Windows/Binary/NXLog
をテンプレートにして作成
[
トップ
] [
新規
|
一覧
|
検索
|
最終更新
|
ヘルプ
|
ログイン
]
ns-lab
nowsky system-lab
DigiLoog
Linux
Windows
開始行:
*NXLog [#e5ccd99d]
-[[NXLog:+https://nxlog.co/]]
-[[NXLog Community Edition Reference Manual:+https://nxlo...
ヨーロッパのNXLog社が開発しているロギングプログラムで、
無料のNXLog Community Edition・有料のNXLog Enterprise Edi...
Linux・Windows・macOSなど様々なプラットフォームで動作する...
&color(#ff0000){Windowsイベントログのフィルタリングとsysl...
~
*参考サイト [#z9d75f92]
-猫のプロトコル:[[nxlogを使用してsyslog-ngにログの集約:+...
-Qiita:[[【Windows】イベントログをLinuxに転送する:+https...
-機器・サーバー監視のへや:[[フリー版でできるリアルタイム...
-CLOUDLYTICS:[[Integrating Windows Events:+https://cloud...
~
*設定ポイント [#r71c16d4]
&size(16){&font(b){A. データソース数};};
WindowsServer2016のイベントログソース数は256種を超えるが、
NXLog-CEではログソース256種を超える事が出来ない。
IISやADドメコン等のWindowsServerサービスを構築した際も簡...
ログソース数の制限を突破した状態でNXLogを起動すると、
NXLog本体のログに制限突破のwarningが出力されつつ256種目以...
問題を回避するには、OSの出力するイベントログを減らすか、N...
-[[Latest nxlog-ce formally supports Windows Server 2016 ...
NXLogで取得するログを種類毎に分割する方法は色々あるが、
アプリケーションソース毎にNXLogのログ取得セクションを設定...
ログを出力するセクションでログを合体出力させるとコンフィ...
Windowsイベントログのアプリケーションソース名は、次のPowe...
PS > Get-EventLog -list | Select -Property Log
レベルはWindowsの[[イベントログ需要度レベル:+https://docs...
または、Microsoftの[[Windows Event Selection:+https://doc...
Level=1 : Critical Error
Level=2 : Error
Level=3 : Warning
Level=4 : Information
Level=5 : Verbose
デフォルトではsyslog転送出来るWindowsイベントログの内容が...
ログをJSONに変換しつつsyslogのmessageコンテンツに代入して...
ホスト名は環境によって内容が変化してしまうので、ホスト名...
#region(&color(#ff0000){サンプルコンフィグ};)
<Input input_application>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Applica...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
<Input input_security>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Securit...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
<Input input_system>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="System"...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
#endregion
~
&size(16){&font(b){B. syslog転送};};
NXLogからsyslog転送する時に、BSD-Syslog/IETF-Syslog何れか...
&color(#ff0000){Facility:User(5)/Severity:Notice(5)};で送...
このままだとログサーバでフィルタリングしにくいので、
ログ出力セクションでFacilityとSeverityを上書きして任意の...
デフォルトではsyslogのプログラム名が、イベントログのアプ...
このままだとログサーバでアプリケーション毎の出力振分けが...
NXLogのログソースを"NXLog"の名前で統一させる。
-[[NXLog User Guide / Syslog(xm_syslog):+https://nxlog.co...
次の条件でsyslog転送をする場合、下記の様なコンフィグとな...
TCPで送信する場合はモジュールが"om_tcp"になるが、他の項目...
プロトコル:UDP
ログサーバ:192.168.0.1
ポート番号:514
アプリ名 :NXLog
Facility :local0
Severity :6
出力形式 :IETF形式(RFC5424)
#region(&color(#ff0000){サンプルコンフィグ};)
<Output output_syslog>
Module om_udp
Host 192.168.0.1
Port 514
<Exec>
$SourceName = 'NXLog';
$SyslogFacility = 'local0';
$SyslogSeverityValue = '6';
to_syslog_ietf();
</Exec>
</Output>
#endregion
~
&size(16){&font(b){C. 出力バッファ};};
転送先ログサーバが停止していると、syslogが送信出来なくな...
ネットワークの瞬断レベルでも発生するので、ログ欠落を抑制...
バッファにはメモリ(主記憶)とHDD/SSD(補助記憶)の2種類があ...
ログが膨大な環境では、メモリとHDD/SSDを併用する方法がドキ...
メモリが安い今なら、メモリを大量搭載しつつバッファ容量を...
-[[NXLog User Guide / Using Buffers:+https://nxlog.co/doc...
パラメータはKByte換算となるので桁数に注意する。
128MByteのメモリバッファを確保しつつ、16MByteの利用でログ...
#region(&color(#ff0000){サンプルコンフィグ};)
<Processor buffer_memory>
Module pm_buffer
Type Mem
MaxSize 128000
WarnLimit 16000
</Processor>
#endregion
~
*セットアップ [#f6de8ca3]
&size(16){&font(b){1. インストール};};
WindowsにNXLogをインストールする時は、公式サイトのインス...
他のアプリケーション同様にライセンス承諾画面が出てくるの...
&font(b){"I accept the terms in the License Agreement"};...
|&ref(nxlog_install_01.png,left,nowrap,zoom,400x600);|
~
&size(16){&font(b){2. 起動方法};};
NXLogはサービスとして動作するので、Windows管理ツールから...
コントロールパネルから開くか、&color(#ff0000){"ファイル名...
|&ref(nxlog_install_02.png,left,nowrap,zoom,400x600);|
~
*コンフィグ [#za2662a5]
NXLogはセクション毎に設定を定義した後、Routeセクションで...
各セクションではログ送受信・文字列置換・バッファ・フィル...
今回は自宅サーバで筆者が使っているコンフィグを元に、次の...
|&ref(nxlog_install_03.png,left,nowrap,50%);|
他サイトのサンプルではNXLog本体が出力するシステムログのロ...
長期間運用するとシステムログも溜まっていくのでローテート...
このシステムログのローテートも1週間毎・4ファイル保持の条...
#region(&color(#ff0000){サンプルコンフィグ};)
# NXLog Community Edition configuration file
#
# For more information see "C:\Program Files (x86)\nxlog...
# or latest version online at https://nxlog.co/docs/nxlo...
# If you experience problems, see https://nxlog.co/commu...
#### DEFINE ####
define ROOT C:\Program Files (x86)\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf
define LOGDIR %ROOT%\data
define LOGFILE %LOGDIR%\nxlog.log
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %LOGFILE%
#### EXTENSION ####
<Extension exec>
Module xm_exec
</Extension>
<Extension json>
Module xm_json
</Extension>
<Extension syslog>
Module xm_syslog
</Extension>
<Extension charconv>
Module xm_charconv
AutodetectCharsets shift_jis, utf-8
</Extension>
<Extension fileop>
Module xm_fileop
<Schedule>
Every 1 week
<Exec>
file_cycle('%LOGFILE%', 4);
</Exec>
</Schedule>
</Extension>
#### INPUT SECTION ####
<Input input_application>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Applica...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
<Input input_security>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Securit...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
<Input input_system>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="System"...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
#### PROCESSOR SECTION ####
<Processor buffer_memory>
Module pm_buffer
Type Mem
MaxSize 128000
WarnLimit 16000
</Processor>
#### OUTPUT SECTION ####
<Output output_syslog>
Module om_udp
Host 192.168.0.1
Port 514
<Exec>
$SourceName = 'NXLog';
$SyslogFacility = 'local0';
$SyslogSeverityValue = '6';
to_syslog_ietf();
</Exec>
</Output>
#### ROUTE SECTION ####
<Route route_application>
path input_application => buffer_memory => output_sy...
</Route>
<Route route_security>
path input_security => buffer_memory => output_syslog
</Route>
<Route route_system>
path input_system => buffer_memory => output_syslog
</Route>
#endregion
NXLogが出力したログをsyslogで受信すると次の様になる。
イベントログをJSON型に変換しているので、syslogで解釈出来...
NXLogで処理する前のログで&color(#ff0000){改行は"\r\n"};、...
2021-02-01T18:00:00+09:00 windows NXLog[5000]: {"EventTi...
終了行:
*NXLog [#e5ccd99d]
-[[NXLog:+https://nxlog.co/]]
-[[NXLog Community Edition Reference Manual:+https://nxlo...
ヨーロッパのNXLog社が開発しているロギングプログラムで、
無料のNXLog Community Edition・有料のNXLog Enterprise Edi...
Linux・Windows・macOSなど様々なプラットフォームで動作する...
&color(#ff0000){Windowsイベントログのフィルタリングとsysl...
~
*参考サイト [#z9d75f92]
-猫のプロトコル:[[nxlogを使用してsyslog-ngにログの集約:+...
-Qiita:[[【Windows】イベントログをLinuxに転送する:+https...
-機器・サーバー監視のへや:[[フリー版でできるリアルタイム...
-CLOUDLYTICS:[[Integrating Windows Events:+https://cloud...
~
*設定ポイント [#r71c16d4]
&size(16){&font(b){A. データソース数};};
WindowsServer2016のイベントログソース数は256種を超えるが、
NXLog-CEではログソース256種を超える事が出来ない。
IISやADドメコン等のWindowsServerサービスを構築した際も簡...
ログソース数の制限を突破した状態でNXLogを起動すると、
NXLog本体のログに制限突破のwarningが出力されつつ256種目以...
問題を回避するには、OSの出力するイベントログを減らすか、N...
-[[Latest nxlog-ce formally supports Windows Server 2016 ...
NXLogで取得するログを種類毎に分割する方法は色々あるが、
アプリケーションソース毎にNXLogのログ取得セクションを設定...
ログを出力するセクションでログを合体出力させるとコンフィ...
Windowsイベントログのアプリケーションソース名は、次のPowe...
PS > Get-EventLog -list | Select -Property Log
レベルはWindowsの[[イベントログ需要度レベル:+https://docs...
または、Microsoftの[[Windows Event Selection:+https://doc...
Level=1 : Critical Error
Level=2 : Error
Level=3 : Warning
Level=4 : Information
Level=5 : Verbose
デフォルトではsyslog転送出来るWindowsイベントログの内容が...
ログをJSONに変換しつつsyslogのmessageコンテンツに代入して...
ホスト名は環境によって内容が変化してしまうので、ホスト名...
#region(&color(#ff0000){サンプルコンフィグ};)
<Input input_application>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Applica...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
<Input input_security>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Securit...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
<Input input_system>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="System"...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
#endregion
~
&size(16){&font(b){B. syslog転送};};
NXLogからsyslog転送する時に、BSD-Syslog/IETF-Syslog何れか...
&color(#ff0000){Facility:User(5)/Severity:Notice(5)};で送...
このままだとログサーバでフィルタリングしにくいので、
ログ出力セクションでFacilityとSeverityを上書きして任意の...
デフォルトではsyslogのプログラム名が、イベントログのアプ...
このままだとログサーバでアプリケーション毎の出力振分けが...
NXLogのログソースを"NXLog"の名前で統一させる。
-[[NXLog User Guide / Syslog(xm_syslog):+https://nxlog.co...
次の条件でsyslog転送をする場合、下記の様なコンフィグとな...
TCPで送信する場合はモジュールが"om_tcp"になるが、他の項目...
プロトコル:UDP
ログサーバ:192.168.0.1
ポート番号:514
アプリ名 :NXLog
Facility :local0
Severity :6
出力形式 :IETF形式(RFC5424)
#region(&color(#ff0000){サンプルコンフィグ};)
<Output output_syslog>
Module om_udp
Host 192.168.0.1
Port 514
<Exec>
$SourceName = 'NXLog';
$SyslogFacility = 'local0';
$SyslogSeverityValue = '6';
to_syslog_ietf();
</Exec>
</Output>
#endregion
~
&size(16){&font(b){C. 出力バッファ};};
転送先ログサーバが停止していると、syslogが送信出来なくな...
ネットワークの瞬断レベルでも発生するので、ログ欠落を抑制...
バッファにはメモリ(主記憶)とHDD/SSD(補助記憶)の2種類があ...
ログが膨大な環境では、メモリとHDD/SSDを併用する方法がドキ...
メモリが安い今なら、メモリを大量搭載しつつバッファ容量を...
-[[NXLog User Guide / Using Buffers:+https://nxlog.co/doc...
パラメータはKByte換算となるので桁数に注意する。
128MByteのメモリバッファを確保しつつ、16MByteの利用でログ...
#region(&color(#ff0000){サンプルコンフィグ};)
<Processor buffer_memory>
Module pm_buffer
Type Mem
MaxSize 128000
WarnLimit 16000
</Processor>
#endregion
~
*セットアップ [#f6de8ca3]
&size(16){&font(b){1. インストール};};
WindowsにNXLogをインストールする時は、公式サイトのインス...
他のアプリケーション同様にライセンス承諾画面が出てくるの...
&font(b){"I accept the terms in the License Agreement"};...
|&ref(nxlog_install_01.png,left,nowrap,zoom,400x600);|
~
&size(16){&font(b){2. 起動方法};};
NXLogはサービスとして動作するので、Windows管理ツールから...
コントロールパネルから開くか、&color(#ff0000){"ファイル名...
|&ref(nxlog_install_02.png,left,nowrap,zoom,400x600);|
~
*コンフィグ [#za2662a5]
NXLogはセクション毎に設定を定義した後、Routeセクションで...
各セクションではログ送受信・文字列置換・バッファ・フィル...
今回は自宅サーバで筆者が使っているコンフィグを元に、次の...
|&ref(nxlog_install_03.png,left,nowrap,50%);|
他サイトのサンプルではNXLog本体が出力するシステムログのロ...
長期間運用するとシステムログも溜まっていくのでローテート...
このシステムログのローテートも1週間毎・4ファイル保持の条...
#region(&color(#ff0000){サンプルコンフィグ};)
# NXLog Community Edition configuration file
#
# For more information see "C:\Program Files (x86)\nxlog...
# or latest version online at https://nxlog.co/docs/nxlo...
# If you experience problems, see https://nxlog.co/commu...
#### DEFINE ####
define ROOT C:\Program Files (x86)\nxlog
define CERTDIR %ROOT%\cert
define CONFDIR %ROOT%\conf
define LOGDIR %ROOT%\data
define LOGFILE %LOGDIR%\nxlog.log
Moduledir %ROOT%\modules
CacheDir %ROOT%\data
Pidfile %ROOT%\data\nxlog.pid
SpoolDir %ROOT%\data
LogFile %LOGFILE%
#### EXTENSION ####
<Extension exec>
Module xm_exec
</Extension>
<Extension json>
Module xm_json
</Extension>
<Extension syslog>
Module xm_syslog
</Extension>
<Extension charconv>
Module xm_charconv
AutodetectCharsets shift_jis, utf-8
</Extension>
<Extension fileop>
Module xm_fileop
<Schedule>
Every 1 week
<Exec>
file_cycle('%LOGFILE%', 4);
</Exec>
</Schedule>
</Extension>
#### INPUT SECTION ####
<Input input_application>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Applica...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
<Input input_security>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="Securit...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
<Input input_system>
Module im_msvistalog
Query <QueryList><Query Id="0"><Select Path="System"...
<Exec>
$Message = to_json();
$Hostname = hostname();
</Exec>
</Input>
#### PROCESSOR SECTION ####
<Processor buffer_memory>
Module pm_buffer
Type Mem
MaxSize 128000
WarnLimit 16000
</Processor>
#### OUTPUT SECTION ####
<Output output_syslog>
Module om_udp
Host 192.168.0.1
Port 514
<Exec>
$SourceName = 'NXLog';
$SyslogFacility = 'local0';
$SyslogSeverityValue = '6';
to_syslog_ietf();
</Exec>
</Output>
#### ROUTE SECTION ####
<Route route_application>
path input_application => buffer_memory => output_sy...
</Route>
<Route route_security>
path input_security => buffer_memory => output_syslog
</Route>
<Route route_system>
path input_system => buffer_memory => output_syslog
</Route>
#endregion
NXLogが出力したログをsyslogで受信すると次の様になる。
イベントログをJSON型に変換しているので、syslogで解釈出来...
NXLogで処理する前のログで&color(#ff0000){改行は"\r\n"};、...
2021-02-01T18:00:00+09:00 windows NXLog[5000]: {"EventTi...
ページ名: