Installed Collector からのデータの転送
1 つ以上の Data Forwarding の宛先をセットアップし、指定された Source からその宛先にログ データを送信するように Installed Collector を設定できます。Collector はデータを外部宛先に送信し、同時に Sumo にも送信します。
次のプロトコルを使用してデータを転送できます。
- Syslog (TCP と UDP) - ログ データを syslog サーバに送信します。
- HTTP REST API - ログ データを Web サービス エンドポイントに送信します。
- Hitachi Data Systems HTTP REST API - ログ データを Hitachi Content Platform (HCP) に送信します。
以下の手順に従って、ログ データを外部宛先に転送するように Collector を設定します。
Installed Collector の Data Forwarding は、初めて Source を設定するときに、あるいは、後からセットアップすることができます。後からルールを適用する場合、ルールは遡及的に適用されないことに注意してください。
Data Forwarding の宛先の設定
Data Forwarding の宛先をセットアップするには
- [Manage Data (データの管理)] > [Settings (設定)] > [Data Forwarding] を選択します。
- [+] をクリックして、新しい宛先を追加します。
- [Destination Type (宛先タイプ)] として、以下のオプションの 1 つを選択します。
- Hitachi
- Generic REST
- syslog
- 宛先を識別する名前を入力します。
- (Generic REST と Hitachi) URL。宛先にアクセスする URL を入力します。
- (Generic REST と Hitachi) オブジェクト ID。(省略可能) パス名を入力するか、他のファイル形式を入力し、次の変数のいずれかを含めます。
{day}
yyyy-MM-dd 形式の年月日に置き換えます。{hour}
1 日の時間 (0 ~ 23) に置き換えます。{minute}
時間の分に置き換えます。{second}
時間の秒に置き換えます。{uuid}
ランダムに生成された一意の ID (UUID) に置き換えます。 - (Generic REST と Hitachi) 宛先にアクセスするためのユーザ名とパスワードを入力します。Collector に対する管理者権限が必要です。
- (syslog) プロトコル。syslog メッセージを送信するためのプロトコル (TCP または UDP) を選択します。
- (syslog) ポート。syslog メッセージを送信するためのポートを入力します。
- (syslog) トークン。syslog 経由でメッセージを転送する際に、先頭に追加するトークンを入力します。トークンでは、次のような特別な変数が使用されます。
{file}
該当する場合は、元のファイルの名前にマッピングします。
{hostname}
メッセージが生成されたホストの名前。{category}
このメッセージを収集した Source のカテゴリ。 - [Save (保存)] をクリックして情報を保存し、新しい宛先をリストに追加します。
Data Forwarding の処理ルールの設定
この手順では、外部宛先への送信元の Source からのデータを設定する 1 つ以上の処理ルールを定義します。Data Forwarding 処理ルールは、他のすべての処理ルールの後に処理されます。
処理ルールの設定にはいくつかの方法があります。
- Sumo Web アプリケーション - 以下の手順を参照してください。
- JSON - 「JSON ファイルを使用した処理ルールの作成」を参照してください。
- Collector 管理 API - API を使用して、Data Forwarding できるように Source を設定する方法については、「Collector 管理 API」を参照してください。
- ローカル Source の設定ファイル - ローカル ファイル設定を使用して Source を管理するための一般的な情報については、「ローカル ファイル設定の管理」を参照してください。
Web アプリケーションを使用して、Data Forwarding のための処理ルールを設定するには、次の手順を実行します。
- [Manage Data (データの管理)] > [Collection (コレクション)] > [Collection (コレクション)] の順に移動します。
- 設定する Source を検索して、Source の [Edit (編集)] リンクをクリックします。
Source には、Installed Collector が関連付けられている必要があります。 - [Processing Rules (処理ルール)] セクションまでスクロール ダウンし、矢印をクリックしてセクションを展開します。
- [Add Rule (ルールの追加)] をクリックします。
- 名前を入力して、ルールを定義します。
- [Filter (フィルタ)] フィールドで、転送するメッセージを定義する正規表現を入力します。正規表現は RE2 に準拠している必要があります。たとえば、正規表現
*ERROR*
は、ERROR を含むすべてのメッセージと照合します。- 処理ルールの作成に関する詳細については、「処理ルールの作成」を参照してください。
- ルール タイプとして、[Forward messages that match (一致するメッセージの転送)] を選択します。このオプションは、前のセクションで説明したように、1 つ以上の Data Forwarding の宛先を定義した場合に限り表示されます。
- ドロップダウン メニューから宛先を選択します。
- [Syslog Destination Type (syslog 宛先タイプ)] が選択されている場合は、[Transparent Forwarding (透過的転送)] を選択するオプションが表示されます。syslog 転送では、RFC 3164 に準拠するためにデフォルトでメッセージの先頭にタイムスタンプとホスト名が追加されます。syslog メッセージがすでに準拠している場合は、[Transparent Forwarding (透過的転送)] を有効にして、デフォルトの付加動作を無効にすることができます。
- [Syslog Destination Type (syslog 宛先タイプ)] が選択されている場合は、[Transparent Forwarding (透過的転送)] を選択するオプションが表示されます。syslog 転送では、RFC 3164 に準拠するためにデフォルトでメッセージの先頭にタイムスタンプとホスト名が追加されます。syslog メッセージがすでに準拠している場合は、[Transparent Forwarding (透過的転送)] を有効にして、デフォルトの付加動作を無効にすることができます。
- [適用] をクリックします。
- 以前に定義した他の処理ルールと共に、新しいルールが表示されます。
- さらにルールを追加する必要がある場合は、[Add Rule (ルールの追加)] をクリックします。
- [Save (保存)] をクリックして定義したルールを保存し、ルールに一致するデータの転送を開始します。
転送される syslog メッセージのサイズの設定
Collector は RFC 3164 に従い、デフォルトの 1024 バイト セグメントに分割して syslog メッセージを転送します。各セグメントは個別のメッセージとして送信されます。セグメント サイズを変更するには、forwarding.syslog.maxMessageSize プロパティを (Collector の config ディレクトリにある) collector.properties ファイルに追加して、Collector を再起動します。必要なサイズをバイトで指定します。例:
forwarding.syslog.maxMessageSize = 2048
Data Forwarding キューのサイズの設定
バージョン 19.216-22 以降の Collector では、Installed Collector の Data Forwarding キューのインメモリ ストレージはディスク ストレージによってサポートされます。インメモリ キューが所定のサイズに達すると、Collector はディスク上のキューを拡大します。
Sumo は、REST および TCP の syslog 宛先に転送されるデータに、メモリとディスク ストレージを割り当てます。Sumo は、デフォルトで次のように割り当てます。
-
syslog 宛先ごとに 8MB のメモリと 500MB のディスク ストレージ。
-
REST エンドポイントごとに 8MB のメモリと 500MB のディスク ストレージ。
Collector の /config ディレクトリにある collector.properties ファイルに、Data Forwarding のキューが消費できるメモリおよびディスクの量を指定するためのプロパティを追加できます。宛先タイプに指定する制限は、そのタイプの宛先ごとに適用されます。
メモリおよびディスクの制限に到達するとデータは破棄されますので、設定する制限値を低くしすぎないでください。
プロパティ | 説明 |
queue.rest.max.memory.mb | REST 宛先ごとに、Data Forwarding キューに割り当てられるメモリ量を指定します。 デフォルト: 8MB |
queue.rest.max.disk.mb | REST 宛先ごとに、Data Forwarding キューに割り当てられるディスク領域を指定します。 デフォルト: 500MB |
queue.syslog.max.memory.mb | Syslog 宛先ごとに、Data Forwarding キューに割り当てられるメモリ量を指定します。 デフォルト: 8MB |
queue.syslog.max.disk.mb | Syslog 宛先ごとに、Data Forwarding キューに割り当てられるディスク領域を指定します。 デフォルト: 500MB |
。