ログ分析・監視テクニック

ZabbixヒストリデータをLSCにて収集する方法について

当記事では、ZabbixヒストリデータをLogStare Collector(以下、LSCと記載)にて収集する方法についての説明を記載します。

概要

Zabbix4.0以降より実装されたリアルタイムエクスポート機能にて出力されたヒストリーデータをログフォワーダー「okurun.jar」を利用してsyslogメッセージとして発信し、LSCにて受信します。「okurun.jar」の入手先及び概要については、以下の記事をご参照ください。
ログフォワーダー「okurun.jar」について

前提条件

  • 当記事ではZabbixの具体的な構築手順については記載しません。
  • 弊社フォワーダーはjavaにて動作します。OpenJDK等事前にZabbixサーバへインストールしてください。
  • 当記事の記載内容は下記環境にて実施したものです。
  • 当記事の手順はすべて管理者権限にて実施しています。

Zabbixサーバ

Zabbixバージョン 5.0
OS RHEL8
メモリ 2GB
CPU 2コア
JAVA OpenJDK15

LSCサーバ

LSCバージョン 2.1.0
OS CentOS7
メモリ 4GB
CPU 2コア
JAVA OpenJDK14

設定(Zabbix側)

ExportDirの設定

  • ヒストリデータの出力先を作成します。当記事では、/var/log/zabbix_data配下にヒストリデータを出力します。
# mkdir /var/log/zabbix_data
# ls /var/log
~省略
zabbix_data
~省略~
  • zabbix_dataディレクトリの所有者をzabbixに変更します。
# chown zabbix /var/log/zabbix_data
  • Zabbixを停止後zabbix_server.confを編集し、「ExportDir」にて出力先を指定します。
# vi /etc/zabbix/zabbix_server.conf
~省略~
ExportDir=/var/log/zabbix_data
~省略~
  • Zabbixを再起動後、/var/log/zabbix_data配下を確認しデータが出力されているかを確認します。
# ls /var/log/zabbix_data/
history-history-syncer-1.ndjson   problems-history-syncer-4.ndjson
history-history-syncer-2.ndjson   problems-main-process-0.ndjson
history-history-syncer-3.ndjson   problems-task-manager-1.ndjson
history-history-syncer-4.ndjson   trends-history-syncer-1.ndjson
history-main-process-0.ndjson     trends-history-syncer-2.ndjson
problems-history-syncer-1.ndjson  trends-history-syncer-3.ndjson
problems-history-syncer-2.ndjson  trends-history-syncer-4.ndjson
problems-history-syncer-3.ndjson  trends-main-process-0.ndjson

「okurun.jar」の準備

  • 任意のディレクトリに「okurun.jar」を配置します。当記事では、/usr/local/配下に配置します。
# pwd 
/usr/local 
# ls 
okurun.jar

ヒストリデータの送信方法

  • 「okurun.jar」を配置したディレクトリに移動します。
# cd /usr/local/ 
# ls 
okurun.jar
  • 「okurun.jar」を実行します。当記事では、/var/log/zabbix_data/配下のhistory-history-syncer-1.ndjsonが「okurun.jar」の対象となるファイルです。当記事では、LSC(192.168.100.1)にudp/514でファシリティ「LOCAL1」プライオリティ「INFO」にて転送する場合のコマンドを記載します。※最後のアンパサンド(&)はバッググラウンド処理させるためのものです。
# java -jar okurun.jar /var/log/zabbix_data/history-history-syncer-1.ndjson UTF-8 udp 192.168.100.1 514 INFO LOCAL1 N N &
  • 上記コマンド実行後、バックグラウンド上で「okurun.jar」が起動します。

フォワーダーの停止方法

  • フォワーダーはkillコマンドにて停止します。まず、「okurun.jar」のプロセスIDを確認します。
# ps -ef
~省略~
root       10661    9727  0 02:00 pts/0    00:00:05 java -jar okurun.jar /var/log/zabbix_data/history-history-syncer-1.ndjson UTF-8 udp 192.168.100.1 514 INFO LOCAL1 N N
root       10688    9727  0 02:01 pts/0    00:00:05 java -jar okurun.jar /var/log/zabbix_data/history-history-syncer-2.ndjson UTF-8 udp 192.168.100.1 514 INFO LOCAL1 N N
~省略~
  • 停止したい「okurun.jar」のプロセスIDを確認し、killコマンドにて停止します。今回はhistory-history-syncer-2.ndjsonのヒストリデータ転送を停止します。
# kill -9 10688
  • 停止した「okurun.jar」のプロセスIDが存在しないことを確認します。
# ps -ef
~省略~
root       10661    9727  0 02:00 pts/0    00:00:05 java -jar okurun.jar /var/log/zabbix_data/history-history-syncer-1.ndjson UTF-8 udp 192.168.100.1 514 INFO LOCAL1 N N
~省略~

設定(LSC側)

基本設定

  • フォワーダーにて転送されたメッセージを「SYSLOG収集」にてLSCで受信します。「SYSLOG収集」につきましては、以下の記事をご参照ください。
    SYSLOG収集
  • 「SYSLOG収集」にて利用されるポート番号はデフォルトでtcp/udp共に514となっています。フォワーダーにてポート番号を514以外に設定した場合、環境設定より「SYSLOG収集」にて利用されるポート番号を変更することで514以外のポートで「SYSLOG収集」が可能となります。環境設定につきましては、以下の記事をご参照ください。
    LogStare Collector における環境設定について

活用例

以上でZabbixヒストリデータをLSCにて収集する方法についての説明は終了となります。

Zabbixヒストリデータのレポート生成について前のページ

GlobalProtect から特定アプリケーションの通信を除外する次のページ

ピックアップ記事

  1. Zabbixヒストリデータのレポート生成について
  2. ログフォワーダー「okurun.jar」について
  3. IoT機器「Raspberry pi」とLogStare Collectorで温…
  4. 自社製品をAMIにしてマーケットプレイスへ出品

関連記事

  1. NW機器

    Palo AltoにおけるCEF形式ログ送信設定

    当記事では、Palo Alto におけるCEF形式でのログの送信方法に…

  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する

    当記事では、ジュピターテクノロジー株式会社様が国内で販売するntop社…

  3. NW機器

    Allied Telesis(インテリジェント・エッジ・スイッチ)にSNMP v1/SNMPv2c設…

    当記事では、Allied Telesis社のインテリジェント・エッジ・…

  4. Windows/Linux

    .bash_historyの出力内容をLSCにて収集する方法

    当記事では、.bash_historyの出力内容をLogStare C…

  5. Windows/Linux

    Windows Server 2016 (2012) / Windows 10 にて、WMI 通信の…

    当記事では、LogStare Collector にて、Windows…

  6. Windows/Linux

    Windowsファイアウォールにて特定のインバウンド通信を許可するための設定例

    当記事では、Windowsファイアウォールにて特定のインバウンド通信を…

secuavail

logstare collector

logstare collector

  1. NW機器

    Nutanix Prism ElementにおけるSNMP監視/REST API…
  2. ログ分析・監視テクニック

    nProbeであらゆる通信をログに記録し可視化する
  3. NW機器

    SonicWall UTMにてSNMP(v1/v2/v3)を有効化する方法につい…
  4. NW機器

    SonicWall UTMにSyslog送信設定を追加する方法について
PAGE TOP