10分に1回、事前に定義されたポリシーを基準にログのモニタリングを行います。異常を検知した場合、管理者へ自動通知されます。また、アラート結果は、履歴情報としてLogStareへ保存されます。
【条件指定】
予め設定したキーワードに該当するログを検知すると管理者へ自動通知します。
<Syslog:キーワード>
■「session opened for user root」管理者変更ログ
■ HA control channel change to NULL.(disconnected) リンクダウンログ
■「login attempt」ログイン失敗(不正ログインの可能性あり)
アラートメール内容
件名:LogStare [Notice] Realtime Alert Detected 設定メール件名
本文:
YYYY-MM-DD HH:MI:SS LogStare [Notice] Realtime Alert Detected設定メール件名
設定ID : "設定ID"
ログ名称 : "ログ名称"
ログ取得日時: "ログ取得日時"
ファイル名 : "保存ファイル名"
キーワード : "キーワード"
一致ログ内容:
"一致行内容"
"一致行内容"
--more--
本文:
YYYY-MM-DD HH:MI:SS LogStare [Notice] Realtime Alert Detected設定メール件名
設定ID : "設定ID"
ログ名称 : "ログ名称"
ログ取得日時: "ログ取得日時"
ファイル名 : "保存ファイル名"
キーワード : "キーワード"
一致ログ内容:
"一致行内容"
"一致行内容"
--more--
正常時のログファイルサイズの閾値を予め設定し、
閾値よりファイルサイズが小さいものや大きいものがあれば管理者へ自動通知します。
アラートメール内容
件名:LogStare [Warning] Log FileSize NG Alert
本文:
YYYY-MM-DD HH:MI:SS
LogStare [Warning] Log FileSize NG Alert
設定ID : "設定ID"
ログ名称 : "ログ名称"
ログ取得日時: "ログ取得日時"
ファイル名 : "保存ファイル名"
取得サイズ : "ファイル取得サイズ" Byte
下限閾値 : "下限閾値(0=none)" Byte
上限閾値 : "上限閾値(0=none)" Byte
本文:
YYYY-MM-DD HH:MI:SS
LogStare [Warning] Log FileSize NG Alert
設定ID : "設定ID"
ログ名称 : "ログ名称"
ログ取得日時: "ログ取得日時"
ファイル名 : "保存ファイル名"
取得サイズ : "ファイル取得サイズ" Byte
下限閾値 : "下限閾値(0=none)" Byte
上限閾値 : "上限閾値(0=none)" Byte
