ログ管理のソフトウェア【Graylog】
今月の気になるオープンソース情報(2017年12月号)
OSS研究室 森 彰吾
今回はGraylogというログ管理ツールをご紹介します。
システムのログは、ログの量が増えれば増えるほど管理が難しくなります。システムの規模が大きくなったり、機器が増えれば増えるほど、ログの量も増え
ていきます。それらの機器にいちいちログインしてログを確認する作業は非常に手間です。その手間を省くために、Linuxではrsyslogやsyslog-ngなどのソフ
トウェアで、様々な機器からのログを受け取って、集約する手法があります。
この方法は、ログを集約することはできますが、ログを検索する場合に手間が かかることに変わりありません。ログファイルから特定時間の情報を抜き出したり、場合によってはログの一部を切り出して集計をしたいこともあります。 このような操作は、コマンドを組み合わせて検索を行なう技術が必要であったり、あるいは解析用のプログラムが必要になります。さらに、トラブルの際に は、このようなログの検索をタイムリーに行なわなければなりません。
Graylogはこのような問題を解決できるツールです。
そもそもGraylogは、Graylog,Incによって開発されているログ管理ソフトウェアです。エンタープライズ版も存在しますが、OSS版はGPLv3で公開されています。
Graylogの主な機能は以下の通りです。
- Syslogに代表される様々な形式のデータの収集
- 正規表現パターンなどによるログの解析・保存
- 保存されたログのグラフ化
- ログの検索
- 特定パターンのログが出現した場合のアラートの送信
- WEBインタフェースでの上記機能の管理
Graylogを利用することで、予め設定しておいたパターンで、ログを分解して保存ができるようになります。そのため、検索時には、欲しい情報が入っている フィールドに絞って検索することができます。例えば、ホスト名がhost01のログだけを検索するなどの動作ができます。また、Graylogはログを高性能な全文 検索エンジンに検索インデックスを作りながら保存します。そのため、非常に高速な検索が可能になっています。
さらに、時間あたりのログの数や、ログの特定フィールドの値をグラフ化するなどの機能もあります。グラフを作っておくことで、何かシステム異変があっ た場合、どの時点が発生時間帯なのか、などの情報を瞬時に把握することができます。
Graylogを利用することで、下記のようにログを利用できるようになります。
- WEBサイトのアクセスログから、レスポンスタイムのグラフを作り、遅延が発生していないかなど、サービスの品質を確認する
- ファイアウォールやDNSサーバなどのセキュリティログを解析し、攻撃元のIPアドレスの特定を行なう
その他、キーワードをトリガーにしたアラート送信や、ログのローテーションなど、実運用を見据えた作りになっています。
ただし、GraylogはWEBインタフェースが日本語化されていないという難点があります。そのため、デージーネットでは、Graylogを提案する場合に、お客様 に合わせたログの収集・解析の設定を行なうだけでなく、日本語の操作マニュアルの作成を行っています。
ログの管理でお悩みの方は、Graylogの導入を検討してみてはいかがでしょうか?