メインコンテンツまでスキップ
Sumo Logic Japanese

リモート ファイル Source

リモート ファイル Source を使用して収集するログ ファイルは、UTF-8 または ASCII でエンコードする必要があります。Source を編集する場合、メタデータの変更内容はこれからのログに反映されます。過去に収集したログ データのメタデータは、遡って変更されることはありません。

Sumo Logic では、30 秒ごとにリモート ディレクトリがスキャンされます。

リモート ファイル Source を設定するには:

  1. 最初に、「Windows リモート ファイル収集の前提条件」を確認してください。
  2. Sumo Logic で [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] を選択します。
  3. Source を追加する Installed Collector の名前を見つけます。[Add (追加)] をクリックして、ポップアップ メニューから [Add Source (Source の追加)] を選択します。
  4. [Remote File (リモート ファイル)] を Source タイプとして選択します。 
  5. 以下の項目を設定します。
    • Name (名前): 新しい Source に表示する名前を入力します。必要に応じて Description (説明) を入力します。Source 名メタデータは _sourceName という検索可能なフィールドに格納されます。
    • Host (ホスト): リモート マシンのホスト名または IP アドレスを入力します (入力するホスト名はシステム ホスト名または IP アドレスで、変更はできません)。ホスト名は _sourceHost という検索可能なフィールドに格納されます。ホスト名は最大 128 文字です。
      [Source Host (Source ホスト)] の値は、システム環境変数を使用して定義できます。下記の「変数を使用した sourceCategory と sourceHost の設定」を参照してください。
    • Port (ポート): SSH サーバが標準以外のポートをリッスンする場合は、ポート番号を入力します。
    • Path Expression (パス式): Source がモニタリングするファイルへの絶対パス式を入力します。リモート ファイル Source では、ファイル パス内にワイルドカードを使用できます。ファイルのタイムスタンプ フォーマットが同一ではない場合、ファイルごとにリモート ファイル Source をセットアップします。
      Open SSH と Cygwin を使用した Windows コレクションの場合は、ファイル パスの先頭を /cygdrive にします。たとえば、パスが "C:\mandy test\6.log" の場合は、[File (ファイル)] フィールドに "/cygdrive/c/mandy\ test/6.log" と入力します。スペースがファイル パス内にある場合は、"\" を使用してエスケープします。
    • Collection should begin (コレクションの開始点): ログ履歴の収集をどこまで遡って開始するかを選択または入力します。以下のいずれかを実行します。
      • 「Now (現在)」から「24 hours ago (24 時間前)」、「All Time (すべての時間)」までの範囲のドロップダウン リストから定義済みの値を選択します。または、
      • 相対値を入力します。相対値を入力するには、[Collection should begin (コレクションの開始点)] フィールドをクリックし、キーボードで削除キーを押してフィールドをクリアします。次に、「-1w」などの相対時間表現を入力します。月 (M)、週 (w)、日 (d)、時間 (h)、および分 (m) を使用してコレクションの開始時期を定義できます。
    • Source Category。この Source から収集されたログを検索可能なメタデータでタグ付けするための文字列を入力します。たとえば、この Source のすべてのエントリをタグ付けするために "firewall" を [_sourceCategory] フィールドに入力します。「ベスト プラクティス: 良い Source Category、悪い Source Category」を参照してください。
      [Source Category] の値は、システム環境変数を使用して定義できます。下記の「変数を使用した sourceCategory と sourceHost の設定」を参照してください。
    • Fields (フィールド): [+Add Field (+ フィールドの追加)] リンクをクリックすると、カスタム ログ メタデータ フィールドが追加されます。
      • 関連付けるフィールドを定義します。各フィールドには、名前 (キー) と値が必要です。 
        • green check circle.png [Fields (フィールド)] テーブル スキーマにフィールドが存在し、有効化されている場合は、チェック マークを含む緑色の円が表示されます。
        • orange exclamation point.png [Fields (フィールド)] テーブル スキーマにフィールドが存在しない場合、またはフィールドが無効化されている場合は、感嘆符を含む橙色の三角形が表示されます。この場合は、存在しないフィールドを [Fields (フィールド)] テーブル スキーマに自動的に追加する、または有効化するオプションが表示されます。[Fields (フィールド)] スキーマに存在しないフィールドが Sumo に送信された場合、または無効化された場合、このフィールドは無視され、削除済みとして認識されます。
  6. この Source に使用する資格情報のタイプを以下から選択します。
    • Username and Password (ユーザ名とパスワード): リモート マシンの有効なユーザ資格情報を入力します。
    • Local SSH Config (ローカル SSH 設定): ユーザ名と、Collector ホストの PEM SSH キー ファイルへの絶対パス (ファイル名を含む) を入力します。必要に応じて、パスワードを入力します。

  7. [Advanced (詳細)] で以下のいずれかを設定します。
    • Blacklist (ブラックリスト): 省略可能。1 つ以上のパス式をコンマで区切って、除外するファイルを追加します。このフィールドには最大 10240 文字を入力できます。
    • Enable Timestamp Parsing (タイムスタンプ parse の有効化): デフォルトでは、このオプションはオンになっています。オフにすると、タイムスタンプ情報は parse されません。
      • Time Zone (タイム ゾーン): タイム ゾーンには 2 つのオプションがあります。ログ ファイル内のタイム ゾーンを使用できます。その後にタイム ゾーン情報がログ メッセージにない場合のオプションを選択します。または、Sumo Logic がログ内のタイム ゾーン情報を無視するように設定する場合は、タイム ゾーンを強制適用します。どのオプションを選択する場合でも、適切なタイム ゾーンを設定することが重要です。ログのタイム ゾーンを判断できない場合、Sumo Logic はログに UTC を割り当てます。ログの残りの部分が他のタイム ゾーンの場合は、検索結果に影響があります。
      • Timestamp Format (タイムスタンプ形式)。デフォルトでは、Sumo Logic はログのタイム スタンプ形式を自動的に検出します。ただし、Source のタイムスタンプ形式を手動で指定することができます。詳細は、「タイムスタンプ、タイム ゾーン、時間範囲、および日付フォーマット」を参照してください。
    • Enable Multiline Processing (複数行の処理の有効化)。複数行処理とそのオプションの詳細は、「複数行のログの収集」を参照してください。デフォルトでは、有効になっています。複数行メッセージ (log4J や例外スタック トレースなど) を使用する場合は、このオプションを使用します。single-message-per-line (1 行に 1 つのメッセージ) ファイル (Linux system.log など) の収集時に不要な処理を避けるには、このオプションの選択をオフにします。次のいずれかを選択してください。
      • Infer Boundaries (境界の推定): 同じメッセージに含まれる行を自動判定する場合は、有効にします。
        [Infer Boundaries (境界の推定)] オプションをオフにすると、複数行メッセージの先頭行全体の検出に使用する [Boundary Regex (境界正規表現)] フィールドに正規表現を入力する必要があります。
      • Boundary Regex (境界正規表現): 正規表現を使用してメッセージ間の境界を指定できます。ログ ファイル内のすべての複数行メッセージの先頭行全体に一致する正規表現を入力します。
  8. 新しい Source には、任意の処理ルールを作成できます。
  9. Source の設定が完了したら、[保存] をクリックします。

変数を使用した sourceCategory と sourceHost の設定

Collector バージョン 19.216-22 以降では、Source Category と Source ホストのメタデータ値を、ホスト マシンで設定するシステム環境変数で定義できます。

Source を設定するときは、次のようにシステム環境変数の先頭に sys. を付けて、変数全体を二重の中括弧 {{}} で囲みます。

{{sys.VAR_NAME}}

VAR_NAME は環境変数名です。例:

{{sys.PATH}}

以下のように、複数の変数を使用できます。

{{sys.PATH}}-{{sys.YourEnvVar}}

environment variable usage.png

以下のように、メタデータ形式でテキストを結合できます。

AnyTextYouWant_{{sys.PATH}}_{{sys.YourEnvVar}}

ユーザ定義変数がない場合は、メタデータ フィールドの該当部分は空白です。

  • この記事は役に立ちましたか?