回到首頁
利用系統日誌-Syslog收集資訊與維運伺服主機
-
收集並保存Unix/Linux伺服器與網通設備的系統日誌(Syslog)或Windows系列的事件日誌(Eventlog)
以利系統人員除錯(debug)或查詢伺服主機的歷史資料,設定告警機制即時通報
讓維運人員即時掌握伺服器及網路設備的警報狀況,問題追查
"系統與事件日誌"是系統維運管理的輔助監測功能之一
維運系統對於伺服器是採全面監控,而不放過任何有可能造成主機營運異常的事件
當上述情況發生時,Watchdog資訊維運系統即會發佈警報並且執行警報機制,務求達到整體妥善率的防護加強
監控"系統與事件日誌"的系統規格
偵測目的: 即時收集系統日誌或事件日誌
1. 應付準則
2. 利用等級分類或訊息內容篩檢而發出警報
3. 事後追查問題
監測目標: 指定系統日誌或事件日誌的主機與設備
警報條件: 設定等級分類或訊息內容篩檢而發出警報
即時資訊: 正常/警報發佈
資訊收集: 訊息,警報發佈/解除時間點
緊急處置: 通報,執行預定程式
警報臨界值: 依應用定義警報值
"系統與事件日誌"監控項目的警報臨界值有下列兩項
* 使用and,or,not方式比對日誌內文字串,符合條件則依警報機制處置
*.指定訊息類等級,直接發佈警報訊息
下圖為系統日誌的圖形監控大圖:
-
維運監控系統可以透過此功能扮演LOG伺服器的角色,收集各種不同的系統與設備的Syslog
並且透過字串關鍵字比對的方式,將重要的數據產生的時間點,通知維運管理人員,以作到進一步的全面性控管
在指定系統日誌或事件日誌的主機與網通設備為本功能的監測目標
偵測畫面有圖形監控大圖與小圖,可以依照偵測需求進行切換,底下為偵測監控小圖:
可以依照偵測需求進行切換,切換方式為點選偵測畫面左上方的藍色按鈕
"系統與事件日誌"的基礎運用是收集到的Syslog或Eventlog資料可以依照重要性進行分級
保存特定級別的資料以供系統人員進行查詢,並且可以將特定級別的資料依需求做不同的處置
例如:
*.拋棄資料
*.僅記錄資料
*.立即直接發出警報
*.比對字串符合後發出警報
進入到本功能的展示畫面,請如下圖中的偵測狀態點選其文字聯結即可進入:
主偵測頁面可以顯示已經設定好的伺服器之IP與警報狀態
系統日誌-Syslog功能操作之圖示為利用偵測狀態之圖示說明,分成短期與長期警報資料的判讀,以及其關聯功能
收集Syslog或Eventlog並加以保存,以供日後查詢之用,並能將不同級別之警報做不同處置
例如:拋棄資料,僅記錄資料,立即發出警報或是比對字串符合後發出警報
如果需要跟快速的偵測,可以點選進入到文字型的偵測畫面,如下圖:
點選主偵測頁面的偵測點進入到以下頁面:
顯示主機位址為192.168.5.1,啟用狀態為暫停,連續警報之有效時間為180秒以及有警報資訊之有效時間
上次發佈之警報時間與警報內容等資訊,底下的關聯包含有設備資訊,系統日誌與搜尋交換器位置
為協助人員管理的關聯性功能,警報分析圖與資料清單可以協助維運人員分析與評估告警的狀況
設定系統日誌-Syslog以達維運管理的目的
主設定頁面請點選偵測名單中的文字連結進入即可看到:
系統日誌-Syslog設定說明如下:
序號:本功能設定的排序序號
啟用,暫停:選擇偵測目標是否啟用
刪除,確認刪除:將偵測目標刪除掉的欄位
設備:顯示收集的目標是何種設備的欄位,本欄位不需輸入,會依照整體的設定,產生不同的標示
例如:各種作業系統,Switch或是DHCP等等的標示,點選圖中Linux的圖形連結進入到的關聯畫面:
等級:顯示偵測等級的欄位.
主機或設備之IP:輸入偵測目標的IP的欄位.
溢時:為超過時間設定發出警報的欄位.
警報有效時間:如果設定"警報有效時間"大於0,則會在有效時間內不發出警報,依設備IP為定義
初始值為180(三分鐘),警報有效時間的設定範圍是:30-3600秒之間有效
轉送警報:如果勾選"轉送警報",則會立即依通報名單發出警報,而不經"警報條件"的過濾.
UTF8轉碼:如果事件日誌有中文且為"UTF8",則需勾選"UTF8轉碼",本機存檔為BIG5
而Microsoft Windows事件日誌中文內碼為"UTF8".
警報條件:設定警報條件的連結點,可以設定關鍵字比對與訊息等集的地方,有些特定的字眼必須要進行過濾的
也可以在此頁進行設定,但如轉送警報的欄位打勾的話,則不論設定哪些條件,一律都視為警報
訊息等級: 等級:0 none(等級不明)
等級:1 debug(除錯訊息)
等級:2 info(系統資訊)
等級:3 notice(注意訊息)
等級:4 warning(警告訊息)
等級:5 error(錯誤訊息)
等級:6 crit(危險訊息)
等級:7 alert(立即處理)
等級:8 panic(非常危險)
可依照關鍵字與事件等級進行選擇與設定
群組名單:如果有建立通報群組的部分即可以作選擇,針對要分群通報時要設定的項次
單位部門:本項次呼應群組名單,如果群組名單所選擇的群組,有單位部門的名稱會顯示出來,方便判別
別名:此項目為設定產生在監控畫面上的偵測目標的名稱,設定畫面如圖,可以設定中文
群組:點選進去設定,設定要通知的對象,與通知方法等(信箱與簡訊等),此項次可參照通報名單(群組)的說明
資訊:即為設備資訊,主要是設定偵測點的詳細資料,設定畫面可以參照設備資訊內的設定圖說
補充:
*.如當天檔案超過20MB(大約一天12萬筆)時,將不再寫入記錄而拋棄資料(以單台設備當天之記錄檔為單位)
*.如果將"環境設定" ->容量限制" ->系統記錄-Syslog每日無限量存檔"開啟",則是無20MB限制
*.Microsoft Windows事件日誌,僅分為"錯誤","警告"與"資訊"
此對照 System Log 等級
資訊 = 等級3 notice(注意訊息)
警告 = 等級4 warning (警告訊息)
錯誤 = 等級5 error (錯誤訊息)
點選紅色問號進入使用說明:
警報條件設定使用說明
用途:
檔案內以一行字串為比對目標,比對符合之目標字串若相同則條件成立(警報),
警報內容通常會用此行文字為"警報內容"
欄位說明:
啟用
有勾選才有比對之作用
第一組字串&
第二組字串&
第三組字串
以上欄位為 & and 條件法,必須全部符合才有警報條件成立,前後順序不影響
排除字串-1||
排除字串-2||
排除字串-3
以上欄位為not與or條件法,針對己警報條件成立之一行字串再進行比對,若一行字串內有符合任一"排除字串"
則此行之警報條件則取消,前後順序不影響
[特別注意事項]:
*.僅比對本文檔文字
*.原始行文字不分字元大小寫,空白字元有效
*.比對之文字不分字元大小寫,空白字元無效
*.原始行文字是以檔案內文的一行字串為單位
*.一行字串的最長字元為 510 Bytes 內有效
*.無法比對的文字 "###" 三個 "#"
*.警報事件是以一個檔案或事件為基準,一個檔案或事件不會發出一次以上的警報
若是取消警報則警報事件歸零
系統記錄-Syslog使用說明:
*.己刪除之設備IP將會保留30天,若此IP在30天之內重新建立將會使用舊資料還原
*.如當天檔案超過20MB(一天約6萬筆)時,將不再寫入記錄而拋棄資料(以單台設備當天之記錄檔為單位)
*.如果將"環境設定"->容量限制"->系統記錄-Syslog每日無限量存檔"開啟則是無20MB限制
*.如設定"警報有效時間"大於0,則會在有效時間內不發出警報
依設備IP為定義警報有效時間為30-3600秒之間有效
*.如果記錄長度超過4KBytes則會放棄不記錄
*.如果勾選"轉送警報",則會立即依通報名單發出警報,而不經"警報條件"過濾
*.事件日誌有中文且為UTF8,則需勾選"UTF8轉碼",本機存檔為BIG5
Microsoft Windows事件日誌中文內碼為"UTF8"
*.如為 Microsoft Windows 系統,建議使用 免費GNU的 "Evtsys"軟體,
會將Microsoft Windows事件日誌轉為 System Log,並將勾選"UTF8轉碼"
*.Microsoft Windows 事件日誌,僅分為 "錯誤","警告","資訊"
此對照 System Log 等級
資訊 = 等級3 notice(注意訊息)
警告 = 等級4 warning (警告訊息)
錯誤 = 等級5 error (錯誤訊息)
-
回到首頁
