ライブラリー OT2,LLC JA LogParsers60

Kaseya 2

構 構 文 _文 解 _解 析 _析

構 構 成 _成

ー

VSA 6.0^用

About Kaseya

Kaseya is a global provider of IT automation software for IT Solution Providers and Public and Private Sector IT organizations. Kaseya's IT Automation Framework allows IT Professionals to proactively monitor, manage and maintain distributed IT infrastructure remotely, easily and efficiently with one integrated Web based platform. Kaseya's technology is licensed on over three million machines worldwide.

Copyright © 2000-2010 Kaseya International Limited. All Rights Reserved.

Contents

序文 ₃

1 ^{：新 い 構文解析定義 作成} 4

2 ^{：構文解析 入力} 5

3 ^{： ン ー 指定 ー 定義} 6

4 ^{： 構文解析定義 指定} 12

5 ^{：収集 警報条件 定義} 13

6 ^{：構文解析セ 指定} 15

7 ^{： ニ ン 見} 16

序文

序文

VSA ^{く 標準 集 ー ニ ニ ン}

ー ー 出 能力 拡張 例

Unix, Linux, OS^{用 ー ン} syslog Cisco

ー う ネ ワー あ 含 全 ー _KServer

ー ー ー い う ニ ン 構文解析定義 構文解析セ

使用 各 構文解析 興味 あ ー 選択 構文解析

セー 接続 _> ー ン ー ン ー ー ン

セ ニ ン 表示 く ー ン _{> -} ニ

ン ー ー 作成 表示 ニ ン コー 作成

ー ー 構文解析セ 指定 く 構文解析 定義 警報 発

構文解析定義 _vs, 構文解析セ

ニ ン 構成 ₂種類 構成 コー け 楽 ：構文解析定義

構文解析セ

構文解析定義 以 使用 ：

 ^{構文解析 配置}

 ^{ー ー 基 ン ー 指定 ー 選択}

 ^{ー 値 ー 配置}

 ^{ニ ン ン ー}

構文解析セ あ 選択 ー け 配置 ー 値 定

義 基準 基 構文解析セ ニ ン ン ー 作成 警報 発

構文解析セ 実行 け _KServer ー ー 拡張 例え

$FileServerCapacity$ ^{呼 ー ー ー ー ー}

最新 ーセン 繰 返 ー ー ー ₂₀ 以 ニ

ン 記録 作 必要 あ せ 閾 基 警報 発 必要 あ せ 各構

文解析セ 作成 構文解析定義 適用 複数 構文解析セ

各構文解析定義 作成 各構文解析セ 指定 各 ン_ID 別 警報 発

1：新 い 構文解析定義 作成

1 _{：新 い 構文}

解析定義 作成

VSA^{内 ニ ー セ ニ ン 構文解析 選択} [

新 い_] ン 新 い 構文解析定義 作成

2：構文解析 入力

2 _{：構文解析}

入力

以 入力 ：

構文解析 _- 構文解析定義 称

- ^{処理 ー ン セ}

け せ ー ン 含 べ ニ

コー ー せ 例：c:\logs\message.log.

注： _(*) ワ ー 文 名 使用 ま こ 場合 最も最近 処理さ ま 例：c:\logs\message*.log.

構文解析 入力 あ _[保 _] ン ン 拡大

ー 定義 含

ン情報

ー _- 構文解析 目的 変化 定期的

構文解析 入力 処理 う 前 ン ー 別 ー

保 ー ー ー 指定

わけ 例：message.log messageYYYYMMDD.log ^{ー 毎}

保 ー パ c:\logs\message*.log ^{指定 わけ 構文解析}

ー 維持 最後 処理 解

説明 _- 構文解析 詳細説明

3： ン ー 指定 ー 定義

3 _{： ン ー}

指定 ー 定義

ン ー

ン ー 必要 ー ー 出 内 ン 比較

使用 ー ン ー 内 文 囲 ー 周

置く 重要 そう ー 識別 ン ー

文 ン ー 対 大文 _/小文 識別 比較

単一行 ン 構文解析 単一 ン ン ー _- ン ー 一行 ン ー

含 行 処理

複数行 ン 構文解析 複数行 ン ー _- ン ー 複数行 ン 含

行境界 区 行 単位 処理

注： 文 列_{tab} 文 し 使用 _{nl} 改行 し 使用 ま _{nl} 単一行 ン ー 使用 ま _.% ワ ー 文 し 使用 ま

注記： ン ン ー べ 打 込 作成 ン ー 編集

コ ー ー 必要 ー ー 置 換え 方 簡単

ン ー 出力

ン ー ン ー ー 保 セー

ー 使用 そう い ン ー 自体 ー ー 内

セー 保 い

ー

一 ン ー ン ー 使用 ー 定義 必要 あ

ン ー ー べ 定義 け せ そう い 構文解析

ー 返 利用可能 ー integer, unsigned integer, long, unsigned long, float,

double, datetime, string ^{ー 長} 32^文

付時間 ー 文 列

ン ー 文 列 ン 付時間 構文解析 使用 付 時間 ー

含 例：YYYY-MM-DD hh:mm:ss

ー ：

 yy, yyyy, YY, YYYY - ^{年 2桁 4桁}

 M - 1^{桁 2桁 月}

 MM - 2^{桁 月}

 MMM - ^{月 略語 例}"Jan"

 MMMM - ^{月 略語 例}"January"

 D, d - 1^{桁 2桁}

 DD, dd - 2^桁

3： ン ー 指定 ー 定義

 DDD, ddd - ^{曜 略語 例}"Mon"

 DDDD, dddd - ^{曜 ネー 例}""Monday"

 H, h - 1^{桁 2桁 時}

 HH, hh - 2^{桁 時}

 m - 1^{桁 2桁}

 mm - 2^桁

 s - 1^{桁 2桁 秒}

 ss - 2^{桁 秒}

 f - 1^{桁 そ 以 桁数 秒 少数 以}

 ff - fffffffff – 2^{桁 9桁}

 t - ^{午前/午後表示 例}"a"

 tt - ^{午前/午後表示 例}"am"

注： 各日付時間パ ー 少 く も月 日 時 分 ー 含ま け ま 指定

$Time$^{パ ー 値 ベン 時間 し 使用しま そう け ー ベー 内 ン} 処理さ 時間 ベン し 使用さ ま

例 _- 行 ン

ニ ー い 代表的 ン ー 始 ：

<189> 2009 Aug 31 06:57:48 (FVS114-ba-b3-d2) 71.121.128.42 ICMP ^{パ ッ} [Destination Unreachable] - ^転送元:192.168.0.186 - ^転送先:192.168.0.1 - [Receive]

ー 追加 い ン ー 特定 ：

<189> 2009 Aug 31 06:57:48 (FVS114-ba-b3-d2) 71.121.128.42 ICMP ^{パ ッ} [Destination Unreachable] - ^転送元：192.168.0.186 - ^転送先：192.168.0.1 - [Receive]

ン ー 線 ー 置 換え ：

<$code$> $Time$ ($device$) $HostName$ $PackType$ ^{パ ッ} [$Action$] - ^転送元 :$SrcAddr$ - ^転送先:$DestAddr$ - $Msg$

ー

注： 保 ン 少 く も１度 ッ し ッ ー セ ョ

ン 表示しま

ー 追加 使用 い ン 一致 け

せ 例：文 列 _{'] -}転送元：_' ン 前 ー 含 ン

一致 け せ

ー 定義：

ー ー ParsedResult

code Integer 189

時間 _UTC く "YYYY MMM DD hh:mm:ss" ^ー

datetime

2006-11-08 11:57:48

device String FVS114-ba-b3-d2

3： ン ー 指定 ー 定義

PackType String ICMP

Action String Destination Unreachable

SrcAddr String 192.168.0.186

DestAddr String 192.168.0.1

Msg String [Receive]

例 _{2 – %} ン ₍ ワ ー ₎ 含

ニ ー い 代表的 ン ー 始 ：

<189> 2009 Aug 31 06:57:48 (FVS114-ba-b3-d2) 71.121.128.42 ICMP ^{パ ッ} [Destination Unreachable] - ^転送元:192.168.0.186 - ^転送先:192.168.0.1 - [Receive]

ニ ー い 内 不要 特定：

<189> 2009 Aug 31 06:57:48 (FVS114-ba-b3-d2) 71.121.128.42 ICMP ^{パ ッ} [Destination Unreachable] - ^転送元：192.168.0.186 - ^転送先：:192.168.0.1 - [Receive]

ン ー 不要 透通 ーセン _(%) ワ ー 文 置 換え

3： ン ー 指定 ー 定義

ほ ー 置 換え ：

<$code$> $Time$ % $HostName$ $PackType$ ^{パ ッ} % ^転送元:$SrcAddr$ - ^転送先 :$DestAddr$ -

ー 定義：

ー ー ParsedResult

code Integer 189

時間 YYYY MMM DD hh:mm:ss ^ー datetime 2006-11-08 11:57:48

HostName String 71.121.128.42

PackType String ICMP

SrcAddr String 192.168.0.186

DestAddr String 192.168.0.1

例 _{3 -} 複数行 ン

ニ ー い 代表的 複数行 ン ー 始 ：

こ キャン サ

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 総 キャン時間:00:02:32.765

キャンさ _:91445

認識し 数_:0

無視し 数_:0

新しい重大 _:0

無視 べ ー 追加 べ 認識

こ キャン サ

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 総 キャン時間:00:02:32.765

キャンさ 数_:91445

認識さ 数_:0

無視さ 数_:0

新しい重大 数₀

ン ー 不要 透通 ーセン _(%) ワ ー 文 置 換え

線 ー 置 換え ：

こ キャン サ

% ^{キャン時間}:$ScanTime$

% ^キャンさ :$Scanned$

%^認識さ :$Identified$

%^無視さ :$Ignored$

%^{重大 数}:$Critical$

ー 定義：

ー ー ParsedResult

ScanTime String 00:02:32.765

Scanned Integer 91445

Identified Integer 0

3： ン ー 指定 ー 定義

Critical Integer 0

例 _{4 –} ー 出力

回収 い 代表的 複数行 ン ー 始 ：

3： ン ー 指定 ー 定義

こ キャン サ

»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» 総 キャン時間:00:02:32.765

キャンさ _:91445

認識し 数_:0

無視し 数_:0

新しい重大 _:0

出力 ン ー 指定 い場合 ー べ ニ ー 内 セー 本文

記録 出力 ン ー 指定 ニ ン 出力 例

出力 ン ー 定義 ー 使 ン ー 指定 ：

全 $Scanned$ $ScanTime$ ^{キャンさ ま 見 け ：}

$Identified$ ^特定し $Ignored$^無視し $Critical$^重大

出力 ン ー 指定 ニ ン 出力例

4： 構文解析定義 指定

4 _{： 構文解析定}

義 指定

完成 構文解析定義 _{Log Parser}機能 使 複数 ン_ID 指定

け せ 定義 適用 ン_ID 選択 _[適用_] ン

構文 析定義 選択 ン 使用 意味 記載

い う 構文 析 集 ー 基準 選択 警報条件 指定 い 開

始 せ

5：収集 警報条件 定義

5 _{：収集 警報条件}

定義

機能 内 ニ ン 構文解析セ 指定 構文解析選

択 ン 構文解析定義 選択 そ 構文解析セッ 定義

ン <New Parser Sets> ^{選択 構文解析セ ニ}

ン 含 警報 作 ン 構文解析 関 真 け い一連

条件 関連 ン ニ ン 通知 確実

構文解析セ 構文解析専用 あ 注意 く い 構文解

析 複数 構文解析 定義 各 構文解析セ 用 別 警報セ 起動

5：収集 警報条件 定義

警報条件 定義 以 例 ョン ー 到達不可 うい 含

ン 構文解析 ニ ン 内 ン 生成

ー ー

 String - begins with, does not begin with, contains, does not contain, ends

with, does not end with, equals, does not equal

 Numeric - equal, not equal, over, under

 ^Time - equal, not equal, over, under

Time^{用 ー} Filter ^{以 ー う} Z ^{終わ 文 列}

UTC^{時間 示}

 YYYY-MM-DDThh:mm.ss

 YYYY/MM/DDThh:mm.ss

 YYYY-MM-DD hh:mm.ss

 YYYY/MM/DD hh:mm.ss

 YYYY-MM-DDThh:mm.ssZ

 YYYY/MM/DDThh:mm.ssZ

 YYYY-MM-DD hh:mm.ssZ

 YYYY/MM/DD hh:mm.ssZ 例：2008-04-01 15:30:00.00

構文解析セ 条件

条件 構文解析セ 定義 複数 条件 構文解析 指定 複数 構文解析

構文解析 指定 ー 収集 _/ 警報 開始 せ ン 構文

解析セ 内 全条件 満 け せ 行 ン 警報 他 ニ

ーセ 異 承知 く い 例：

内容：

05/09/2008 12:21:34 192.168.0.1 error "lookup failed" 05/09/2008 12:21:35 192.168.0.1 error "syslog stopped" 05/09/2008 12:21:37 192.168.0.1 information "syslog starts" 05/09/2008 12:21:38 192.168.0.2 warning "ping failed"

05/09/2008 12:22:04 192.168.0.2 warning "unknown message"

行 ン ー ：

$Time$ $hostname$ $errortype$ $message$

以 条件 満足 ン ー 集 構文解析セ 定義 そ 構

文解析 指定 け せ ：

6：構文解析セ 指定

$errortype$ is "error"

$errortype$ is "warning" AND $message$ contains "failed"

構文解析セ 対応画面 ー ：

6 _{：構文解析セ}

指定

ン_ID 警告 ン 警報 選択 _[適応_] ン 構文解析 ン_ID

指定 一 ン_ID 構文解析構成 け ー

時い 運営 ン ー ン 構文解析 始

7： ニ ン 見

通知

通知用法 う わ ー ン ン ー 集

構文解析セ 定義 基準 基 ニ ン ン 作成

新 い ニ ン 作成 び 通知 え必要 あ せ 単 自 都合

定期的 ニ ン 見 け

7 _{： ニ ン}

見

ニ ン ン ー 以 セ ニ ン 表示 ：

 ^{ー ン > ー ン > ニ ン > (構文解析定義)}

 ^{接続 > ー ン ー > ー ン > ニ ン > (構文解析定義)}

接続 選択 ン_ID ン ー コン 表示

7： ニ ン 見

 ^{監査 > ン > ー ン > ニ ン > (構文解析定義) ン}

ー 選択 ン_ID ン ー コン 選択 表示

 ^{情報セン ー> ー > ニ - > ニ ー}

ン ー ニ ン ン 使用 _$Time$ ー 示 ビュ

ー ー け 日付時間 ン ー時間 基 い いま 日付時間 ー 使 _$Time$パ ー ン ー 含む ニ ン _$Time$ パ ー 保 さ

時間 ン 時間 し 使用しま _$Time$パ ー ン ー 含ま い

ン ニ ン 加え 時間 ン 時間 ま 必 ン ー

表示 ー ン 選択し く さい

7： ニ ン 見

対照的 ー ー ニ ン ン ー く ー 作成

ー 基