【Hinemos】バイナリファイル監視についてご紹介
投稿日: / 更新日:
こんにちは。今回は少しマイナーな監視である、バイナリファイル監視についてご紹介します。
バイナリファイル監視とは
バイナリファイル監視では、ファイルの更新を契機として、検索文字列が該当ファイルに含まれているかを監視します。
ログファイル監視とは違い、ファイルのバイナリ値を参照する点が特徴です。
バイナリファイル監視の動作イメージはこちらの図のようになっています。
バイナリファイル監視では、監視対象ノード上にある指定のバイナリファイルが更新されたときに監視が動作し、エージェントがファイルのフィルタ処理を行います。エージェントは、フィルタ処理によってあらかじめ決められた文字列がヒットした場合にマネージャに通知を行います。
バイナリファイル監視の種類について
バイナリファイル監視では、監視、収集を大きく分けて2つの方法から選択できます。それぞれについて、簡単にご紹介します。
-
ファイル全体
監視対象ファイルの全体を監視して、指定された検索文字列があった場合に通知します。アプリケーションクラッシュ時に出力されるクラッシュ・ファイルなど、一度に内容すべてが生成されるファイルの監視に適しています。
-
増分
前回チェック実行時から監視対象ファイルに追加されたデータに検索文字列があるかを監視します。ログファイルなどの追記されることが前提のファイルを監視する際に適した監視方法となります。
また、増分の監視方法は、さらに2つの収集単位に分けることができます。
後述のレコード単位の増分と異なり、レコードのフォーマットなどを考えず、追加されたデータがすべて監視対象となる方式です。
・時間区切りの増分
・レコード単位の増分
監視対象ファイルに追加されるデータのフォーマット(固定長、可変長等)を指定することで、個々のレコード単位でデータの収集を行うことができます。
さらに、レコード単位の増分では、詳細なデータ構造をプリセットで指定することが可能です。プリセットで指定された内容を一括で反映することで、監視設定の際の手間や誤りを減らすことが可能です。プリセットはお使いの環境に合わせて追加することも可能ですが、Hinemosではあらかじめ3種類の監視対象ファイルに合わせたプリセットが用意されています。
1.wtmp
Linuxの”last”コマンドで表示される、ユーザーログイン情報を保持しているバイナリファイルです。
2.pacct
Linuxの”lastcomm”コマンドで表示される、 各アカウントのコマンド実行履歴を保持するバイナリファイルです。
3.pcap
libpcap/WinPcap等で生成されるネットワークのパケットデータを含むファイルです。 Wireshark等のアプリケーションで解析することが可能です。
監視したいバイナリファイルの形式にあわせて監視、収集方式を選択し、お使いの環境でもバイナリファイル監視を使用してみてはいかがでしょうか。
以上、バイナリファイル監視のご紹介でした。
