2021年02月13日(土) - 18:21 | カテゴリ:
Windows
Linuxを弄った事のある人がWindowsServerを操作して戸惑う事の一つにログの扱いがあると思う。
Windowsイベントログはバイナリ形式で保存されているので生テキストで保存が出来ない。
また、Windowsは大量なログを出力するので規模が大きくなるとイベントビューワーの確認も辛くなる。
ログ転送については、イベントログをリモート集約する技術としてWindowsイベント転送も存在するが、
コレを利用してもバイナリログには違いないので外部アプリでログ解析をやりにくい問題がある。
『イベントログを生テキストで保存したり、syslog転送出来たらな~』と思う人は多いのか、
外部アプリを噛まして生テキスト化したり、PowerShellでevtxファイルをCSV変換する例は出てくるが、
実用に耐える物は有料アプリが大半で自宅サーバで使える様な代物は皆無な上、
PowerShell変換はもの凄く遅くてリアルタイム性に欠ける課題がある。
NXLogはマルチプラットフォーム・無料・OSSと三拍子を揃えた上、
Windowsの出力するイベントログを生テキストに変換しながら外部転送が出来るので、
自宅のWindowsServerに導入してイベントログを変換つつ、Linuxのログサーバにsyslog転送をしてみた。
このアプリケーションは相当前から知っていたのだが、
自宅のWindowsServerでログ集約する必要が無かったので使っていなかった。
だが、昨年の自宅サーバ刷新によってWindows環境が増えたのと、
年始に書いた今年やる事リストの通り、検証用ActiveDirectoryを再構築する予定なので、
認証・認可ログもログサーバに集められる様に環境を準備してみた。
- nowsky system-lab memo > NXLog
今回はちゃんとメモを作ったので、NXLogの使い方やサンプルログは上のwikiを読むべし。
ユーザのログイン・ログアウト情報やWindowsFirewallの遮断ログなど、
結構有用なログ情報を引っかけつつ、syslogサーバで受信する事が出来た。
wikiにも掲載しているNXLogの内部処理ルーチンは上記の通り。
Windowsイベントログをsyslog転送する以外にも、フィルタリングで不要なログをふるい落としたり、
文字置換をして生ログを別の文字列に変更する事も出来る。
また、処理内容をセクション毎に定義するので、1つの処理を使い回す事も出来る様になっている。
実際に筆者が構築した自宅サーバ環境は上の様になっている。
ログサーバは2台で冗長化している都合上、2箇所にsyslog転送が必要となるのだが、
設定の作り方次第ではログを複数サーバへ複製転送も出来る。
………
ActiveDirectoryで監査ログオプションを有効化したり、
サーバをインターネットに公開しつつFirewall遮断も取得している場合は膨大なログが出力されるので、
何かしらのフィルタリングを行わないとログサーバが一瞬で溢れてしまう。
前述の通り、Windowsは膨大なイベントログを出力するので、
NXLogのフィルタリング処理やsyslog転送は理に適った良い組み合わせだと思う。
エンタープライズで使っている環境はあまり聞いた事が無いが、
DatadogのドキュメントでNXLogが紹介されていたり、
オフィシャルサイト上で名だたる企業名が書かれている位なので、知る人ぞ知るロギングツールなんだと思う。
Windowsイベントログのリモート転送と集約化を行うの事例はあまり聞かないが、
今のご時世Windowsのログを集約して外部アプリで解析する機会はあると思うので、
ログ解析を行う人は憶えておいて損は無いと思う。
« 続きを隠す
2021年02月06日(土) - 19:01 | カテゴリ:
雑談
関西方面からNATしてインターネットへ出られる様に、
自宅のNWバックボーン拡張を考えているのだが、
普通にインストールするタイプの仮想ルータが結構少なく難儀している。
インストール型の仮想ルータとして、VyOSとOPNsenseを現在使っているのだが、
折角なら違う物を使いたいので物色している。
今の所の有力候補は、インターネットに接続するFirewallをOPNsenseにしつつ、
自宅までLANを延伸するのにCumulusVXを使いつつトンネリングする方法。
余っているFortigateを使うプランが今までの第1候補だったのだが、
自宅に仮想サーバホストがあるのでコレを使ってリソース活用したい所。
また、物理ルータは電気代など維持費が高く程ほどに抑えたいのも事実。
折角構築するので普段からも実用出来る物にせねば。
2021年01月30日(土) - 18:49 | カテゴリ:
自作PC
今までは、WindowsServer環境刷新で開いたPCにVMware ESXiをインストールして弄っていた。
最初は検証目的だったのだが意外とハマってしまい、
サーバインスタンスを1クリックで作成し、検証が終わったら削除する様な目的で使うのに好都合だった。
有用な使い方が判ってくると話も変わってきてしまい、
何年もWindowsServerを支えてきたお古のPCでESXiホストを稼働させるのでは無く、
少なくても向こう3年は稼働出来る様にしたくなった。
とは言っても物理サーバを設置するお金も場所も無いので、
小型PCの代名詞となるLenovo ThinkCentre Tinyを2台購入してESXiホスト自鯖を構築してみた。
LANケーブルは仮設なので転がっていた5mの物を利用中。
長さを合わせた物はそのうち買って敷設し直そうと思う。
本当は新品で買いたかったが、新品に付いてくるOSライセンスは不要な上、
普通の使い方では無いからこそメーカー保証もいらないので保守部材上がりの中古を購入。
ただし、流石にSSDは新品に差し替えつつメモリは合計32GBに増強した。
| |
1台目 (上)
|
2台目 (下)
|
| ベース |
ThinkCentre Tiny M900 |
ThinkCentre Tiny M710q |
OS
|
VMware ESXi 6.7 |
VMware ESXi 6.7 |
| CPU |
Core i7-6700T 2.80GHz |
Core i5-7400T 2.40GHz |
| SSD |
WD RED SA500 1TB |
WD RED SA500 1TB |
| MEM |
ADATA DDR4 2666(19) 1.2V 16GBx2 |
ADATA DDR4 2666(19) 1.2V 16GBx2 |
| NIC |
BUFFALO LUA4-U3-AGTE-BK |
BUFFALO LUA4-U3-AGTE-BK |
同筐体を買えなかったので搭載しているCPUが違うが、HT程度しか違いが無いので問題無いと判断。
24h/365d稼働が前提なのでターボブーストは無効化し、SSDもフル稼働に耐えられる様にREDにした。
メモリは最安値だったADATA製をチョイス。NICはiSCSI接続を行うVMKernel用に増設した。
本体をそのまま重ねると筐体が熱を持つので角材で下駄を履かせた。
コレでも排熱が追い付かなくなったら、前面にPCファンを外付けしようと思う。
………
写真を撮っていたのはM710qだけだが、両方とも似たり寄ったりなのでM710qのみ掲載。
Tinyシリーズは筐体構造がほぼ同じなのだが、SSDとの接続がコネクタからフレキに変わったり、
細かい改良が重ねられている。
保守部材上がりとは言っても中古品を購入した場合はCPUグリスを塗り直すが定石だが、
小型CPUファンは塗りがシビアである場合が多い上に分解も大変なので諦めた。
ESXiをインストールする前にWindowsを仮インストールして負荷テストも行ったが、
CPU温度が70~75度程度で止まりOSが落ちる事も無かったので大丈夫と判断した。
ESXiホストはSSD本体にゲストOS用データストアを設けつつも、
iSCSI越しに外部ディスクを参照も出来る様にした。
現在はシンプロ換算で30GB・仮想ボリュームで500GB程度しか使っていないので、
容量が足りなくなった段階でiSCSIにもゲストOSを置こうと思う。
単にOSを弄りたい時や、ゲストOS上でGNS3を用いたNW検証をする時に使っているが、
普通の仮想サーバ基盤として動作してくれている。
設置場所が涼しくて熱問題が起きにくいのも手助けしていると思うが、安定した良い検証環境を構築出来た。
2台の仮想ホストなので冗長化試験なども行いやすく、今後の技術検証で使い倒そうと思う。
« 続きを隠す
