ソフトウェアの状態をしっかり保存！syslogの基本と活用方法

「syslogとSNMPって何が違うんだっけ？」

はい、こんにちは！松井真也です。シリーズ「ネットワーク障害管理の必須技術：SNMPとsyslog」第４回です！これが最終回です。

前回は、エージェントに蓄積されるMIB（Management Information Base；管理情報ベース）についてお話ししました。標準MIBと拡張MIBがあるんでしたね。また、データの識別は、ツリー状に行われるのでした。面白い！

さて、今回はsyslogでございます。名前から想像できるとおり、syslogは、ネットワーク上での「ログ管理」を行う仕組みです。ネットワーク運用・監視のために使われるという意味では、SNMPと似ていますね。でも何が違うのでしょうか？

さっそく見てみましょう！

syslogとは何か？

syslogは、ネットワーク機器やシステムからのログ情報を一箇所で収集・管理するためのプロトコルです。多様なデバイスやアプリケーションとの互換性があります。

ログとは、システムやアプリケーションが行った操作や発生したイベントの記録です。ネットワークの状態を監視したり、問題発生時の原因究明に役立ちます。

すべてのネットワーク機器が記憶する容量が十分にあるわけでもありません。ログをネットワーク機器側に残すのではなく、特定のサーバに集中して保存するのです。これはSNMPがエージェント側にMIBを保存するのと対照的ですね。

syslogの動作原理

syslogシステムは、クライアントとサーバモデルで動作します。うん、絵ににしましょう。

syslogの簡単な概念図

syslogクライアント（例えばルーターやスイッチなど）は、システムの動作やイベントに関するログを生成し、これらをsyslogサーバに送信します。自分でデータを溜めるつもりはありません。

syslogサーバは、受信したログを時系列に整理して保存し、必要に応じて分析や監視に利用されます。通信には主にUDPが使われますが、信頼性が求められる場合はTCPを用いることもあります。ポート番号は、いずれも514です。

また、セキュリティを強化するために、SSL/TLSによる暗号化が行われることもあります。

ここまで、syslogの基本的動作は分かりましたね！

ログの種類とアラートレベル

では、もう少し深掘りしましょう。

１）ファシリティコード

syslogで扱うログにはさまざまな種類があります。これらは「ファシリティコード」なるものによって分類されまず。システムのどの部分がログを生成したかを示します。

ですから、例えば、カーネルメッセージ、メールシステムなどがあります。詳しいところは割愛します。

２）重大度（Severity）

さらに、ログは「重大度レベル」によってその緊急性が評価されます。このレベルは、情報やデバッグから、警告、エラー、緊急事態に至るまで、いくつかのカテゴリに分けられています。重大度、メッセージ、状況の例は次のとおりです。

0 Emergency 緊急
1 Alert 警報
2 Critical 重大な障害
3 Error エラー状態
4 Warning 警告
5 Notice 注意だが正常
6 Informational お知らせ。正常
7 Debug デバッグ情報

このレベルに応じて、ネットワーク管理者は迅速に問題を特定し、対処することができるわけですね。

SNMPと連携した対応

さて、冒頭でお話しした、SNMPとの連携についてはどうなっているのでしょうか？

syslogは、上記のとおり主にソフトウェアの状態通知がメインで、イベントログの記録と障害の特定に使われます。時系列でデータをしっかり集めて、問題の根本原因分析やセキュリティ上の監査、コンプライアンスの記録保持などに役立ちます。

SNMPは、ネットワークのパフォーマンス監視と運用管理に利用されます。ソフトウェアの問題ではなく、ネットワークのリアルタイム監視がメインです。問題があれば、Trapでエージェントが通知してくれます。

ということで、上記のような役割分担により、SNMPとSyslogの両方を活用する例は多くあります。

はい、本日はここまで。今回は、syslogの基本について、またSNMPとの違いについてお話ししました。これで「ネットワーク障害管理の必須技術：SNMPとsyslog」のシリーズはおしまいです。

次回は、ネットワークストレージの話（NASとSAN）をしようと思います。では！