syslogのファシリティとセレクタについて知りたい
- syslogのファシリティ(authprivとかdaemonなど)とセレクタ(info、debugなど)でログを転送する方法を知りたい。
- BaffaloのTerastationというネットワークストレージ製品にはsyslog機能が搭載されており、ログの転送方法についてマニュアルに記載がないため、他のファシリティとセレクタの組み合わせについて知りたい。
- tcpdumpを使用してパケットを監視しているが、ディスク障害のファシリティとセレクタを特定するためには起きるまで待つ必要があり、より効果的な方法を知りたい。
- ベストアンサー
どのシステムがどういったsyslogのファシリティ(authprivと
どのシステムがどういったsyslogのファシリティ(authprivとかdaemonなど)とセレクタ(info、debugなど)でsyslogサーバにログを転送するのか全て知るにはどうしたら良いでしょう? 先日BaffaloのTerastationというネットワークストレージ製品を購入しました。 syslog機能が付いているのですが、マニュアルを読んでもどういう時に どういうファシリティとセレクタの組み合せでログがsyslogサーバに転送されるのかについての記載がありませんでした。 そこでtcpdumpでパケットを見たところ、設定変更したときのsyslogが、 Sept 28 18:51:35 192.168.1.10 TeraStation PRO[10120]: [Web] Change value : info.syslog_forward_target=192.168.1.1 のようにinfoがファシリティでsyslog_forward_targetがセレクタであるということがわかりました。ただ、これですべてではないと思います。試すことは出来ませんがディスク障害の時にはまた別のファシリティとセレクタで飛んでくるのではないかと考えていますが、それが何なのか今は解りません。この機種に限らず、他にもどんなファシリティとセレクタがあるのか皆様はどうやって調べていますか? 上記のtcpdumpをずっと起動しておくやり方ですと本当にディスク障害が起きるまではディスク障害のファシリティとセレクタを知ることが出来ないということになってしまいますのでダメなやり方だと思います。。(すみませんがサポートに電話しろ!は無しで。今後サポートが無い機器などさまざまな局面でのsyslog設定のために勉強したいので)
- みっきー(@mikkiychan)
- お礼率91% (31/34)
- Linux系OS
- 回答数1
- ありがとう数2
- みんなの回答 (1)
- 専門家の回答
質問者が選んだベストアンサー
当方、Terastationの製品を知りませんので参考程度に。 >ファシリティとセレクタの組み合せ まず、ファシリティとプライオリティの組み合わせ(セレクタ)でよいですよね? んで、tcpdumpのパケットの解釈が間違ってると思うのですが。 #私の知っているsyslogの範囲で。 syslogの設定値を知りたいのであれば、 どう設定したかというパラメタであるため、 直接聞くしかないでしょう。 設定した本人が不在であれば、telnetやsshで乗り込んで直接見ます。 上記が現場レベルの話。 製品なので公表されていないのであれば、 ファシリティをすべて受信側でログにするしかないですね。 local0~7に対して、以下のようにsyslogを設定して受信を待つ。 local0.* /var/log/local0.log local1.* /var/log/local1.log ...省略 製品のQA見てみましたが、ディスク障害に対するログ出力はないのでは? http://www.zqwoo.jp/sak_bfqa/show_c/BUF11094 ・ログとして出力されるのは次の3つです。 システムログ Web設定画面の閲覧/設定変更内容、各ソフトウェアの動作状態の記録 ファイル操作ログ(SMB) SMBプロトコル経由でファイル操作が行われた場合のファイル操作記録 ファイル操作ログ(FTP) FTPプロトコル経由でファイル操作が行われた場合のファイル操作記録 ちなみにLinuxではsmartdやlm_sensorsなどのサービスを稼働させて、 ログを転送してますが、この製品にはディスク障害を検知するサービスがないのでは? それを切り分けるためにも、聞くかログを全受信して調べるしかないわけですが。
関連するQ&A
- syslog.confの書式について
*.info;mail.none;news.none;authpriv.none /var/log/messages 上記、設定の意味合いについて、 "ファシリティが mail、news、authpriv 以外で、プライオリティが info 以上のログを /var/log/messages に出力" となっておりますが、「mail、news、authpriv 以外」となっている理由に教えて下さい。 セミコロン(;)を入れた以降の「ファシリティ.プライオリティ」は以外のものとして扱われるのでしょうか? ご教授をお願いいたします。 参考サイト:http://www.turbolinux.com/products/server/10s/manual/user_guide/user_guide/x11420.html
- ベストアンサー
- Linux系OS
- syslogの出力先追加
syslogの出力先を追加する方法について教えていただきたいです。 使用環境は、Red Hat系のLinuxです。 現状、syslog.confの設定が下記のようになっているため、messagesファイルに syslogが大量に出力され、必要なログを探すのが大変な状態です。 syslog.confの中身 *.info;mail.none;authpriv.none;cron.none /var/log/messages authpriv.* /var/log/secure mail.* /var/log/maillog cron.* /var/log/cron *.emerg * uucp,news.crit /var/log/spooler local7.* /var/log/boot.log そこでfacilityのlocal0-7を使用し、syslogに出力するファイルを分散 させようと考えています。 例えば、local0の出力先を追加するのは、syslog.confを下記のように 修正すればよいでしょうか。 (実際に試せばよいのでしょうが、多くの人達が使用している環境のため、 syslogd再起動が出来ない状態です。) messagesの設定 修正前:*.info;mail.none;authpriv.none;cron.none /var/log/messages 修正後:*.info;mail.none;authpriv.none;cron.none;local0.none /var/log/messages local0の設定 追加:local0.* /var/log/ファイル名 ご回答の方、よろしくお願いします。
- ベストアンサー
- Linux系OS
- SolarisからSyslogを転送する設定(初心者)
質問1 514ポート(UDP)を使用して、全てのSyslogを転送する設定をしたいのですが、例えば転送先のIPアドレスを[192.168.123.123]とした場合、syslog.confにどのような形式で書き込めば良いのでしょうか 宜しくお願いします。 [syslog.conf 設定内容(後半)] user.err /var/adm/messages user.alert `root, operator' user.emerg * ) *.emerg;*.info;*.err;*.warning;*.debug;*.crit;*.alert;*.notice @loghost auth.notice /var/log/authlog 質問2 上記の設定をする前に、/etc/hostsに[192.168.123.123 loghost]と指定する必要がありますが、 既に[192.168.234.234 loghost]と書き込まれています。 [192.168.123.123 loghost]を新たに追加しても問題はないでしょうか 宜しくお願いします。 ※参考にしたホームページ http://www.atmarkit.co.jp/fsecurity/rensai/unix_sec08/unix_sec01.html
- ベストアンサー
- Solaris系OS
- /var/log/messages出力形式について
お世話になっております。 現在、/var/log/messagesを対象とした監視導入を計画中です。 通常、エラー等のステータスを示すキーワードとなる priority(notice,warning,err,error,crit,critical,alert,emerg)の各文字列を 監視ソフトウェアで検知対象とする事を検討しています。 そこでご質問になりますが、実際にsystemトラブルが発生した場合は、 そもそもpriorityは、/var/log/messages内にどのように出力されるものでしょうか? 当方、/var/log/messagesログの標準的な出力形式は、 以下内容となる程度しか認識がありません。 <日付> <時間> <ホスト名> <プログラム名> <ログメッセージ> 実際の監視対象OS上では、過去にwarningとして以下2パターンの 出力のみがありました。 Aパターン ホスト名直後にコロンで区切られた箇所がある(Warningの直後はコロンで区切られる) ・Jan 1 00:00:01 host001 kernel: bonding: Warning: messagexxx Bパターン ホスト名直後に(プロセスID?を含む)プログラム名が記され、 コロンで区切られた箇所がある(WARNINGの直後はコロンで区切られる) ・Jan 1 00:00:01 host001 avahi-daemon[4079]: WARNING: messagexxx これらの内容から、全てのpriorityの出力形式は、以下の通りと考慮しますが、 間違いないものでしょうか? [メッセージ+半角ブランク+priorityのいずれか+直後にコロン+半角ブランク+メッセージ] === 環境) ・OS: RedHat Enterprise Linux 5.4 ・syslogデーモン設定はデフォルト設定(syslog-ng等へのカスタマイズなし) syslog.conf内の記述は、以下の通りです。 デフォルトの設定です。 *info;mail.none;authpriv.none;cron.none /var/log/messages authpriv. * /var/log/secure mail. * /var/log/maillog cron. * /var/log/cron *. emerg * uucp, news. crit /var/log/spooler local7. * /var/log/boot.log [authprivとcronを除いた全てのfacilityでinfo以上のメッセージを /var/log/messagesに出力する(デフォルト設定)]
- ベストアンサー
- Linux系OS
- AIX4.3.2のSyslogファシリティについて
AIX4.3.2を使用してNWを構築しています。このたび外部機器(CISCO PIX firewall)からファシリティ20でaixに対してSyslogメッセージを届けようとしています。受け側のaixではLocalいくつを指定すれば、メッセージを受けることができますか?local4.debugにしたらsquidのメッセージが・・・涙)。どなたかご教授お願いします
- ベストアンサー
- その他(OS)
- rsyslogでログが遠隔で取得できない。
初めまして。 ご教示ください。 はじめての試みで、rsyslogを使い、logの一元管理を行おうとしております。 ネットで調べ、教本で勉強しながら設定して動かしてみたものの 思ったように動作してくれません。 ■環境 ・サーバA(rsyslogサーバです) ディストリビューション:Centos6.5 32bit rsyslogバージョン:rsyslog-5.8.10-6.el6.i686 rsyslogの保存先:/var/log/sv ログファイル名:local0.log ・サーバB rsyslogクライアント(クライアントサーバです) ディストリビューション:Centos6.5 32bit rsyslogバージョン:rsyslog-5.8.10-8.el6.i68 rsyslogの送信先:rsyslogサーバ(=サーバA) ・その他 環境はワークグループで、xx.local.domainです。 IPアドレスは、x.x.x.x/24の世界になります。 ■目的 サーバBから、514/tcpを使い、ファシリティlocal0、 プライオリティがinfoのログを、サーバAに収集したい。 また、local設定したログが、messagesに紛れない様にしたい。 ■設定情報(サーバA) rsyslog設定ファイル(/etc/rsyslog.conf) ※設定箇所だけ抜粋 #### MODULES #### # Provides TCP syslog reception $ModLoad imtcp $InputTCPServerRun 514 $AllowedSender TCP, 127.0.0.1, x.x.xx.0/24, *.local.domain #### RULES #### # Log anything (except mail) of level info or higher. # Don't log private authentication messages! *.info;mail.none;authpriv.none;cron.none;local0 -/var/log/messages #### MODULES #### # Provides TCP syslog reception #$ModLoad imtcp #$InputTCPServerRun 514 $AllowedSender TCP, 127.0.0.1, x.x.x.0/24, *.local.domain local1.info -/var/log/sv/local0.log ⇒サービスを再起動したところ、 /var/log/sv の下にlocal0.logが作成されました。 再起動は特にエラーはありませんでした。 #service rsyslog restart システムロガーを停止中: [ OK ] システムロガーを起動中: [ OK ] ■設定(サーバB) rsyslog設定ファイル(/etc/rsyslog.conf) ※設定箇所だけ抜粋 # ### begin forwarding rule ### # The statement between the begin ... end define a SINGLE forwarding # rule. They belong together, do NOT split them. If you create multiple # forwarding rules, duplicate the whole block! # Remote Logging (we use TCP for reliable delivery) # # An on-disk queue is created for this action. If the remote host is # down, messages are spooled to disk and sent when it is up again. $WorkDirectory /var/lib/rsyslog # where to place spool files $ActionQueueFileName fwdRule1 # unique name prefix for spool files $ActionQueueMaxDiskSpace 1g # 1gb space limit (use as much as possible) $ActionQueueSaveOnShutdown on # save messages to disk on shutdown $ActionQueueType LinkedList # run asynchronously $ActionResumeRetryCount -1 # infinite retries if host is down local0.info @@x.x.x.x:514 上記以外の設定はデフォルトのままにしております。 ⇒rsyslogを再起動しましたところ、エラーなく再起動されました。 #service rsyslog restart システムロガーを停止中: [ OK ] システムロガーを起動中: [ OK ] ■動作テスト サーバAにおいて、tail -f /var/log/local0.logした状態で サーバBから、logger -i -t ABC hoge でテストしましたが、 サーバAにはlogが送信されてきません。 iptables -Lで514/tcpポートを開けていることは確認しました。 tcpwrapperでも、通信の制限をかけていない事も確認しております。 何か設定が足りないのでしょうか。 もしくは設定に間違いがあるのでしょうか。 プロの皆様のアドバイスをお伺いいたしたく、 どうぞよろしくお願い致します。
- ベストアンサー
- その他(ITシステム運用・管理)
- qpopper のログについて教えてください
qpopper のログについて教えてください。 /var/log/messages に 1 時間ごとに下記の様なメッセージが出力されています。 <messages> Jul 7 02:42:19 host qpopper[1088]: Stats: user 0 0 0 0 aaa.aaa.aaa.aaa aaa.aaa.aaa.aaa Jul 7 03:42:30 host qpopper[1613]: Stats: user 0 0 2 4870 aaa.aaa.aaa.aaa aaa.aaa.aaa.aaa Jul 7 04:43:11 host qpopper[1743]: Stats: user 0 0 2 4894 aaa.aaa.aaa.aaa aaa.aaa.aaa.aaa Jul 7 05:42:51 host qpopper[1874]: Stats: user 0 0 2 4894 bbb.bbb.bbb.bbb bbb.bbb.bbb.bbb Jul 7 06:42:36 host qpopper[2000]: Stats: user 0 0 2 4894 bbb.bbb.bbb.bbb bbb.bbb.bbb.bbb Jul 7 07:43:06 host qpopper[2125]: Stats: user 0 0 2 4894 bbb.bbb.bbb.bbb bbb.bbb.bbb.bbb Jul 7 08:43:08 host qpopper[2694]: Stats: user 0 0 2 4894 aaa.aaa.aaa.aaa aaa.aaa.aaa.aaa 1. なぜこの出力がされているのでしょうか。 (user は、私のユーザ名で、ホストは怪しい海外とかではありません) 2. syslog.conf で qpopper.log に出力するようにしているのに、 なぜ messages に出力されてしまっているのでしょうか。 (qpopper.log にも同じ出力がされています) <syslog.conf> *.notice;authpriv.none;kern.debug;lpr.info;mail.crit;news.err /var/log/messages !qpopper *.* /var/log/qpopper.log <inetd.conf> pop3 stream tcp nowait/0/3 root /usr/local/libexec/qpopper qpopper -s <環境> FreeBSD 6.2R qpopper-4.0.9_1 宜しくお願い致します。
- ベストアンサー
- BSD系OS
- Macのログインパスワードを忘れてしまった
知り合いのIbookが急にいつものパスワードでログインできなくなったと言ってきました。その人はmacに関してはあまり詳しくない人なのですが、もしかしたら自分でパスワードを変更したのを忘れただけなのかもしれません。 そこで、過去ログを見たのですが、OSの起動ディスクから立ち上げ インストーラーメニューからパスワードを再設定したのですが、 どうやらうまくいかないようです。 http://til.info.apple.co.jp/cgi-bin/WebObjects/TechInfo.woa/wa/showTIL?id=43144 のサポートどうりやったのですが。 詳細に教えてください。お願いします。
- ベストアンサー
- Mac
- itunes8をつかってCDをインポートすると音飛びしてファイルが保存されます
PCはFMV-BIBLO NB16C/Vのサービスパック2をつかっています。itunesでCDをきくときは音とびせずにきけたのに、インポートするとほとんどが音とびしてファイルが保存されます。どうしてなんでしょうか?ファイルはフラッシュメモリに保存しています。 保存先を内蔵ディスクに変えたら音とびしませんでした。 でも、PQI japan株式会社USB2.0フラッシュメモリtraveling disk U230をつかっていますが、やはり、転送速度の問題なんでしょうか?ローカルディスクCドライブの容量が27,2GBで18,2GBつかっていますが、ここに全曲は入らないので、、、。それにしても、CD1枚ぶんまるごと音とびしなく入ってる曲もあるのですが、、、?アップルサポートディスカッションでも質問しているのですが、転送速度のことでは、http://usbmem.heriet.info/Maker/PQI/TravelingDiskU230 ここをみてくれということだったけど、全然わかりません。 他に考えられるとしたら、仮想メモリが少ないとかは関係あるのでしょうか? その他に音とびで考えられるのは何かありますか?
- ベストアンサー
- その他(インターネット・Webサービス)
お礼
machuaさま ご回答どうもありがとうございます。 >まず、ファシリティとプライオリティの組み合わせ(セレクタ)でよいですよね? ご指摘の通りでした! >んで、tcpdumpのパケットの解釈が間違ってると思うのですが。 >>infoがファシリティでsyslog_forward_targetがセレクタ というのが間違いでした。もう一度パケットを見たところ、local0.debugやlocal0.infoとなっておりました。 >local0~7に対して、以下のようにsyslogを設定して受信を待つ。 >local0.* /var/log/local0.log なるほど、そういうやり方があるんですね! 製品QAまで調べていただき感謝感激です。 どうもありがとうございます!