからログを収集します。 
  • Windows イベント ログ ソース — ローカルおよびリモート Windows イベント ログ ソースは、コレクタ ホストまたはリモート ホストから Windows イベントを収集します。 
  • Windows パフォーマンス モニタ ログ ソース — ローカルおよびリモート Windows パフォーマンス モニタ ログ ソースは、コレクタ ホストまたはリモート ホストから Windows のパフォーマンスデータを収集します。
  • Docker ソース — Docker ソースは、Docker からコンテナのログ、イベント、および統計情報を収集します。
  • ホスト メトリクス ソース — Linux、MacOS、および Windows で使用できるホスト メトリクス ソースは、CPU やメモリなど、さまざまな OS メトリクスを収集します。

インストール済みコレクタでサポートされるすべてのソース タイプについては、「インストール済みコレクタのソース」を参照してください。

サポートされるオペレーティング システムとハードウェアの制約については、「インストール済みコレクタの要件」を参照してください。

デプロイのオプション

コレクタのインストールとソースの設定は、MacOs、Windows、および Linux ホストが混在するどのような環境でも行うことができます。コレクタのインストール場所を決めるときには、ネットワーク トポロジ、利用可能な帯域幅、そしてドメインやユーザ グループを考慮してください。

単一のインストール済みコレクタ

インストール済みコレクタは、ログ集計や他のネットワーク サービスに使用する任意の標準的なサーバにインストールできます。たとえば、特にすべてのデータに 1 つのネットワーク ロケーションからアクセスできる場合には、専用マシンにコレクタを 1 つだけインストールしてコレクションを集中させることができます。

複数のインストール済みコレクタ

分散ネットワーク トポロジの場合は、複数のコレクタを複数のマシンにインストールして、ソースを自由に組み合わせてセットアップすることでインフラストラクチャのデータを収集できます。

 

クラウドまたはデータ センターへのデプロイ

インストール済みコレクタは、クラウドやデータ センター環境でデプロイすることもできます。この場合は各マシンのコレクタが別々に Sumo Logic と通信して個別のログ データを送信し、ユーザはデプロイ内の任意の仮想マシンやサーバに対してクエリを実行できます。

インストール済みコレクタ メッセージの量の制限 

Sumo デプロイを計画する際には、インストール済みコレクタが処理できるメッセージの量に注意してください。次の表に、MaxHeap が 128 MB のホストでの推奨される毎秒のメッセージ数の制限を示します。 

MacOS および Linux (64 ビット) コレクタ

ソース タイプ 毎秒のメッセージ数の制限
ローカル ファイル ソース 5,000
リモート ファイル ソース 3,100
Syslog ソース 5,000

Windows 2008 (64 ビット) コレクタ

ソース タイプ 毎秒のメッセージ数の制限
ローカル ファイル ソース 4,250
リモート ファイル ソース 250

コレクタとソースのインストールと設定について

このセクションでは、コレクタとソースをインストールして設定するために Sumo が用意しているいくつかの方法の概要を説明します。

コレクタのインストールと設定

Sumo では、いくつかの方法でコレクタをインストールできます。

  • UI インストーラ。インストール ダイアログで設定の詳細を指定します。インストーラは、これらの設定をコレクタの /config ディレクトリにある user.properties に書き込みます。 
  • コマンドライン インストーラ。設定の詳細はコマンド ラインで指定するか、または変数ファイル (varfile) を使用して指定します。インストーラは、これらの設定をコレクタの /config ディレクトリにある user.properties に書き込みます。   
  • RPM (Linux)。user.properties ファイルを作成して、このファイルに設定の詳細を指定します。
  • バイナリ パッケージ (Linux)。バイナリ パッケージは MacOS でも使用できます。

コレクタのインストールの詳細については、「Linux へのコレクタのインストール」「MacOS へのコレクタのインストール」、および「Windows へのコレクタのインストール」をそれぞれ参照してください。  

コレクタの稼働開始後も、user.properties を編集してインストール済みコレクタを再起動することによってコレクタ設定の一部を変更できます。詳細については、「user.properties のパラメータ」を参照してください。

一部のインストール済みコレクタ動作 (キャッシュなど) は、コレクタの config ディレクトリにある collector.properties ファイルで設定します。  

インストール済みコレクタの設定は、コレクタ管理 API で更新できます。詳細については、「コレクタ API メソッドと例」を参照してください。

ソースの設定

1 つコレクタで、必要なだけいくつでもソースをセットアップできます。1 つのソースは、同様のデータ タイプを収集するように設定してください。たとえば、3 つのローカル ファイル ソースでルータ アクティビティ ログを 3 箇所から収集し、もう 1 つのローカル ファイル ソースで Web アプリケーションからログを収集するとします。

「メタデータの命名規則」で説明されているように、各ソースにはそれぞれのメタデータでタグが付けられます。各ソースは自身のメタデータで識別されるため、より多くのソースを設定するほど、検索時にソースを識別しやすくなります。

ログ ファイルからデータを読み取るソースを設定する際には、スキャンするファイルを定義するパス式を指定します。また、収集対象から除外するファイルのブラックリストを任意で設定することもできます。  

ソースは、コレクタのインストール後にいつでも Sumo Web アプリケーションで作成できます。ソース関連の説明については、「インストール済みコレクタのソース」を参照してください。

あるいは、インストール済みコレクタのソースを UTF-8 でエンコードされた JSON ファイルで指定することもできます。この場合は、コレクタを最初に起動する際にこのファイルを指定する必要があります。詳細については、「JSON を使用したソースの設定」を参照してください。ソース設定を JSON ファイルで指定した場合は、Sumo Web アプリケーションやコレクタ管理 API ではソースを管理できなくなりますので注意してください。

インストール済みコレクタとソースの動作

このセクションでは、インストール済みコレクタとそのソースがどのように動作するかについて説明します。

インストール済みコレクタの起動

インストール済みコレクタを最初に起動すると、コレクタは Sumo に自身を登録し、UTF-8 でエンコードされた JSON ソース設定ファイルに定義されているソースを作成します。

Sumo への登録を行うため、コレクタはリクエストを最初に US1 デプロイに送信します。組織が別のデプロイに配置されている場合、Sumo は認証資格情報のデプロイに基づいて、コレクタを正しいデプロイ URL にリダイレクトします。デプロイ URL は、コレクタの user.properties ファイルの url パラメータで指定できます。

ソースによるデータのスキャン

ソースは、それぞれのターゲット ディレクトリまたはデータ構造を定期的にスキャンします。ローカル ファイル ソースは、ターゲット ディレクトリを 2 秒に 1 回スキャンします。Windows パフォーマンス モニタ ソースとスクリプト ソースでは、ソースを定義する際にスキャン間隔を指定できます。

インストール済みコレクタから Sumo サービスへのデータの送信

インストール済みコレクタは、コレクタで設定されているソースからデータが送られて来ると、すぐに Sumo サービスへのデータの送信を開始します。コレクタはデータを送信する前に (約 1/10 に) 圧縮して暗号化します。コレクタは、HTTPS を介してデータを Sumo サービスに送信します。

Sumo サービスにすでに送信したデータをトラッキング管理するため、コレクタは「指紋」(ファイルの先頭 2048 バイト) とコレクタが読み取った最後の行を示す読み取りポインタでファイルをトラッキングします。この指紋は、ソースから送られた既知の指紋のリストと比較されます。指紋が既知のリストのいずれとも一致しない場合は、ファイルを先頭から読み取って Sumo に送信します。一致する指紋がリストにあれば、そのファイルの最後の読み取りバイトの後から読み取ります。コレクタは、この情報をほぼ毎秒更新します。ファイルの指紋は、特に別の方法で保持される以外は、ファイルが削除された後しばらくは保存されます。

調整、キャッシュ、およびフラッシュ

通常、コレクタは接続環境で可能な最高速度で Sumo サービスにデータを送信します。状況によっては、Sumo サービスがコレクタに対して、サービスへのデータ送信レートを下げるように調整を求めることがあります。 

調整が必要かどうかを判断するため、Sumo は、以前のリクエスト数に対してすでにアップロード済みのデータの量と、アカウントで利用できるリソース (割り当て) の量を測定します。つまり、Sumo Logic は、現在の取り込み速度を、契約してある 1 日あたりのデータ量 (GB/日) から計算される毎分の速度と比較します。

調整が不要になると、Sumo サービスはコレクタに速度を上げるように指示します。

詳細については、「取り込みの管理」を参照してください。 

キャッシュ

インストール済みコレクタは、調整または一時停止が指示された場合、あるいは Sumo サービスとの接続が切れた場合に、送信するデータをキャッシュします。データは最初にメモリにキャッシュされ、続いてディスクにキャッシュされます。デフォルトでは、コレクタは次の量のデータをキャッシュできます。

以下を含む最大 4GB のディスク領域:

  • ログ データ用に最大 3GB
  • メトリクス データ用に最大 1GB

コレクタがキャッシュに使用するディスク スペース量は増減できます。詳細については、「コレクタのキャッシュ制限の設定」を参照してください。

フラッシュ モード

古いデータを退かせて新規データ用の場所を作る固定サイズのキャッシュとは異なり、フラッシュ モードは新規データの取り込みを停止して、既存データの送信 (キャッシュのフラッシュ) に集中します。

コレクタがインストールされているマシンの空きディスク スペース量が 10% を切ると、コレクタはフラッシュ モードに入ります。詳細については、「フラッシュ モード」を参照してください。

コレクタのモニタリングとログ

インストール済みコレクタは、15 秒おきにハートビート信号を Sumo サービスに送信します。Sumo サービスがコレクタからのハートビート信号を 30 分間受信しないと、コレクタがオフラインであると判断し、Sumo Web アプリケーションの [Collection (コレクション)] ページのステータスを赤色に変更します。ハートビート信号は、JSON オブジェクトの alive パラメータにリンクされています。

コレクタは log4j フレームワークを使用します。collector.log のログ ローテーション動作は、コレクタの /config ディレクトリにある log4j.xml ファイルを編集することで調整できます。詳細については、「ログ ローテーションの設定」を参照してください。