こんにちは。

今回は、特定のログッセージ1分間に複数回出力される場合のみ検知する方法についてご紹介いたします。

---

一時的なNW瞬断などで単発出力されるメッセージなど、

検知したいログメッセージが、特定の期間に複数回出力される場合のみ検知したい場合は、

Hinemos ver.6.1より追加された”ログ件数監視機能”によって、実現する事が可能です。

今回は、システムログへ1分間に同一のログメッセージが3件出力された場合に、

イベント通知を行うよう設定してみたいと思います。

■設定

① システムログ監視を設定する。

ログ件数監視では、文字列監視等で収集された文字列データから、特定の条件に一致したデータの件数を

監視および通知するため、別途、対象のログファイルに対する文字列監視の設定が必要です。

今回は、以下のようなシステムログ監視を設定しました。

• システムログに「ERROR」の文字列が出力された場合に、重要度「危険」を通知
• システムログに「WARN」の文字列が出力された場合に、重要度「警告」を通知
• システムログに「INFO」の文字列が出力された場合に、重要度「情報」を通知

 

②ログ件数監視を設定する。

ログ件数監視では、指定した期間内の条件に一致したデータ件数により、重要度を判定します。

今回は上記で設定したシステムログファイル監視設定を「監視項目ID」に紐づけ、

システムログに出力されるログメッセージデータ内から、ログの件数を監視します。

また、「キーワード」には、監視対象とするログメッセージのタグを限定せずに

「ERR」という値が設定されたタグを持つ収集データ(文字列)を設定し、

1分間に出力されるログデータの件数を確認します。

以下の画像のように、3件以上キーワードに一致するログが主力された場合に

「危険」として検知されるよう、設定しました。

また通知設定は以下のように設定しました。

確認

システムログへ10秒毎にERRORとINFOのメッセージが交互に出力されるスクリプトを作成し、実行しました。

システムログには以下のように出力されています。

Hinemosには、以下のように「危険」の通知がされていました。

メッセージの「取得値：3.0」は、監視設定に指定したキーワードに一致する収集データの件数となります。

02:20:00から02:21:00の1分間に、キーワードERRのタグを持つ収集値が3件あったことが分かります。

 

以上、簡単にではございますが、特定のログッセージ1分間に複数回出力される場合のみ検知する方法についての

ご紹介でした。