はじめに
2024年5月にEasyBlocks SyslogシリーズのZabbixサーバーへのログ転送機能が追加されましたが、2024年9月には、より柔軟な使い方が可能になるようにZabbix連携機能を強化したファームウェアをリリースしました。
私は営業技術の立場から、既存製品や新製品の紹介、リリースした機能についてお客様に説明する機会が多くあります。
9月のリリースは「メッセージのブラックリスト機能」について具体的なイメージがわかないという声や、活用例を知りたいという要望を特にいただきました。
そこで今回は、Zabbix連携機能の「メッセージのブラックリスト機能」について解説し、具体的な使用例を挙げながら実機で試してみたいと思います。
Zabbix連携機能についての説明
EasyBlocks Syslogシリーズに実装されているZabbix連携機能は、EasyBlocks Syslogシリーズで受信したログについて、特定の文字列やPriorityに合致したログのみをZabbixサーバーに転送することが可能です。
運用・導入コストが低く、Zabbixサーバーへの負荷・ストレージ消費量を最小限に抑えたログ監視のシステムを構築することに適した機能となっています。
詳しくはこちらの記事で解説しておりますので、ご参考ください。
【新機能を先出し!】Zabbixへのログ転送機能の解説と実践
メッセージのブラックリスト機能の概要
この機能は非常にシンプルで、正規表現に一致したメッセージをZabbixサーバーに送信しないように設定できます。
たとえば、特定の優先度(Priority)に合致するログをZabbixサーバーに転送する設定を行った場合、その優先度に該当するすべてのログが転送されます。そのため、環境や取得しているログによっては、不要なログもZabbixサーバーに転送されてしまうことがあります。
また、特定の文字列に一致したログのみを転送したい場合でも、Zabbixサーバーへのログ転送をできるだけ絞り込みたいと考えた場合、今回実装したメッセージのブラックリスト機能を活用することで、選別されたログのみをZabbixサーバーに転送することが可能になります。
新機能を活用してできること
①特定ポートの
リンクダウン監視
メンテナンス用ポートのリンクアップ・ダウンの通知を除外し、他のポートに対してのみリンクダウンをトリガーさせる設定。
メンテナンスポートのアラートをブラックリストで制御し、本番用ポートのみに集中してアラートを発生させます。
②定期的な
テストログの除外
システムテストとして毎日決まった時間に発生するログを除外。
定期的なテスト用アラートをブラックリストで除外し、本番環境でのアラート発生時のみ通知が上がるようにします。
③認証失敗イベントの監視
サーバー等においてrootユーザーや特定の重要ユーザーのログイン失敗を監視し、それ以外の一般ユーザーの失敗はブラックリストで除外。重要ユーザーのみに絞ってセキュリティリスクを監視します。
④ルーターの
WANポート接続断検知
ルーターの特定のポートに限定して接続断の監視を行い、他の非重要なポートでのイベントをブラックリストで除外。
WANポートの障害検知のみに集中します。
今回あげた活用例は一部ではありますが、メッセージのブラックリスト機能を活用することでこれまで以上に柔軟かつ厳密なログ監視が実現可能です。
実践
では実際にここから、活用例でご紹介した①特定ポートのリンクダウン監視を例に設定をしてみます。
監視対象機器:ヤマハRTX830
設定:ポート3とポート4は作業用ポートのためリンクダウンのログについて、ブラックリストを使用してZabbixサーバーへ転送しないように設定。なお、LAN1は4ポートのスイッチングハブです。
EasyBlocks Syslog側の設定
まず初めにRTX830のリンクダウンのログを受信した場合、EasyBlocks Syslogでは以下のように記録されます。
リンクアップの場合は以下のように記録されます。
このようにLAN1のポート毎にリンクアップ、リンクダウンのログが出力されます。
今回はポート3とポート4に関してはZabbixサーバーへ転送しないため以下のように設定してみました。
※記述内容は一例です。
【Zabbix側の設定について】
EasyBlocks Syslogからログを受信するために、Zabbixサーバー側では予めホスト登録、Zabbixトラッパーアイテム、トリガー等を作成しておく必要があります。
Zabbixサーバー側の設定に関しては、下記記事をご参考ください。
【新機能を先出し!】Zabbixへのログ転送機能の解説と実践
EasyBlocks Syslog・Zabbixサーバーのログ確認
RTX830でポート1から4まで全てリンクダウンさせてZabbixサーバー側でポート1とポート2に関するログだけ転送されてきていることを確認します。
【EasyBlocks Syslog側のログ確認】
【Zabbixサーバー側ログ確認】
このように、EasyBlocks Syslog側ではポート1からポート4までのリンクダウンログを確認出来ますが、ブラックリスト機能により、Zabbixサーバーへ転送されたログはポート1と2だけとなっていることが確認できました。
まとめ
今回紹介したようにメッセージのブラックリスト機能を活用することで、必要なログのみをZabbixサーバーへ転送することが可能になり、より厳密なログ監視ができます。
ログの内容次第で活用例は多数ありますので、是非実践してみてください。
また、2024年9月のリリースには、Zabbix連携機能以外にも多くの新機能が含まれていますので、ぜひリリース情報をご覧ください。
今後もZabbixに関連するアップデートやイベントが予定されています。
直近のイベントとしては、2024年11月18日から11月22日まで開催される「Zabbix Conference Japan 2024」に当社も参加します。こちらでは登壇や展示ブースの出展を予定していますので、ぜひ皆様のご参加をお待ちしております。
