ソフトウェアの状態をしっかり保存!syslogの基本と活用方法
「syslogとSNMPって何が違うんだっけ?」
はい、こんにちは!松井真也です。シリーズ「ネットワーク障害管理の必須技術:SNMPとsyslog」第4回です!これが最終回です。
前回は、エージェントに蓄積されるMIB(Management Information Base;管理情報ベース)についてお話ししました。標準MIBと拡張MIBがあるんでしたね。また、データの識別は、ツリー状に行われるのでした。面白い!
さて、今回はsyslogでございます。名前から想像できるとおり、syslogは、ネットワーク上での「ログ管理」を行う仕組みです。ネットワーク運用・監視のために使われるという意味では、SNMPと似ていますね。でも何が違うのでしょうか?
さっそく見てみましょう!
syslogとは何か?
syslogは、ネットワーク機器やシステムからのログ情報を一箇所で収集・管理するためのプロトコルです。多様なデバイスやアプリケーションとの互換性があります。
ログとは、システムやアプリケーションが行った操作や発生したイベントの記録です。ネットワークの状態を監視したり、問題発生時の原因究明に役立ちます。
すべてのネットワーク機器が記憶する容量が十分にあるわけでもありません。ログをネットワーク機器側に残すのではなく、特定のサーバに集中して保存するのです。これはSNMPがエージェント側にMIBを保存するのと対照的ですね。
syslogの動作原理
syslogシステムは、クライアントとサーバモデルで動作します。うん、絵ににしましょう。
syslogクライアント(例えばルーターやスイッチなど)は、システムの動作やイベントに関するログを生成し、これらをsyslogサーバに送信します。自分でデータを溜めるつもりはありません。
syslogサーバは、受信したログを時系列に整理して保存し、必要に応じて分析や監視に利用されます。通信には主にUDPが使われますが、信頼性が求められる場合はTCPを用いることもあります。ポート番号は、いずれも514です。
また、セキュリティを強化するために、SSL/TLSによる暗号化が行われることもあります。
ここまで、syslogの基本的動作は分かりましたね!
ログの種類とアラートレベル
では、もう少し深掘りしましょう。
1)ファシリティコード
syslogで扱うログにはさまざまな種類があります。これらは「ファシリティコード」なるものによって分類されまず。システムのどの部分がログを生成したかを示します。
ですから、例えば、カーネルメッセージ、メールシステムなどがあります。詳しいところは割愛します。
2)重大度(Severity)
さらに、ログは「重大度レベル」によってその緊急性が評価されます。このレベルは、情報やデバッグから、警告、エラー、緊急事態に至るまで、いくつかのカテゴリに分けられています。重大度、メッセージ、状況の例は次のとおりです。
0 Emergency 緊急
1 Alert 警報
2 Critical 重大な障害
3 Error エラー状態
4 Warning 警告
5 Notice 注意だが正常
6 Informational お知らせ。正常
7 Debug デバッグ情報
このレベルに応じて、ネットワーク管理者は迅速に問題を特定し、対処することができるわけですね。
SNMPと連携した対応
さて、冒頭でお話しした、SNMPとの連携についてはどうなっているのでしょうか?
syslogは、上記のとおり主にソフトウェアの状態通知がメインで、イベントログの記録と障害の特定に使われます。時系列でデータをしっかり集めて、問題の根本原因分析やセキュリティ上の監査、コンプライアンスの記録保持などに役立ちます。
SNMPは、ネットワークのパフォーマンス監視と運用管理に利用されます。ソフトウェアの問題ではなく、ネットワークのリアルタイム監視がメインです。問題があれば、Trapでエージェントが通知してくれます。
ということで、上記のような役割分担により、SNMPとSyslogの両方を活用する例は多くあります。
はい、本日はここまで。今回は、syslogの基本について、またSNMPとの違いについてお話ししました。これで「ネットワーク障害管理の必須技術:SNMPとsyslog」のシリーズはおしまいです。
次回は、ネットワークストレージの話(NASとSAN)をしようと思います。では!
この記事が気に入ったらサポートをしてみませんか?