メインコンテンツまでスキップ
Sumo Logic Japanese

Apache のログの収集

この手順では、ログを Apache から Sumo Logic に収集する方法について説明します。

ログ タイプ

Apache では、アクセス ログについては NCSA extended/combined ログ ファイル形式、エラー ログについてはデフォルトの Apache エラー ログ ファイル形式が前提とされています。カスタム ログの形式の詳細については、「Apache モジュール mod_log_config」を参照してください。

プロセス概要

Apache アプリケーションのログ収集を設定するには以下の作業を行います。

  1. エラー ログ形式を設定するように Apache 設定ファイルを変更します。
  2. Sumo Logic Collector をインストールします。
  3. 2 つのローカル ファイル Source を設定します。1 つは Apache アクセス ログ用、もう 1 つは Apache エラー ログ用です。

ステップ 1: Apache エラー ログ形式の設定

エラー ログ形式を設定することで、実際のログ メッセージに加えてエラー ログに記録する情報を指定できます。

エラー ログ エントリの形式を指定するには、次の手順を実行します。

  1. ASCII テキスト エディタで Apache 設定ファイルを開きます。  ほとんどのシステムでは、Apache をパッケージ マネージャでインストールした場合、あるいは Apache が事前にインストールされていた場合の Apache 設定ファイルの場所は /etc/apache2/httpd.conf または /etc/apache2/apache2.conf です。
  2. 「Apache ErrorLogFormat」ドキュメントの説明に従って Apache エラー ログ形式を設定します。
  1. 設定ファイルに以下の行を追加します。
ErrorLogFormat connection "[%t] New connection: [connection: %{c}L] [client %a]"
ErrorLogFormat request "[%t] New request: [connection: %{c}L] [request: %L] [pid %P] %F: %E: [client %a]"
ErrorLogFormat "[%t] [%l] [C: %{c}L] [R: %L] [pid %P] %F: %E: [client %a] %M"
  1. 編集したファイルを保存して、Apache Web サーバを再起動します。

ステップ 2: Collector の設定

Sumo Logic Collector を設定するには、「Installed Collector」ページの手順に従ってください。

ステップ 3: 2 つのローカル ファイル Source の設定

この作業では、次の 2 つのローカル ファイル Source の設定方法を示します。

  • Apache アクセス ログのローカル ファイル Source
  • Apache エラー ログのローカル ファイル Source

Apache アクセス ログのローカル ファイル Source を設定するには、次の手順を実行します。

  1. ローカル ファイル Source (Apache アクセス ログ用) を設定します。
  2. 以下の Source フィールドを設定します。
    1. Name (名前): (必須) 名前は必須です。必要に応じて説明を入力します。
    2. File Path (ファイル パス)。(必須) 通常は /var/log/apache/access.log です。
    3. Source Category: (必須) [Source Category] メタデータ フィールドは、Source を整理してラベル付けするための基本的な構成要素です。例: prod/web/apache/error。詳細については、「ベスト プラクティス」を参照してください。
  3. [Advanced (詳細)] セクションを設定します。
    1. Enable Timestamp Parsing (タイムスタンプ parse の有効化)。True
    2. Time Zone (タイム ゾーン): ログでは、デフォルトで UTC 形式が使用されます。
    3. Timestamp Format (タイムスタンプ形式)。自動検出。
  4. [Save (保存)] をクリックします。

Apache エラー ログのローカル ファイル Source を設定するには、次の手順を実行します。

  1. ローカル ファイル Source (Apache エラー ログ用) を設定します。
  2. 以下の Source フィールドを設定します。
    1. Name (名前): (必須) 名前は必須です。必要に応じて説明を入力します。
    2. File Path (ファイル パス)。(必須) 通常は /var/log/apache/error.log または /var/log/apache2/errorlog です。
    3. Source Category: (必須) [Source Category] メタデータ フィールドは、Source を整理してラベル付けするための基本的な構成要素です。例: prod/web/apache/access。詳細については、「ベスト プラクティス」を参照してください。
  3. [Advanced (詳細)] セクションを設定します。
    1. Enable Timestamp Parsing (タイムスタンプ parse の有効化)。True
    2. Time Zone (タイム ゾーン): ログでは、デフォルトで UTC 形式が使用されます。
    3. Timestamp Format (タイムスタンプ形式)。自動検出。
  4. [Save (保存)] をクリックします。

FER (Field Extraction Rules)

FER を作成するときに、Apache Access ログ用のテンプレートから選択することもできます。

| parse regex "^(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})" 
| parse regex "(?<method>[A-Z]+)\s(?<url>\S+)\sHTTP/[\d\.]+\"\s(?<status_code>\d+)\s(?<size>[\d-]+)\s\"(?<referrer>.*?)\"\s\"(?<user_agent>.+?)\".*"

ログ メッセージのサンプル

38.99.50.98 - - [06/Jan/2017:15:43:56 +0000] "GET /icons/ubuntu-logo.png HTTP/1.1" 200 3688 "http://sample.org/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36"
38.99.50.98 - - [06/Jan/2017:15:43:56 +0000] "GET /favicon.ico HTTP/1.1" 404 498 "http://sample.org/" "Mozilla/5.0 (Macintosh; Intel Mac OS X 10_10_5) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/55.0.2883.95 Safari/537.36"

クエリのサンプル

すべての HTTP 応答コードとそれらのカウント

_sourceCategory=apache | parse regex "^(?<src_ip>\d{1,3}\.\d{1,3}\.\d{1,3}\.\d{1,3})" nodrop | parse regex "(?<method>[A-Z]+)\s(?<url>\S+)\sHTTP/[\d\.]+\"\s(?<status_code>\d+)\s(?<size>[\d-]+)" nodrop | parse regex "(?<method>[A-Z]+)\s(?<url>\S+)\sHTTP/[\d\.]+\"\s(?<status_code>\d+)\s(?<size>[\d-]+)\s\"(?<referrer>.*?)\"\s\"(?<user_agent>.+?)\".*" nodrop | count by status_code | sort by _count</user_agent></referrer></size></status_code></url></method></size></status_code></url></method></src_ip>

  • この記事は役に立ちましたか?