TWSNMPポーリング辞典：syslog PRIをAIでモニタする

TWSNMPにAI分析を搭載するきっかけになったsyslog PRIのポーリングについての説明です。AI利用の良いアイデアだと思っているものです。

※このポーリングは、V5.0.0では動作しません。V5.0.1までお待ち下さい。

syslog PRIについて

syslogについては、

syslogとは

とかを見てください。syslogはネットワーク管理、システム管理には欠かせないものになっていると思います。

syslog　PRI(Priority)についての定義は、

RFC 3164: The BSD Syslog Protocol

の4.1.1 PRI Partをみてください。簡単にいうと機能（Facility）と重要度（Severity）を数値で表したものです。

PRI = Facility * 8 + Severity

FacilityとSeverityは、

Syslogメッセージのプライオリティ対応表 – ジュピターテクノロジー株式会社

の表が見やすいです。

ポーリングの動作

このポーリングは、受信したsyslogのPRI毎の数を１時間毎に集計するものです。通常の運用状態だと特定の機能の特定の重要度のsyslogが同じようなペースで記録されるだろうという予測に基づいています。平日や休日の違いも記録してAIで分析すれば異常な状態（いつもと違うログが記録されている）を発見できるだろうというアイデアです。わりと上手く動いています。

ポーリングの設定

このポーリングは、

のように種別のSYSLOG PRIを選択して定義に対象のsyslogを検索するフィルターを設定します。このポーリングのログモードはAI分析を選択します。

検索フィルター

検索フィルターは、ログ表示Windowの＜詳細＞検索で条件を指定して作成するのが簡単です。

この例では、送信元のホスト名rpiという検索フィルターを作成しています。

ポーリング結果

フィルターの設定を間違えなければ、このポーリングはすべて正常の結果になります。データを取得するだけだからです。設定を間違えると不明の状態になります。

うまく結果が取得できていれば、ポーリング間隔に関係なく１時間毎に集計データが記録されます。
結果のデータは、

{"pri_19":"21","pri_22":"90","pri_27":"66","pri_30":"1722","pri_38":"360","pri_78":"1","pri_86":"242"}

のような形式で保存されています。PRIが19のデータが１時間に21件あったというようなデータです。Facilityが２とSeverityが３ですので、

のログです。
何日か取得すれば、AI分析できるようになります。

※この記事を書いた時は準備不足なのでAI分析の結果は何日か後に、書きます。

ポーリングテンプレート

この記事で説明したポーリングのテンプレートは

TWSNMP_SYSLOGPRI.json

200 Bytes

ファイルダウンロードについて

ダウンロード

からダウンロードできます。検索フィルターが送信元がrpiになっていますので必要に応じて変えてください。