VMware vRealize Log Insight 管理ガ イド vRealize Log Insight 2.5 このドキュメントは新しいエディションに置き換わるまで、 ここで書いてある各製品と後続のすべてのバージョンをサ ポートします。このドキュメントの最新版をチェックする には、http://www.vmware.com/jp/support/pubs を参 照してください。 JA-001659-00 VMware vRealize Log Insight 管理ガイド 最新の技術ドキュメントは VMware の Web サイト(http://www.vmware.com/jp/support/)にあります VMware の Web サイトでは最新の製品アップデートも提供されています。 このドキュメントに関するご意見およびご感想がある場合は、[email protected] までお送りください。 Copyright © 2014 VMware, Inc. 無断転載を禁ず。著作権および商標情報。 VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 2 ヴイエムウェア株式会社 105-0013 東京都港区浜松町 1-30-5 浜松町スクエア 13F www.vmware.com/jp VMware, Inc. 目次 vRealize Log Insight 管理ガイドについて 5 1 Log Insight の管理 7 Log Insight 仮想アプライアンス用の root の SSH パスワードの構成 8 Log Insight vApp のネットワーク設定の変更 8 Log Insight への永続的ライセンスの割り当て 9 Log Insight の以前のバージョンからのアップグレード Log Insight クラスタの管理 9 12 統合ロード バランサーの有効化 17 Log Insight 仮想アプライアンスの健全性チェック 17 19 ログ イベントを送信するホストの監視 Log Insight Windows Agent および Linux Agent のステータスの監視 Log Insight でのユーザー アカウントの管理 Log Insight Windows Agent の概要 Log Insight Linux Agent の概要 20 20 26 41 Log Insight Agents のトラブルシューティング 49 Log Insight システム アラートの構成 55 Log Insight 仮想アプライアンスの時刻の同期 Log Insight の SMTP サーバの構成 59 60 Log Insight と他の VMware 製品の統合 61 Log Insight でのデータ アーカイブの有効化または無効化 75 Active Directory を介したユーザー認証の有効化 76 Log Insight Web インターフェイスを使用したカスタムの SSL 証明書のインストール Log Insight Web セッションのデフォルトのタイムアウト期間の変更 Log Insight アーカイブ ファイルの形式 77 83 84 Log Insight アーカイブの Log Insight へのインポート 84 Log Insight アーカイブの Raw テキスト ファイルまたは JSON へのエクスポート SSL を使用した Log Insight イベント転送の構成 Log Insight イベント転送ターゲットの追加 85 85 86 Log Insight サービスの再起動 87 Log Insight 仮想アプライアンスのパワーオフ 87 Log Insight 仮想アプライアンスへのメモリおよび CPU の追加 88 VMware へのトレース データの送信停止 88 2 Log Insight のトラブルシューティング 91 ESXi ログ Log Insight での受信の停止 91 Log Insight のディスク領域不足 92 Log Insight サポート バンドルのダウンロード 93 Log Insight のサポート バンドルを作成するための仮想アプライアンス コンソールの使用 管理者ユーザーのパスワードのリセット root ユーザーのパスワードのリセット 94 vRealize Operations Manager にアラートを配信できない場合 VMware, Inc. 93 94 95 3 VMware vRealize Log Insight 管理ガイド Active Directory の認証情報を使用してログインできない 95 STARTTLS オプションが有効な場合 SMTP が機能しない 96 .pak ファイルの署名を検証できなかったためのアップグレードの失敗 内部サーバ エラーによるアップグレードの失敗 インデックス 4 97 97 99 VMware, Inc. vRealize Log Insight 管理ガイドについて 『VMware vRealize Log Insight 管理ガイド』には、ユーザー アカウントの管理、他の VMware 製品との統合、および 一般的な問題のトラブルシューティングなど、Log Insight の管理に関する情報が記載されています。 対象読者 この情報は、Log Insight を管理するユーザーを対象としています。記載されている情報は、Windows または Linux の システム管理者としての経験があり、仮想マシン テクノロジーおよびデータ センターの運用に詳しい方を対象としてい ます。 VMware, Inc. 5 VMware vRealize Log Insight 管理ガイド 6 VMware, Inc. Log Insight の管理 1 管理者ユーザーは Log Insight Web ユーザー インターフェイスの [管理] セクションを使用して標準の管理タスクを実行 できます。 Log Insight の構成の変更には、loginsight サービスの再起動後でないと適用されないものがあります。時間構成、 vSphere の統合、および認証に関連する変更は、再起動しなくても適用されます。 この章では次のトピックについて説明します。 n Log Insight 仮想アプライアンス用の root の SSH パスワードの構成 (P. 8) n Log Insight vApp のネットワーク設定の変更 (P. 8) n Log Insight への永続的ライセンスの割り当て (P. 9) n Log Insight の以前のバージョンからのアップグレード (P. 9) n Log Insight クラスタの管理 (P. 12) n 統合ロード バランサーの有効化 (P. 17) n Log Insight 仮想アプライアンスの健全性チェック (P. 17) n ログ イベントを送信するホストの監視 (P. 19) n Log Insight Windows Agent および Linux Agent のステータスの監視 (P. 20) n Log Insight でのユーザー アカウントの管理 (P. 20) n Log Insight Windows Agent の概要 (P. 26) n Log Insight Linux Agent の概要 (P. 41) n Log Insight Agents のトラブルシューティング (P. 49) n Log Insight システム アラートの構成 (P. 55) n Log Insight 仮想アプライアンスの時刻の同期 (P. 59) n Log Insight の SMTP サーバの構成 (P. 60) n Log Insight と他の VMware 製品の統合 (P. 61) n Log Insight でのデータ アーカイブの有効化または無効化 (P. 75) n Active Directory を介したユーザー認証の有効化 (P. 76) n Log Insight Web インターフェイスを使用したカスタムの SSL 証明書のインストール (P. 77) n Log Insight Web セッションのデフォルトのタイムアウト期間の変更 (P. 83) n Log Insight アーカイブ ファイルの形式 (P. 84) n Log Insight アーカイブの Log Insight へのインポート (P. 84) VMware, Inc. 7 VMware vRealize Log Insight 管理ガイド n Log Insight アーカイブの Raw テキスト ファイルまたは JSON へのエクスポート (P. 85) n SSL を使用した Log Insight イベント転送の構成 (P. 85) n Log Insight イベント転送ターゲットの追加 (P. 86) n Log Insight サービスの再起動 (P. 87) n Log Insight 仮想アプライアンスのパワーオフ (P. 87) n Log Insight 仮想アプライアンスへのメモリおよび CPU の追加 (P. 88) n VMware へのトレース データの送信停止 (P. 88) Log Insight 仮想アプライアンス用の root の SSH パスワードの構成 仮想アプライアンスとの SSH 接続はデフォルトで無効になっています。SSH 接続を有効にするには、VMware Remote Console から root の SSH パスワードを構成する必要があります。 開始する前に Log Insight 仮想アプライアンスが展開され、実行していることを確認します。 手順 1 vSphere Client インベントリで Log Insight 仮想アプライアンスをクリックし、[コンソール] タブを開きます。 2 スプラッシュ スクリーンで指定したキーの組み合わせを使用して、コマンド ラインに移動します。 3 コンソールで「root」と入力し、Enter を押します。パスワードを空のまま残して、Enter を押します。 次のメッセージがコンソールに表示されます。パスワードの変更が要求されました。新しいパスワードを選択してください。 4 古いパスワードを空のまま残して、Enter を押します。 5 root ユーザーの新しいパスワードを入力し、Enter を押し、root ユーザーの新しいパスワードをもう一度入力して、 Enter を押します。 パスワードは 8 文字以上を指定する必要があります。大文字、小文字、数字、および特殊文字をそれぞれ 1 文字以 上含める必要があります。同じ文字の繰り返し回数が 4 回を超えてはなりません。 次のメッセージが表示されます。パスワードが変更されました。 次に進む前に root のパスワードを使用すると、Log Insight 仮想アプライアンスとの SSH 接続を確立できます。 Log Insight vApp のネットワーク設定の変更 Log Insight 仮想アプライアンスのネットワーク設定を変更するには、vSphere Client で vApp のプロパティを編集し ます。 開始する前に vApp のプロパティを編集する権限があることを確認します。 手順 8 1 Log Insight vApp をパワーオフします。 2 インベントリで Log Insight vApp を右クリックし、[設定の編集] をクリックします。 3 [オプション] タブをクリックし、[vApp オプション] - [ IP 割り当てポリシー] を選択します。 VMware, Inc. 第 1 章 Log Insight の管理 4 IP の割り当てオプションを選択します。 オプション 説明 固定 IP アドレスを手動で構成します。自動割り当ては実行されません。 一時的 vApp がパワーオンされると、IP アドレスは指定された範囲から、IP プールを使用し て自動的に割り当てられます。アプライアンスがパワーオフされると、IP アドレスは DHCP DHCP サーバを使用して IP アドレスが割り当てられます。DHCP サーバによって割 り当てられたアドレスは、vApp で起動された仮想マシンの OVF 環境に表示されます。 解放されます。 5 (オプション) [固定] を選択した場合は、[vApp オプション] - [ プロパティ] をクリックして、Log Insight vApp の IP アドレス、ネットマスク、ゲートウェイ、DNS、およびホスト名を割り当てます。 注意 ドメイン ネーム サーバを 3 つ以上指定しないでください。ドメイン ネーム サーバを 3 つ以上指定すると、構 成されたすべてのドメイン ネーム サーバが Log Insight 仮想アプライアンスで無視されます。 6 Log Insight vApp をパワーオンします。 Log Insight への永続的ライセンスの割り当て Log Insight を使用するには、有効なライセンス キーと組み合わせる必要があります。 VMware Web サイトから Log Insight をダウンロードするときに、評価ライセンスが取得されます。このライセンスの 有効期間は 60 日です。評価ライセンスの有効期限が切れた後も引き続き Log Insight を使用するには、永続的ライセン スを割り当てる必要があります。 Log Insight Web ユーザー インターフェイスの [管理] セクションを使用して、Log Insight ライセンスのステータスを 確認し、ライセンスを管理します。 開始する前に n 有効なライセンス キーは My VMware™ から取得します。 n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で [ライセンス] を選択します。 3 [ライセンス キー] テキスト ボックスにライセンス キーを入力して、[キーの設定] をクリックします。 4 ライセンスのステータスが [アクティブ] であること、およびライセンスのタイプと有効期限が正しいことを確認しま をクリックし、[管理] を選択します。 す。 Log Insight の以前のバージョンからのアップグレード 実行するアップグレード手順は、アップグレード対象のインストール済み Log Insight のバージョンに応じて異なります。 インストールされているバージョン アップグレード バージョン Log Insight 1.0 GA および 1.5 TP1 Log Insight 1.5 GA 「CLI を使用した Log Insight のアップグレー ド (P. 10)」 を参照してください。 Log Insight 1.5 TP2 以降 Log Insight 1.5 GA 「Web インターフェイスを使用した Log Insight 1.5 のアップグレード (P. 11)」 を 参照してください。 VMware, Inc. アップグレード手順 9 VMware vRealize Log Insight 管理ガイド インストールされているバージョン アップグレード バージョン Log Insight 1.5 GA Log Insight 2.0 Beta Log Insight 1.5 GA クラスタ モードでの Log Insight 2.0 GA アップグレード手順 「Web インターフェイスを使用した Log Insight 1.5 GA 以降のアップグレー ド (P. 12)」 および 「Log Insight クラス タ内でのワーカー ノードのアップグレー ド (P. 15)」 を参照してください。 1 「Web インターフェイスを使用した Log Insight 1.5 GA 以降のアップグレー ド (P. 12)」. 2 「Log Insight クラスタへのワーカー ノー ドの追加 (P. 12)」 Log Insight 2.0 Beta スタンドアロン ノー Log Insight 2.0 GA を参照してください。 「Web インターフェ イスを使用した Log Insight 1.5 GA 以降の アップグレード (P. 12)」 Log Insight 2.0 Beta ワーカー ノード Log Insight 2.0 GA を参照してください。 「Log Insight クラス タ内でのワーカー ノードのアップグレー ド (P. 15)」 Log Insight 2.0 GA スタンドアロン ノード Log Insight 2.5 Beta を参照してください。 「Web インターフェ イスを使用した Log Insight 1.5 GA 以降の アップグレード (P. 12)」 Log Insight 2.0 GA ワーカー ノード Log Insight 2.5 Beta を参照してください。 「Log Insight クラス タ内でのワーカー ノードのアップグレー ド (P. 15)」 Log Insight 2.5 Beta スタンドアロン ノー Log Insight 2.5 GA を参照してください。 「Web インターフェ イスを使用した Log Insight 1.5 GA 以降の アップグレード (P. 12)」 Log Insight 2.5 GA を参照してください。 「Log Insight クラス タ内でのワーカー ノードのアップグレー ド (P. 15)」 ド ド Log Insight 2.5 Beta ワーカー ノード CLI を使用した Log Insight のアップグレード Log Insight 1.0 GA および 1.5 TP1 にはアップグレード用のユーザー インターフェイスが備わっていないため、これら のバージョンを Log Insight 1.5 に更新するには CLI を使用する必要があります。 Log Insight バージョン 1.5 TP2 以降では、アップグレードに管理ユーザー インターフェイスを使用します。「Web イン ターフェイスを使用した Log Insight 1.5 のアップグレード (P. 11)」 を参照してください。 この手順では仮想アプライアンスのコンソールを使用しますが、SSH を介して実行することもできます。 注意 アップグレード プロセス中は、Log Insight インスタンスのすべてのアクティブなユーザーがログアウトした状態 になります。 開始する前に n Log Insight 仮想アプライアンスで root ユーザーのパスワードを設定し、SSH およびコンソールの操作を有効にし たことを確認します。「Log Insight 仮想アプライアンス用の root の SSH パスワードの構成 (P. 8)」 を参照してく ださい。 n Log Insight 仮想アプライアンスのスナップショットまたはバックアップ コピーを作成します。 n Log Insight アップグレード バンドルの .rpm ファイルのコピーを入手します。 手順 1 10 .rpm ファイルを、Log Insight 仮想アプライアンスに SSH を使用してアクセス可能なホストにダウンロードします。 VMware, Inc. 第 1 章 Log Insight の管理 2 安全なコピー プロトコルを使用して、.rpm ファイルを Log Insight 仮想アプライアンスにコピーします。 オペレーティング システム コマンド/ツール Linux scp <path to the RPM file>/loginsight-cloudvm<version>-<log-insight-buildnumber>.x86_64.rpm root@<LogInsightIPorHostname>:~ Windows Windows システムの場合は、WinSCP などの SCP クライアントをダウンロードし ます。 3 vSphere Client コンソールを使用して、Log Insight 仮想アプライアンスに root ユーザーとしてログインします。 4 service loginsight stop コマンドを実行します。 5 rpm -Uvh loginsight-cloudvm-<version>-<log-insight-build-number>.x86_64.rpm コマンドを 実行し、アップグレードが完了するまで待機します。 6 service loginsight start コマンドを実行します。 7 Log Insight Web ユーザー インターフェイスにログインできることを確認します。 記憶 URL 形式は https://log-insight-host です。log-insight-host は Log Insight 仮想アプライアンスの IP アド レスまたはホスト名です。 エラー ページが表示される場合は、仮想アプライアンス コンソールに root ユーザーとしてログインし、service loginsight restart コマンドを実行して loginsight サービスを再起動します。 Web インターフェイスを使用した Log Insight 1.5 のアップグレード 管理者ユーザーは、管理ユーザー インターフェイスを使用して Log Insight 1.5 TP2 以降をアップグレードできます。 注意 アップグレード プロセス中は、Log Insight インスタンスのすべてのアクティブなユーザーがログアウトした状態 になります。 開始する前に n Log Insight 仮想アプライアンスのスナップショットまたはバックアップ コピーを作成します。 n Log Insight アップグレード バンドルの .rpm ファイルのコピーを入手します。 n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アプライアンス] をクリックします。 3 [RPM をアップロード] をクリックし、.rpm ファイルを参照します。 4 [アップグレード] をクリックします。 をクリックし、[管理] を選択します。 Log Insight によって .rpm ファイルが仮想アプライアンスにアップロードされ、確認ダイアログ ボックスが表示さ れます。 5 [アップグレード] をクリックして確定します。 6 新しい使用許諾契約に同意して、アップグレード手順を完了します。 VMware, Inc. 11 VMware vRealize Log Insight 管理ガイド Web インターフェイスを使用した Log Insight 1.5 GA 以降のアップグレード 管理者ユーザーは、管理ユーザー インターフェイスを使用して Log Insight 1.5 GA 以降をアップグレードできます。 注意 アップグレード プロセス中は、Log Insight インスタンスのすべてのアクティブなユーザーがログアウトした状態 になります。 開始する前に n Log Insight 仮想アプライアンスのスナップショットまたはバックアップ コピーを作成します。 n Log Insight アップグレード バンドルの .pak ファイルのコピーを入手します。 n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アプライアンス] をクリックします。 3 [PAK をアップロード] をクリックし、.pak ファイルを参照します。 4 [アップグレード] をクリックします。 をクリックし、[管理] を選択します。 Log Insight によって .pak ファイルが仮想アプライアンスにアップロードされ、確認ダイアログ ボックスが表示さ れます。 5 [アップグレード] をクリックして確定します。 6 新しい使用許諾契約に同意して、アップグレード手順を完了します。 次に進む前に Log Insight 仮想アプライアンスの新規インスタンスを展開し、既存の Log Insight ノードに追加してクラスタを構成す ることができます。既存のノードがマスター ノードになり、新たに展開された Log Insight インスタンスはワーカー ノー ドになります。「Log Insight クラスタへのワーカー ノードの追加 (P. 12)」 を参照してください。 Log Insight クラスタの管理 Log Insight Web インターフェイスを使用すると、Log Insight クラスタのノードを追加、削除、およびアップグレード できます。 Log Insight クラスタへのワーカー ノードの追加 Log Insight 仮想アプライアンスの新しいインスタンスを展開し、既存の Log Insight マスター ノードに追加します。 手順 1 Log Insight 仮想アプライアンスのデプロイ (P. 13) Log Insight 仮想アプライアンスをダウンロードします。VMware は Log Insight 仮想アプライアンスを .ova ファイルとして配布しています。vSphere Client を使用して Log Insight 仮想アプライアンスを展開します。 2 既存の展開に参加 (P. 14) スタンドアロン Log Insight ノードを展開して設定した後に、新しい Log Insight インスタンスを展開し、それを 既存ノードに追加して、Log Insight クラスタを形成することができます。 12 VMware, Inc. 第 1 章 Log Insight の管理 Log Insight 仮想アプライアンスのデプロイ Log Insight 仮想アプライアンスをダウンロードします。VMware は Log Insight 仮想アプライアンスを .ova ファイル として配布しています。vSphere Client を使用して Log Insight 仮想アプライアンスを展開します。 開始する前に n Log Insight 仮想アプライアンスの .ova ファイルのコピーがあることを確認します。 n OVF テンプレートをインベントリにデプロイする権限を有することを確認します。 使用環境に Log Insight 仮想アプライアンスの最小要件を満たすのに必要なリソースがあることを確認します。 n 『VMware vRealize Log Insight のスタート ガイド』のトピック「最小要件」を参照してください。 n 仮想アプライアンスのサイジングに関する推奨事項を読み、理解していることを確認してください。『VMware vRealize Log Insight のスタート ガイド』のトピック「Log Insight 仮想アプライアンスのサイジング」を参照してください。 手順 1 vSphere Client で、[ファイル] - [OVF テンプレートの展開] を選択します。 2 [Deploy OVF Template] ウィザードでプロンプトに従います。 3 [展開の構成] ページで、ログを収集する環境の規模に基づいて Log Insight 仮想アプライアンスのサイズを設定しま す。 本番環境の最小要件は [小] です。 オプション ログ取り込み速度 vCPU メモリ IOPS Syslog 接続数 1 秒間のイベント数 [極小] 3 GB/日 2 4 GB 75 20 200 [小] 15 GB/日 4 8 GB 500 100 1000 [中] 37.5 GB/日 8 16GB 1000 250 2500 [大] 112.5 GB/日 16 32GB 1500 750 7500 注意 [大] を選択した場合は、展開後に Log Insight 仮想マシンの仮想ハードウェアをアップグレードする必要があ ります。 4 [ディスクのフォーマット] ページでディスクのフォーマットを選択します。 n [シック プロビジョニング (Lazy Zeroed)] を選択すると、デフォルトのシック フォーマットで仮想ディスクが 作成されます。仮想ディスクの作成時に、仮想ディスクに必要な容量が割り当てられます。物理デバイスに残っ ているデータは、作成中には消去されませんが、後で仮想アプライアンスから初めて書き込むときにオン デマ ンドで消去されます。 n [シック プロビジョニング (Eager Zeroed)] を選択すると、フォールト トレランスなどのクラスタリング機能 をサポートする、シック仮想ディスクが作成されます。仮想ディスクに必要な容量は、作成時に割り当てられま す。フラット フォーマットの場合とは異なり、物理デバイスに残っているデータは、仮想ディスクの作成時に 消去されます。他のタイプのディスクに比べて、ディスクの作成に非常に長い時間がかかることがあります。at 重要 Log Insight 仮想アプライアンスのパフォーマンスおよび操作性を改善するために、可能な場合は常に仮 想アプライアンスをシック プロビジョニング (Eager Zeroed) のディスクで展開します。 n [シン プロビジョニング] を選択すると、シン フォーマットでディスクが作成されます。保存されるデータ量が 増えると、ディスクが拡張されます。ストレージ デバイスでディスクのシック プロビジョニングがサポートさ れていない場合、または Log Insight 仮想アプライアンスの未使用のディスク領域を節約する場合は、仮想ア プライアンスをシン プロビジョニングのディスクで展開します。 注意 Log Insight 仮想アプライアンスのディスク圧縮はサポートされていません。ディスクを圧縮すると、データ の破損や消失が起きる可能性があります。 VMware, Inc. 13 VMware vRealize Log Insight 管理ガイド 5 (オプション) [プロパティ] ページで Log Insight 仮想アプライアンスのネットワーク パラメータを設定します。 IP アドレス、DNS サーバ、ゲートウェイなどのネットワーク設定を指定しない場合、Log Insight は DHCP を利用 してこれらの設定を行います。 注意 ドメイン ネーム サーバを 3 つ以上指定しないでください。ドメイン ネーム サーバを 3 つ以上指定すると、構 成されたすべてのドメイン ネーム サーバが Log Insight 仮想アプライアンスで無視されます。 ドメイン ネーム サーバを入力する場合は、カンマで区切ります。 6 (オプション) [プロパティ] ページで Log Insight 仮想アプライアンスの root パスワードを設定します。 7 プロンプトの指示に従って、展開を完了します。 仮想アプライアンスの展開の詳細については、「 vApps および仮想アプライアンスの展開に関するユーザー ガイド」 を参照してください。 仮想アプライアンスをパワーオンすると、初期化プロセスが開始します。初期化プロセスが完了するまで数分間かか ります。プロセスが終了すると、仮想アプライアンスが再起動します。 8 [コンソール] タブに移動し、Log Insight 仮想アプライアンスの IP アドレスを確認します。 IP アドレスのプリフィックス 説明 https:// 仮想アプライアンスの DHCP 構成が正常です。 http:// 仮想アプライアンスの DHCP 構成に失敗しました。 a Log Insight 仮想アプライアンスをパワーオフします。 b 仮想アプライアンスを右クリックし、[設定の編集] を選択します。 c 仮想アプライアンスの固定 IP アドレスを設定します。 次に進む前に n Log Insight 仮想アプライアンスとの SSH 接続を有効にするには、仮想アプライアンスのコンソールで root のパス ワードを構成します。『Log Insight 管理ガイド』のトピック「Log Insight 仮想アプライアンスの root SSH パス ワードの構成」を参照してください。 n スタンドアロンの Log Insight 展開を構成する場合は、『Log Insight のスタート ガイド』のトピック「新しい Log Insight 展開の構成」を参照してください。 Log Insight Web インターフェイスは https://<log-insight-host>/ にあります。<log-insight-host> は Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。 既存の展開に参加 スタンドアロン Log Insight ノードを展開して設定した後に、新しい Log Insight インスタンスを展開し、それを既存 ノードに追加して、Log Insight クラスタを形成することができます。 Log Insight は複数の仮想アプライアンス インスタンスを使用してスケール アウトできます。これにより、取り込み時の スループットを線形的にスケーリングし、クエリのパフォーマンスを高めて、取り込み時に高可用性を実現することがで きます。クラスタ モードの場合、Log Insight はマスター ノードとワーカー ノードを提供します。マスター ノードとワー カー ノードはいずれもデータのサブセットを処理します。マスター ノードはデータのあらゆるサブセットにクエリを実 行して、結果を集計します。 重要 Log Insight クラスタに少なくとも 3 つのノードを構成して、取り込み、構成、ユーザー スペースの高可用性を実 現することを強くお勧めします。 開始する前に 14 n vSphere Client でワーカー Log Insight 仮想アプライアンスの IP アドレスを書き留めます。 n マスター Log Insight 仮想アプライアンスの IP アドレスまたはホスト名が判明していることを確認します。 VMware, Inc. 第 1 章 Log Insight の管理 n マスター Log Insight 仮想アプライアンスの管理者アカウントがあることを確認します。 n Log Insight マスターおよびワーカー ノードのバージョンが同期されていることを確認します。古いバージョンの Log Insight ワーカーを新しいバージョンの Log Insight マスター ノードに追加しないでください。 n Log Insight Linux Agent 仮想アプライアンス上の時刻を NTP サーバと同期する必要があります。『Log Insight 管 理ガイド』のトピック「Log Insight 仮想アプライアンスの時刻の同期」を参照してください。 n サポート対象ブラウザ バージョンの詳細については、『VMware vRealize Log Insight スタート ガイド』のトピッ ク「最小要件」を参照してください。 手順 1 サポート対象ブラウザを使用して、Log Insight ワーカーの Web ユーザー インターフェイスに移動します。 URL 形式は https://<log_insight-host>/ です。<log_insight-host> は Log Insight ワーカー仮想アプライアン スの IP アドレスまたはホスト名です。 初期構成ウィザードが開きます。 2 クリック [既存の展開に参加] をクリックします。 3 Log Insight マスターの IP アドレスまたはホスト名を入力し、[移動] をクリックします。 ワーカーは Log Insight マスターに既存の展開への参加要求を送信します。 4 [クラスタ管理ページにアクセスするには、ここをクリック] リンクをクリックします。 5 管理者としてログインします。 クラスタ ページがロードされます。 6 [許可] をクリックします。 ワーカーが既存の展開に参加し、Log Insight がクラスタでの動作を開始します。 次に進む前に n 別のワーカーを追加するには、新しい Log Insight インスタンスを展開し、スタートアップ ウィザードを使用して クラスタに追加します。 n 手順を繰り返して、少なくとも 2 つの Log Insight ワーカー ノードを追加します。 Log Insight クラスタ内でのワーカー ノードのアップグレード Log Insight クラスタでは、1 つ以上のワーカー ノードをアップグレードできます。 Log Insight のマスター ノードは、Web ユーザー インターフェイスを介して、ワーカー ノードを一元的に更新します。 重要 Log Insight クラスタのノードの追加またはアップグレードは、常に順次実行してください。ワーカー ノードの追 加またはアップグレードを並行して行うと、整合性に関する問題が生じる可能性があるため、これは行わないでください。 開始する前に n Log Insight 仮想アプライアンスのスナップショットまたはバックアップ コピーを作成します。 n Log Insight アップグレード バンドルの .pak ファイルのコピーを入手します。 n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 n Log Insight クラスタのマスター ノードをアップグレードします。「Web インターフェイスを使用した Log Insight 1.5 GA 以降のアップグレード (P. 12)」 を参照してください。 n 外部ロード バランサーを使用する場合、メンテナンス モードにする前にバランサーからノードを外しておきます。 VMware, Inc. 15 VMware vRealize Log Insight 管理ガイド 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[クラスタ] をクリックします。 3 ワーカー テーブルで、目的のノードを見つけ、 をクリックし、[管理] を選択します。 をクリックし、[続行] をクリックします。 ノードはメンテナンス モードになりました。 注意 メンテナンス モードのノードはログの受信を継続します。 4 をクリックしてから [ワーカーのアップグレード] をクリックして確認します。 注意 アイコンを使用できるのは、マスターより古いバージョンを実行するワーカーのみです。ワーカーがマス ターのバージョンに正常にアップグレードされると、 アイコンは表示されなくなります。 アップグレードが完了すると、ワーカーは再起動してクラスタに再接続されます。 次に進む前に Log Insight クラスタにある残りのワーカー ノードもアップグレードします。 Log Insight クラスタからのワーカー ノードの削除 Log Insight クラスタからワーカー ノードを削除して、別のクラスタを追加したり、スタンドアロン展開を開始したりで きます。 開始する前に n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 n 外部ロード バランサーを使用する場合、メンテナンス モードにする前にバランサーからノードを外しておきます。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[クラスタ] をクリックします。 3 ワーカー テーブルで、目的のノードを見つけ、 をクリックし、[管理] を選択します。 をクリックし、[続行] をクリックします。 ノードはメンテナンス モードになりました。 注意 メンテナンス モードのノードはログの受信を継続します。 4 クリック をクリックしてノードを削除します。 Log Insight はクラスタからノードを削除して、電子メール通知を送信します。 例: 次に進む前に 削除されたノードの Web ユーザー インターフェイスに移動して、構成します。このノードを別の既存の Log Insight ク ラスタに追加することも、スタンドアロン展開を新たに開始することもできます。 16 VMware, Inc. 第 1 章 Log Insight の管理 統合ロード バランサーの有効化 Log Insight クラスタ上の統合ロード バランサーを有効にし、一部の Log Insight ノードが使用できなくなっても、受信 する取り込みトラフィックを Log Insight が受け入れることを保証できます。 Log Insight クラスタ環境では、ILB (統合ロード バランサー)を有効にすることを強くお勧めします。 ILB により、一部の Log Insight ノードが使用できなくなっても、受信する取り込みトラフィックを Log Insight が受け 入れることを保証できます。また、ILB は使用可能な Log Insight ノード間で受信トラフィックを均等に分散します。 Web ユーザー インターフェイスと、Syslog または Ingestion API を介した取り込みを使用する Log Insight クライア ントは、ILB アドレスを使用して Log Insight に接続する必要があります。 ILB では、すべての Log Insight ノードが同じレイヤー 2 ネットワークにあるか(同じスイッチ内など)、相互に ARP 要 求を送受信できることが求められます。ILB IP アドレスを設定して、Log Insight ノードがそれを所有し、そのトラフィッ クを受信できるようにする必要があります。そのためには、通常 ILB IP アドレスは、Log Insight ノードの物理アドレス と同じサブネット内に作成されます。ILB IP アドレスを構成したら、別のネットワークから ping を実行し、このアドレ スに到達できることを確認してください。 今後の変更やアップグレードを簡素化するには、ILB IP アドレスを直接参照するのではなく、ILB IP アドレスに解決する FQDN を参照するようにクライアントを構成します。 開始する前に n Log Insight クラスタに 3 つ以上のノードを構成します。 n すべての Log Insight ノードと、指定する統合ロード バランサーの IP アドレスが同じネットワーク上にあることを 確認します。 n Log Insight のマスター ノードとワーカー ノードには同じ証明書がなければなりません。そうでない場合、SSL を 介して接続するように構成された Log Insight Agent は接続を拒否します。CA 署名付き証明書を Log Insight の マスター ノードとワーカー ノードにアップロードするときは、証明書の生成要求時に [共通名] を ILB IP アドレスに 設定します。 「証明書署名要求の生成 (P. 79)」 を参照してください。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[クラスタ] をクリックします。 3 をクリックし、[管理] を選択します。 [構成] で、[統合ロード バランサーの有効化] を選択し、統合ロード バランサーに使用する仮想 IP アドレスを入力し ます。 構成済みの ILB IP アドレスを直接参照するのではなく、完全修飾ドメイン名を参照するようにクライアントを構成し ます。 4 [保存] をクリックします。 Log Insight 仮想アプライアンスの健全性チェック Log Insight 仮想アプライアンスで使用可能なリソースおよびアクティブなクエリを確認し、Log Insight の操作に関す る最新の統計情報を表示することができます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 VMware, Inc. 構成ドロップダウン メニュー アイコン をクリックし、[管理] を選択します。 17 VMware vRealize Log Insight 管理ガイド 2 [管理] で、[システム モニタ] をクリックします。 3 Log Insight がクラスタとして実行されている場合は、[リソースの表示対象] をクリックして、監視するノードを選 択します。 4 [システム監視] ページのボタンをクリックして、必要な情報を表示します。 オプション 説明 [リソース] Log Insight 仮想アプライアンスの CPU、メモリ、IOPS (読み書きアクティビ ティ)、およびストレージ使用量に関する情報を表示します。 右側のチャートは過去 24 時間の履歴データを表していて、5 分間隔で更新されます。 左側のチャートは過去 5 分間の情報を表示していて、3 秒間隔で更新されます。 [アクティブなクエリ] Log Insight で現在アクティブになっているクエリの情報を表示します。 [統計情報] ログ取り込みの操作および速度に関する統計情報を表示します。 さらに詳細な統計情報を表示するには、[統計の詳細を表示] をクリックします。 次に進む前に [システム監視] ページの情報を使用すると、Log Insight 仮想アプライアンスのリソースを管理することができます。 ログ ストレージ ポリシー Log Insight 仮想アプライアンスは受信ログ用に最低 100GB のストレージを使用します。 Log Insight にインポートされたログのボリュームが 100GB の上限に達すると、先に格納されたものが先に削除される 方式に従い、古いログ メッセージが定期的に自動削除されます。古いメッセージを保持するには、Log Insight のアーカ イブ機能を有効にします。「Log Insight でのデータ アーカイブの有効化または無効化 (P. 75)」 を参照してください。 Log Insight によって格納されたデータは変更できません。インポートされたログは、自動的に削除されない限り、削除 できません。 Log Insight 仮想アプライアンスのストレージ容量を増やす ニーズの増加に応じて、Log Insight に割り当てるストレージ リソースを増やすことができます。 ストレージ領域を増やすには、新しい仮想ディスクを Log Insight 仮想アプライアンスに追加します。環境が許す限りの 必要な数のディスクを追加できます。 開始する前に n 環境内の仮想マシンのハードウェアを変更する権限を持ったユーザーとして vSphere Client にログインします。 n Log Insight 仮想アプライアンスを安全にシャットダウンします。「Log Insight 仮想アプライアンスのパワーオ フ (P. 87)」 を参照してください。 手順 18 1 vSphere Client のインベントリで Log Insight 仮想マシンを右クリックし、[設定の編集] を選択します。 2 [ハードウェア] タブで [追加] をクリックします。 3 [ハード ディスク] を選択して、[次へ] をクリックします。 VMware, Inc. 第 1 章 Log Insight の管理 4 [新規仮想ディスクを作成] を選択し、[次へ] をクリックします。 a ディスク容量を入力します。 Log Insight は最大 2TB の仮想ハード ディスクをサポートします。さらに大きな容量が必要な場合は、複数の 仮想ハード ディスクを追加します。 b ディスク フォーマットを選択します。 オプション 説明 シック プロビジョニング (Lazy Zeroed) デフォルトのシック フォーマットで仮想ディスクを作成します。仮想ディスクの 作成時に、仮想ディスクに必要な容量が割り当てられます。物理デバイスに存在 するデータは作成中には消去されませんが、後で仮想アプライアンスから初めて 書き込んだ後にオン デマンドで消去されます。 シック プロビジョニング (Eager Zeroed) Fault Tolerance などのクラスタリング機能をサポートする、シック仮想ディス クのタイプを作成します。仮想ディスクに必要な容量は、作成時に割り当てられ ます。フラット フォーマットの場合とは異なり、物理デバイスに存在するデータ は仮想ディスクの作成時に消去されます。他のタイプのディスクに比べて、ディ スクの作成に非常に長い時間がかかることがあります。at Log Insight 仮想アプライアンスのパフォーマンスおよび操作性を改善するため に、可能な場合は常にシックプロビジョニング (Eager Zeroed) のディスクを作 成します。 Thin Provision c シン フォーマットのディスクを作成します。このフォーマットを使用してストレー ジ容量を節約します。 データストアを選択するには、データストアの場所を参照し、[次へ] をクリックします。 5 デフォルトの仮想デバイス ノードを受け入れ、[次へ] をクリックします。 6 情報を確認し、[終了] をクリックします。 7 [OK] をクリックして変更内容を保存し、ダイアログ ボックスを閉じます。 Log Insight 仮想アプライアンスをパワーオンすると、仮想マシンによって新しい仮想ディスクが検出され、デフォルト のデータ容量に自動的に追加されます。 注意 仮想アプライアンスに追加したディスクは安全に取り外すことができません。Log Insight 仮想アプライアンスか らディスクを取り外すと、データが完全に損失してしまう場合があります。 ログ イベントを送信するホストの監視 Log Insight にログ イベントを送信したすべてのホストおよびデバイスのリストを表示し、それらを監視することができ ます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[ホスト] をクリックします。 をクリックし、[管理] を選択します。 注意 vCenter Server がイベントおよびアラームを送信するように構成されていて、個々の ESXi ホストはログを送 信するように構成されていない場合、[ホスト名] 列にはソースとして vCenter Server だけが表示されるのではな く、vCenter Server と個々の ESXi ホストの両方が表示されます。 VMware, Inc. 19 VMware vRealize Log Insight 管理ガイド Log Insight Windows Agent および Linux Agent のステータスの監視 Log Insight Windows Agent および Linux Agent のステータスを監視し、運用状態に関する現在の統計情報を表示で きます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] の下で、[エージェント] をクリックします。 をクリックし、[管理] を選択します。 次に進む前に [エージェント] ページの情報を使用し、インストールされた Log Insight Windows Agent および Linux Agent の運用 状態を監視できます。 Log Insight でのユーザー アカウントの管理 管理者は、ユーザー アカウントを作成して、Log Insight Web インターフェイスへのアクセスをユーザーに提供できます。 管理の編集 権限を持つユーザーのみがすべてのユーザー アカウントを作成および編集できます。 管理の編集 権限を持たないユーザーは、ユーザー自身のアカウントの電子メールまたはアカウント パスワードを変更で きます。 ユーザー管理の概要 システム管理者は、ユーザー ログイン、ロールに基づくアクセス制御、権限、データ セットの組み合わせを使用して Log Insight ユーザーを管理します。ロールに基づくアクセス制御により、管理者はユーザーおよびユーザーが実行でき るタスクを管理できます。 ロールは特定のタスクを実行するために必要な権限のセットです。システム管理者は、セキュリティ ポリシーの定義の一 環としてロールを定義し、ユーザーに付与します。システム管理者はロール設定を更新することで特定のタスクに関連付 けられた権限およびタスクを変更できます。更新された設定はロールに関連付けられたすべてのユーザーに対して有効に なります。 n システム管理者は、ユーザーにロールを付与することでそのユーザーがタスクを実行できるようにします。 n ユーザーがタスクを実行できないようにする場合、システム管理者はユーザーからロールを取り消します。 各ユーザーのアクセス、ロールおよび権限の管理は、ユーザー ログイン アカウント単位で行います。各ユーザーには複 数のロールおよび権限が付与できます。 特定のオブジェクトの表示またはアクセス、または特定の操作の実行を行う権限が付与されていないユーザーは、それら の操作を実行できません。 20 VMware, Inc. 第 1 章 Log Insight の管理 ロール ベースのアクセス制御 ロールベースのアクセス制御により、システム管理者は Log Insight へのユーザー アクセスを制御し、ユーザーがログイ ン後に実行できるタスクを制御できます。ロールベースのアクセス制御を実装するには、システム管理者が権限やロール をユーザー ログイン アカウントに関連付けたり取り消したりします。 ユーザー システム管理者は、ユーザーのログイン アカウントの権限やロールを付与または取り 消すことによって各ユーザーのアクセスとアクションを制御できます。 権限は Log Insight で許可されるアクションを制御します。権限は、Log Insight の特 権限 定の管理タスクまたはユーザー タスクに適用されます。たとえば、管理者の表示 権限 を付与することで、ユーザーが Log Insight の管理設定を表示することを許可できます。 データ セット データ セットは一連のフィルタで構成されます。データ セットをロールに関連付ける ことにより、ユーザーに特定コンテンツへのアクセスを許可できます。 ロール ロールは、ユーザーに関連付けることができる権限とデータセットの集合です。ロール は、タスクを実行するために必要なすべての権限をパッケージ化する便利な方法です。 1 人のユーザーに複数のロールを関連付けることができます。 Log Insight での新規ユーザー アカウントの作成 スーパー管理者ロールが割り当てられたユーザーは、ユーザー アカウントを作成して Log Insight Web ユーザー イン ターフェイスへのアクセスを提供できます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アクセス コントロール] をクリックします。 3 [ユーザーおよびグループ] をクリックします。 4 [新規ユーザー] をクリックします。 5 [認証] ドロップダウン メニューで [デフォルト(組み込み)] を選択します。 6 ユーザー名と電子メール アドレスを入力します。 をクリックし、[管理] を選択します。 電子メール アドレスは任意です。 7 VMware, Inc. 右側の [ロール] リストから、1 つ以上の定義済みまたはカスタムのユーザー ロールを選択します。 オプション 説明 [ユーザー] ユーザーは Log Insight の全機能にアクセス可能で、ログ イベントの表示、ログを検 索およびフィルタリングするためのクエリの実行、自分のユーザー領域へのコンテン ツ パックのインポート、アラート クエリの追加、自分のユーザー アカウントのパス ワードやメール アドレスの変更ができます。ユーザーは、管理オプションへのアクセ ス、他のユーザーとのコンテンツの共有、他のユーザーのアカウントの変更、コンテ ンツ パックとしてのコンテンツ パックのインストールはできません。 [ダッシュボード ユーザー] ダッシュボード ユーザーは Log Insight の [ダッシュボード] ページのみを使用でき ます。 21 VMware vRealize Log Insight 管理ガイド オプション 説明 [表示限定管理者] 表示管理者ユーザーは、管理者情報を表示でき、完全なユーザー アクセス権を持ち、 共有コンテンツを編集できます。 [スーパー管理者] スーパー管理者ユーザーは、Log Insight の全機能にアクセスし、Log Insight を管 理し、他のすべてのユーザーのアカウントを管理できます。 8 [パスワード] テキスト ボックスからパスワードをコピーし、ユーザーに提供します。 9 [保存] をクリックします。 Log Insight への Active Directory ユーザーの追加 Active Directory (AD) ユーザーが自身のドメイン認証情報を使用して Log Insight にログインできるよう許可すること ができます。 Log Insight で AD サポートを有効にする場合、ドメイン名を構成し、ドメインに属するバインド ユーザーを指定しま す。Log Insight は、バインド ユーザーを使用して AD ドメインへの接続を確認し、AD ユーザーおよびグループの存在 を確認します。 Log Insight に追加する AD ユーザーは、バインド ユーザーのドメインに属しているか、バインド ユーザーのドメインを 信頼しているドメインに属している必要があります。 開始する前に n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 n AD サポートが構成されていることを確認します。 「Active Directory を介したユーザー認証の有効化 (P. 76)」 を参照してください。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アクセス コントロール] をクリックします。 3 [新規ユーザー] をクリックします。 4 [認証方法] ドロップダウン メニューで [Active Directory] を選択します。 をクリックし、[管理] を選択します。 AD サポートを構成するときに指定したデフォルトのドメイン名が [ドメイン] テキスト ボックスに表示されます。 デフォルト ドメインからユーザーを追加する場合は、ドメイン名を変更しないでください。 5 (オプション) デフォルト ドメインを信頼しているドメインからユーザーを追加する場合は、[ドメイン] テキスト ボッ クスに信頼元のドメインの名前を入力します。 22 6 ドメイン ユーザーの名前を入力します。 7 右側の [ロール] リストから、1 つ以上の定義済みまたはカスタムのユーザー ロールを選択します。 オプション 説明 [ユーザー] ユーザーは Log Insight の全機能にアクセス可能で、ログ イベントの表示、ログを検 索およびフィルタリングするためのクエリの実行、自分のユーザー領域へのコンテン ツ パックのインポート、アラート クエリの追加、自分のユーザー アカウントのパス ワードやメール アドレスの変更ができます。ユーザーは、管理オプションへのアクセ ス、他のユーザーとのコンテンツの共有、他のユーザーのアカウントの変更、コンテ ンツ パックとしてのコンテンツ パックのインストールはできません。 [ダッシュボード ユーザー] ダッシュボード ユーザーは Log Insight の [ダッシュボード] ページのみを使用でき ます。 VMware, Inc. 第 1 章 Log Insight の管理 8 オプション 説明 [表示限定管理者] 表示管理者ユーザーは、管理者情報を表示でき、完全なユーザー アクセス権を持ち、 共有コンテンツを編集できます。 [スーパー管理者] スーパー管理者ユーザーは、Log Insight の全機能にアクセスし、Log Insight を管 理し、他のすべてのユーザーのアカウントを管理できます。 [保存] をクリックします。 Log Insight によって、指定したドメイン内または信頼されたドメイン内にこのユーザーが存在するかどうかが検証 されます。ユーザーが存在しない場合は、Log Insight がこのユーザーを検証できないことを示すダイアログ ボック スが表示されます。検証しないでユーザーを保存することも、キャンセルしてユーザー名を訂正することもできます。 追加された AD ユーザーは、各自のドメイン認証情報を使用して Log Insight にログインできます。 Log Insight への Active Directory グループの追加 個々のドメイン ユーザーを追加する代わりに、ドメイン グループを追加して、ユーザーが Log Insight にログインでき るようにすることができます。 Log Insight で AD サポートを有効にする場合、ドメイン名を構成し、ドメインに属するバインド ユーザーを指定しま す。Log Insight は、バインド ユーザーを使用して AD ドメインへの接続を確認し、AD ユーザーおよびグループの存在 を確認します。 Log Insight に追加する AD グループは、バインド ユーザーのドメインに属しているか、バインド ユーザーのドメインに よって信頼されているドメインに属している必要があります。 開始する前に n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 n AD サポートが構成されていることを確認します。 「Active Directory を介したユーザー認証の有効化 (P. 76)」 を参照してください。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アクセス コントロール] をクリックします。 3 [ユーザーおよびグループ] をクリックします。 4 Active Directory グループで [新規グループ] をクリックします。 をクリックし、[管理] を選択します。 AD サポートを構成するときに指定したデフォルトのドメイン名が [ドメイン] テキスト ボックスに表示されます。 デフォルト ドメインからグループを追加する場合は、ドメイン名を変更しないでください。 5 (オプション) デフォルト ドメインを信頼しているドメインからグループを追加する場合は、[ドメイン] テキスト ボッ クスに信頼するドメインの名前を入力します。 6 VMware, Inc. 追加する AD グループの名前を入力します。 23 VMware vRealize Log Insight 管理ガイド 7 8 右側の [ロール] リストから、1 つ以上の定義済みまたはカスタムのユーザー ロールを選択します。 オプション 説明 [ユーザー] ユーザーは Log Insight の全機能にアクセス可能で、ログ イベントの表示、ログを検 索およびフィルタリングするためのクエリの実行、自分のユーザー領域へのコンテン ツ パックのインポート、アラート クエリの追加、自分のユーザー アカウントのパス ワードやメール アドレスの変更ができます。ユーザーは、管理オプションへのアクセ ス、他のユーザーとのコンテンツの共有、他のユーザーのアカウントの変更、コンテ ンツ パックとしてのコンテンツ パックのインストールはできません。 [ダッシュボード ユーザー] ダッシュボード ユーザーは Log Insight の [ダッシュボード] ページのみを使用でき ます。 [表示限定管理者] 表示管理者ユーザーは、管理者情報を表示でき、完全なユーザー アクセス権を持ち、 共有コンテンツを編集できます。 [スーパー管理者] スーパー管理者ユーザーは、Log Insight の全機能にアクセスし、Log Insight を管 理し、他のすべてのユーザーのアカウントを管理できます。 [保存] をクリックします。 Log Insight は、指定したドメインまたは信頼するドメインに AD グループが存在するかどうかを検証します。その グループが見つからない場合、Log Insight がグループを検証できないことを伝えるダイアログ ボックスが表示され ます。 検証しないでグループを保存することも、キャンセルしてグループ名を訂正することもできます。 追加した AD グループに属するユーザーは、ユーザー自身のドメイン アカウントを使用して Log Insight にログインし、 ユーザーが属するグループと同じ権限レベルを持つことができます。 データ セットの定義 特定のコンテンツにユーザーがアクセスできるようにデータ セットを定義できます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アクセス コントロール] をクリックします。 3 [データ セット] をクリックします。 4 [新規データ セット] をクリックします。 5 [フィルタの追加] をクリックします。 6 最初のドロップダウン メニューを使用して、Log Insight 内で定義されている任意のフィールドを選択します。 をクリックし、[管理] を選択します。 たとえば、[hostname] を選択します。 リストには、コンテンツ パックとカスタム パック内で静的に使用できるすべての定義済みフィールドがあります。 注意 数値フィールドには文字列フィールドには含まれないその他の演算子([=]、[>]、[<]、[>=]、[<=])が含ま れます。これらの演算子は数値比較を実行します。これらの演算子を使用すると、文字列演算子を使用した場合とは 異なる結果が得られます。たとえば、フィルタ [response_time] [=] 02 は、値が 2 の [response_time] フィール ドを持つイベントに一致します。 フィルタ [response_time] [contains] 02 は、上記と同じ一致にはなりません。 24 VMware, Inc. 第 1 章 Log Insight の管理 7 2 番目のドロップダウン メニューを使用して、最初のドロップダウン メニューで選択したフィールドに適用する演 算を選択します。 たとえば、[contains] を選択します。[contains] フィルタは、フル トークンに一致します。「err」という文字列を 検索しても「error」を一致として検出しません。 8 フィルタ ドロップダウン メニューの右にあるテキスト ボックスに、フィルタとして使用する値を入力します。 複数の値を使用できます。これらの値の演算子は OR です。 注意 2 番目のドロップダウン メニューで [exists] 演算子を選択した場合、テキスト ボックスは使用できません。 9 (オプション) さらにフィルタを追加する場合は、[フィルタの追加] をクリックします。 10 [保存] をクリックします。 次に進む前に データ セットをユーザー ロールに関連付けます。「ロールの作成および変更 (P. 25)」 を参照してください。 ロールの作成および変更 カスタム ロールを作成したり、定義済みロールを変更して、特定のタスクの実行および特定のコンテンツへのアクセスを ユーザーに対して許可できます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アクセス コントロール] をクリックします。 3 [ロール] をクリックします。 4 [新規ロール] をクリックするか、 をクリックし、[管理] を選択します。 をクリックして既存のロールを編集します。 スーパー管理者ロールおよびユーザー ロールは編集する前にクローン作成する必要があります。 5 [名前] および [説明] テキスト ボックスを変更します。 6 権限リストから 1 つ以上の権限を選択します。 オプション 説明 管理者の編集 管理者の情報および設定を編集できます。 管理者の表示 管理者の情報および設定を表示できます。 共有の編集 共有コンテンツを編集できます。 Analytics インタラクティブ分析を使用できます。 ダッシュボード ダッシュボードを表示できます。 7 (オプション) 右側の [データ セット] リストから、ユーザー ロールに関連付けるデータ セットを選択します。 8 [保存] をクリックします。 VMware, Inc. 25 VMware vRealize Log Insight 管理ガイド Log Insight からのユーザー アカウントの削除 ユーザー アカウントは、Log Insight の管理ユーザー インターフェイスを使用して削除できます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アクセス コントロール] をクリックします。 3 [ユーザーおよびグループ] をクリックします。 4 削除するユーザー名の横にあるチェック ボックスを選択します。 5 [削除] アイコン をクリックし、[管理] を選択します。 をクリックします。 Log Insight Windows Agent の概要 Log Insight Windows Agent は、Windows イベント チャネルおよびログ ファイルからイベントを収集し、それらを Log Insight Server に転送します。 Windows イベント チャネルとは、Windows システム内の関連イベントを収集するためのプールです。デフォルトで は、 Log Insight Windows Agent はイベントをアプリケーション、システム、およびセキュリティの各チャネルから収 集します。 Windows システム内で、アプリケーションはファイル システム上のフラット テキスト ファイル内にログ データを格納 できます。 Log Insight Windows Agent はディレクトリを監視し、フラット テキスト ログ ファイルからイベントを収 集できます。 Log Insight Windows Agent には、Log Insight Server への要求ごとに、64 KB の制限があります。 Log Insight Windows Agent は Windows サービスとして実行され、インストール後即時に開始されます。インストー ル中およびインストール後に、 Log Insight Windows Agent に対して次のオプションを構成できます。 n Log Insight Windows Agent のイベントの転送先とするターゲット Log Insight Server を選択します。 n Log Insight Windows Agent が使用する通信プロトコルおよびポートを選択します。 n Log Insight Windows Agent がイベントの収集元とする他の Windows イベント チャネルを追加します。 n 監視する Windows ディレクトリを選択し、収集するフラット ログ ファイルを追加します。 Log Insight Windows Agent には Windows Vista 以降または Windows Server 2008 以降が必要です。 Log Insight Windows Agent .msi ファイルをダウンロードするには、Log Insight Web ユーザー インターフェイス の [管理] ページに移動し、[管理] セクション内で [エージェント] をクリックし、[Log Insight Windows Agent] リンク をクリックします。 26 VMware, Inc. 第 1 章 Log Insight の管理 デフォルトの構成での Log Insight Windows Agent のインストール GUI ウィザードを使用し、デフォルトの構成で Log Insight Windows Agent をインストールします。 開始する前に n Log Insight Windows Agent の .msi ファイルがあることを確認します。 Log Insight Windows Agent の .msi ファイルをダウンロードするには、Log Insight Web ユーザー インターフェイスの [管理] ページに移動し、[管理] セクションで [エージェント] をクリックし、[Log Insight Windows Agent をダウンロード] リンクをクリックし ます。 n Windows マシン上でインストールを実行し、サービスを開始する権限を持っていることを確認します。 手順 1 管理者権限で Log Insight Windows Agent をインストールする Windows マシンにログインします。 2 Log Insight Windows Agent .msi ファイルがあるディレクトリに変更します。 3 Log Insight Windows Agent .msi ファイルをダブルクリックし、使用許諾契約条件を承諾し、[次へ] をクリック します。 4 Log Insight Server の IP アドレスまたはホスト名を入力し、[インストール] をクリックします。 ウィザードが Log Insight Windows Agent を LocalSystem サービス アカウントの下に自動 Windows サービス としてインストールします。 5 [終了] をクリックします。 次に進む前に liagent.ini ファイルを編集して Log Insight Windows Agent を構成します。『Log Insight 管理ガイド』の Log Insight Windows Agent の構成に関連するトピックを参照してください。 パラメータを指定した Log Insight Windows Agent のインストール Windows コマンド プロンプトを使用して Log Insight Windows Agent をインストールし、構成パラメータを指定し ます。 MSI コマンド ライン オプションについては、Microsoft Developer Network (MSDN) ライブラリの Web サイトを参 照し、MSI コマンド ライン オプションを検索してください。 開始する前に n Log Insight Windows Agent の .msi ファイルがあることを確認します。 Log Insight Windows Agent の .msi ファイルをダウンロードするには、Log Insight Web ユーザー インターフェイスの [管理] ページに移動し、[管理] セクションで [エージェント] をクリックし、[Log Insight Windows Agent をダウンロード] リンクをクリックし ます。 n Windows マシン上でインストールを実行し、サービスを開始する権限を持っていることを確認します。 n サイレント インストール オプション /quiet または /qn を使用する場合は、管理者としてインストールを実行す ることを確認します。非管理者としてサイレント インストールを実行すると、管理者権限を求めるプロンプトが表 示されず、インストールに失敗します。ログ オプションとパラメータ /lxv* <file_name> は診断のために使用 します。 手順 1 管理者権限で Log Insight Windows Agent をインストールする Windows マシンにログインします。 2 [コマンド プロンプト] ウィンドウを開きます。 3 Log Insight Windows Agent .msi ファイルがあるディレクトリに変更します。 VMware, Inc. 27 VMware vRealize Log Insight 管理ガイド 4 次のコマンドを実行してインストールを開始します。 <Drive>:\<path-to-msi_file>>VMware-Log-Insight-Agent-<*>.msi (<*> は使用するバージョンお よびビルド番号に置き換えます) 5 (オプション) Log Insight Windows Agent サービスを実行するユーザー サービス アカウントを指定します。 <Drive>:\<path-to-msi_file>>VMware-Log-Insight-Agent-*.msi SERVICEACCOUNT=domain\<user> SERVICEPASSWORD=<user_password> 注意 SERVICEACCOUNT パラメータで指定したアカウントには サービスとしてログオン 権限が与えられ、 %ProgramData%\VMware\Log Insight Agent ディレクトリへの完全な書き込みアクセスが許可されます。指 定したアカウントが存在しない場合は作成されます。 ユーザー名は 20 文字以下にする必要があります。 SERVICEACCOUNT パラメータを指定しない場合、 Log Insight Windows Agent サービスは LocalSystem サービ ス アカウントでインストールされます。 6 (オプション) Log Insight サーバ、ポート、プロトコルを入力します。 パラメータ 説明 SERVERHOST Log Insight 仮想アプライアンスの IP アドレスまたはホスト名。 SERVERPROTO エージェントが、イベントを Log Insight Server に送信するために使用するプロト コル。設定可能な値は cfapi および syslog です。デフォルトの cfapi 設定を使 SERVERPORT ポート番号は SERVERPROTO の値によって決まります。SERVERPORT のデフォ 用することをお勧めします。 ルト値は 9000 で、これはデフォルトの SERVERPROTO=cfapi に対応していま す。SERVERPROTO=syslog には SERVERPORT=514 を使用します。 コマンド ライン パラメータは liagent.ini ファイルの [server] セクションの hostname、proto、および port に対応しています。 7 Enter を押します。 このコマンドにより Log Insight Windows Agent が Windows サービスとしてインストールされます。Windows マ シンを起動すると Log Insight Windows Agent サービスが自動的に開始されます。 次に進む前に 設定したコマンド ライン パラメータが liagent.ini ファイルに正しく適用されていることを確認します。「 「インストー ル後の Log Insight Windows Agent の構成 (P. 28)」」を参照してください。 インストール後の Log Insight Windows Agent の構成 Log Insight Windows Agent は、インストール後に構成できます。liagent.ini ファイルを編集することによって、 Log Insight Windows Agent がイベントを任意の Log Insight Server に送信するように構成し、通信プロトコルおよ びポートを設定し、Windows イベント チャネルを追加し、フラット ファイル ログ収集を構成する必要があります。 Log Insight Windows Agent のデフォルト構成 インストール後、liagent.ini ファイルには、 Log Insight Windows Agent 用の事前構成されたデフォルト設定が 格納されます。 liagent.ini のデフォルト構成 [server] hostname=LOGINSIGHT ; Log Insight server hostname or ip address ; If omitted the default value is LOGINSIGHT ;hostname=LOGINSIGHT 28 VMware, Inc. 第 1 章 Log Insight の管理 ; Set protocol to use: ; cfapi - Log Insight REST API ; syslog - Syslog protocol ; If omitted the default value is cfapi ; ;proto=cfapi ; Log Insight server port to connect to. If omitted the default value is: ; for syslog: 514 ; for cfapi without ssl: 9000 ; for cfapi with ssl: 9543 ;port=9543 ;ssl - enable/disable SSL. Applies to cfapi protocol only. ; Possible values are yes or no. If omitted the default value is yes. ;ssl=yes ; Time in minutes to force reconnection to the server ; If omitted the default value is 30 ;reconnect=30 [storage] ;max_disk_buffer - max disk usage limit (data + logs) in MB: ; 100 - 2000 MB, default 200 ;max_disk_buffer=200 [logging] ;debug_level - the level of debug messages to enable: ; 0 - no debug messages ; 1 - trace essential debug messages ; 2 - verbose debug messages (will have negative impact on performace) ;debug_level=0 [winlog|Application] channel=Application [winlog|Security] channel=Security [winlog|System] channel=System パラメータ 値 説明 proto cfapi エージェントが、イベントを Log Insight Server に送信するために使用するプロトコ ル。設定可能な値は cfapi および syslog です。デフォルトの cfapi 設定を使用するこ とをお勧めします。 hostname LOGINSIGHT Log Insight 仮想アプライアンスの IP アド レスまたはホスト名。 VMware, Inc. 29 VMware vRealize Log Insight 管理ガイド パラメータ 値 説明 port 9543 エージェントが、イベントを Log Insight サーバに送信するために使用する通信ポー ト。デフォルト値は、cfapi で SSL を有効 にしている場合は 9543、 cfapi で SSL を無効にしている場合は 9000、syslog の 場合は 514 です。 ssl yes SSL を有効または無効にします。デフォルト 値は yes です。cfapi のみに適用されます。 max_disk_buffer 200 Log Insight Windows Agent がイベント とそのログをバッファに格納するために使用 する MB 単位での最大ディスク領域です。 debug_level 0 ログの詳細レベルを定義します。「Log Insight Agents のログの詳細レベルの定 義 (P. 49)」 を参照してください。 channel Application、Security、System Log Insight Windows Agent が収集する デフォルトの Windows イベント ログ チャ ネルです。を参照してください。 「Windows イベント チャネルからのイベン トの収集 (P. 31)」 ターゲット Log Insight Server の設定 Log Insight Windows Agent のイベントの送信先とするターゲット Log Insight Server は、インストール処理中にこ の値を設定しなかった場合、設定または変更することができます。 開始する前に n Log Insight Windows Agent をインストールした Windows マシンにログインし、サービス マネージャを起動し て VMware vRealize Log Insight Agent サービスがインストールされていることを確認します。 n Log Insight クラスタがあり、統合ロード バランサーが有効になっている場合は、「統合ロード バランサーの有効 化 (P. 17)」 のカスタム SSL 証明書の特定要件を参照してください。 手順 1 Log Insight Windows Agent のプログラム データ フォルダに移動します。 %ProgramData%\VMware\Log Insight Agent 2 任意のテキスト エディタで liagent.ini を開きます。 3 次のパラメータを変更し、使用環境に合わせて値を設定します。 パラメータ 説明 proto エージェントが、イベントを Log Insight Server に送信するために使用するプロト コル。設定可能な値は cfapi および syslog です。デフォルトの cfapi 設定を使 hostname Log Insight 仮想アプライアンスの IP アドレスまたはホスト名。 port エージェントが、イベントを Log Insight サーバに送信するために使用する通信ポー ト。デフォルト値は、cfapi で SSL を有効にしている場合は 9543、 cfapi で 用することをお勧めします。 SSL を無効にしている場合は 9000、syslog の場合は 514 です。 30 VMware, Inc. 第 1 章 Log Insight の管理 パラメータ 説明 ssl SSL を有効または無効にします。デフォルト値は yes です。cfapi のみに適用され ます。 reconnect サーバへの再接続を強制するための時間を分数で指定します。デフォルト値は 30 です。 [server] ; Log Insight server hostname or ip address ; If omitted the default value is LOGINSIGHT ;hostname=LOGINSIGHT ; Set protocol to use: ; cfapi - Log Insight REST API ; syslog - Syslog protocol ; If omitted the default value is cfapi ; ;proto=cfapi ; Log Insight server port to connect to. If omitted the default value is: ; for syslog: 514 ; for cfapi without ssl: 9000 ; for cfapi with ssl: 9543 ;port=9543 ;ssl - enable/disable SSL. Applies to cfapi protocol only. ; Possible values are yes or no. If omitted the default value is yes. ;ssl=yes ; Time in minutes to force reconnection to the server ; If omitted the default value is 30 ;reconnect=30 4 liagent.ini ファイルを保存して閉じます。 例: 構成 次の構成例では、ターゲット Log Insight Server を設定します。 [server] proto=cfapi hostname=LOGINSIGHT port=9543 ssl=yes 次に進む前に Log Insight Windows Agent に対する追加の SSL オプションを構成できます。「Log Insight サーバと Log Insight Agents 間の SSL 接続の構成 (P. 81)」 を参照してください。 Windows イベント チャネルからのイベントの収集 Windows イベント チャネルを Log Insight Windows Agent 構成に追加できます。 Log Insight Windows Agent は イベントを収集し、Log Insight サーバに送信します。 開始する前に Log Insight Windows Agent をインストールした Windows マシンにログインし、サービス マネージャを起動して VMware vRealize Log Insight Agent サービスがインストールされていることを確認します。 VMware, Inc. 31 VMware vRealize Log Insight 管理ガイド 手順 1 Log Insight Windows Agent のプログラム データ フォルダに移動します。 %ProgramData%\VMware\Log Insight Agent 2 任意のテキスト エディタで liagent.ini を開きます。 3 次のパラメータを追加し、使用環境の値を設定します。 パラメータ 説明 [winlog|<section_name>] 構成セクションの一意な名前。 channel イベント ビューア組み込み Windows アプリケーションに表示されるイベント チャ ネルのフル ネーム。正しいチャネル名をコピーするには、イベント ビューアでチャ ネルを右クリックし、[プロパティ] を選択して [フル ネーム] フィールドの内容をコ ピーします。 enabled 構成セクションを有効または無効にするオプションのパラメータ。設定可能な値は yes または no です。デフォルト値は yes です。 tags 収集したイベントのフィールドにカスタム タグを追加するためのオプションのパラ メータ。JSON 表記を使用してタグを定義します。 タグ名には文字、数字、アンダー スコアを含めることができます。タグ名の先頭は文字またはアンダースコアにする必 要があり、タグ名の長さは 64 文字以内にする必要があります。タグ名では大文字と 小文字は区別されません。たとえば、tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" } を使用する場合、Tag_Name1 は重複として無視さ れます。 event_type および timestamp をタグ名として使用することはできませ ん。同一の宣言内での重複は無視されます。 whitelist、blacklist ログ イベントを明示的に含める、または除外するオプションのパラメータ。 exclude_fields (オプション)収集から個別のフィールドを除外するパラメータ。複数の値をセミコロ ンで区切って指定することができます。例: exclude_fields=EventId; ProviderName [winlog|<section_name>] channel=<event_channel_name> enabled=<yes_or_no> tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" } 4 liagent.ini ファイルを保存して閉じます。 例: 構成 次の [winlog| 構成の例を参照してください。 [winlog|Events_Firewall ] channel=Microsoft-Windows-Windows Firewall With Advanced Security/Firewall enabled=no [winlog|custom] channel=Custom tags={"ChannelDescription": "Events testing channel"} Windows イベント チャネル フィルタリングの設定 Windows イベント チャネルのフィルタを設定して、ログ イベントを明示的に含めるか、除外します。 フィルタ式を評価するには、whitelist および blacklist パラメータを使用します。フィルタ式は、Windows イベ ント フィールドおよび演算子で構成されるブール式です。 32 n whitelist は、フィルタ式が非ゼロと評価されたログ イベントのみを収集します。 whitelist を省略する場合、 値は暗黙の値 1 です。 n blacklist は、フィルタ式が非ゼロと評価されたログ イベントを除外します。デフォルト値は 0 です。 VMware, Inc. 第 1 章 Log Insight の管理 Windows イベントおよび演算子の完全なリストについては、「イベントのフィールドおよび演算子 (P. 33)」 を参照し てください。 開始する前に Log Insight Windows Agent をインストールした Windows マシンにログインし、サービス マネージャを起動して VMware vRealize Log Insight Agent サービスがインストールされていることを確認します。 手順 1 Log Insight Windows Agent のプログラム データ フォルダに移動します。 %ProgramData%\VMware\Log Insight Agent 2 任意のテキスト エディタで liagent.ini を開きます。 3 [winlog|] セクションに whitelist または blacklist パラメータを追加します。 例: [winlog|<unique_section_name>] channel = <event_channel_name> blacklist = <filter_expression> 4 Windows イベント フィールドおよび演算子を使用してフィルタ式を作成します。 例: whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO 5 liagent.ini ファイルを保存して閉じます。 例: フィルタ構成 たとえば次のように、エラー イベントのみを収集するようにエージェントを構成できます。 [winlog|Security-Error] channel = Security whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR たとえば次のように、アプリケーション チャネルから VMware ネットワーク イベントのみを収集するようにエージェン トを構成できます。 [winlog|VMwareNetwork] channel = Application whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP" たとえば次のように、セキュリティ チャネルから特定のイベント以外のすべてのイベントを収集するようにエージェント を構成できます。 [winlog|Security-Verbose] channel = Security blacklist = EventID == 4688 or EventID == 5447 イベントのフィールドおよび演算子 Windows イベントのフィールドおよび演算子を使用して、フィルタ式を作成します。 フィルタ式の演算子 演算子 説明 ==、!= 等しいおよび等しくない。数値フィールドと文字列フィールドのいずれとも使用できます。 >=、>、<、<= 以上、より大きい、未満、以下。数値フィールドのみと使用します。 VMware, Inc. 33 VMware vRealize Log Insight 管理ガイド 演算子 説明 &、|、^、~ ビット AND、OR、XOR および補数演算子。数値フィールドのみと使用します。 and、or 論理 AND および OR。単純な式を組み合わせて複雑な式を作成するために使用します。 not 論理 NOT 単項演算子。式の値を逆にするために使用します。 () 評価の順序を変更するには、論理式で括弧を使用します。 Windows イベント フィールド フィルタ式では次の Windows イベント フィールドを使用できます。 フィールド名 フィールド タイプ Hostname 文字列 Text 文字列 ProviderName 文字列 EventSourceName 文字列 EventID 数値 EventRecordID 数値 Channel 文字列 UserID 文字列 Level 数値 次の定義済み定数を使用できます。 n n n n n n Task 数値 OpCode 数値 Keywords 数値 WINLOG_LEVEL_SUCCESS = 0 WINLOG_LEVEL_CRITICAL = 1 WINLOG_LEVEL_ERROR = 2 WINLOG_LEVEL_WARNING = 3 WINLOG_LEVEL_INFO = 4 WINLOG_LEVEL_VERBOSE = 5 次の事前に定義されたビット マスクを使用できます。 n WINLOG_KEYWORD_RESPONSETIME = 0x0001000000000000; n WINLOG_KEYWORD_WDICONTEXT = 0x0002000000000000; WINLOG_KEYWORD_WDIDIAGNOSTIC = 0x0004000000000000; WINLOG_KEYWORD_SQM = 0x0008000000000000; WINLOG_KEYWORD_AUDITFAILURE = 0x0010000000000000; WINLOG_KEYWORD_AUDITSUCCESS = 0x0020000000000000; WINLOG_KEYWORD_CORRELATIONHINT = 0x0040000000000000; WINLOG_KEYWORD_CLASSIC = 0x0080000000000000; n n n n n n 例 すべての重大、エラー、警告のイベントを収集します。 [winlog|app] channel = Application whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO 34 VMware, Inc. 第 1 章 Log Insight の管理 セキュリティ チャネルから監査エラー イベントのみを収集します。 [winlog|security] channel = Security whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE ログ ファイルからのイベントの収集 1 つまたは複数のログ ファイルからイベントを収集するように、 Log Insight Windows Agent を構成できます。 開始する前に Log Insight Windows Agent をインストールした Windows マシンにログインし、サービス マネージャを起動して VMware vRealize Log Insight Agent サービスがインストールされていることを確認します。 手順 1 Log Insight Windows Agent のプログラム データ フォルダに移動します。 %ProgramData%\VMware\Log Insight Agent 2 任意のテキスト エディタで liagent.ini を開きます。 3 構成パラメータを追加し、使用環境の値を設定します。 パラメータ 説明 [filelog|<section_name>] 構成セクションの一意な名前。 directory include ログ ファイル ディレクトリへの完全パス。 (オプション)データを収集するファイル名またはファイル マスク(glob パターン) 。 複数の値をセミコロンで区切って指定することができます。デフォルトの値は <*> で、これはすべてのファイルが含まれることを意味します。パラメータでは、大文字 と小文字が区別されます。 注意 デフォルトでは、.zip ファイルおよび .gz ファイルが収集から除外されて います。.zip ファイルおよび .gz ファイルを収集する場合は、include パラ メータを使用してそれらのファイルを追加します。 重要 ローテーションされるログ ファイルを収集している場合、include および exclude パラメータを使用してプライマリ ファイルとローテーションされるファ イルの両方に一致する glob パターンを指定します。glob パターンがプライマリ ロ グ ファイルにのみ一致する場合、Log Insight Agents はローテーション中にイベン トを収集できない場合があります。Log Insight Agents は自動的にローテーション ファイルの正しい順序を判断し、Log Insight Server に正しい順序でイベントを送信 します。たとえば、プライマリ ログ ファイルの名前が myapp.log で、ローテー ション ログが myapp.log.1、myapp.log.2 と続く場合、次の include パ ターンを使用できます:include= VMware, Inc. myapp.log;myapp.log.* exclude (オプション)収集から除外するファイル名またはファイル マスク(glob パターン) 。 複数の値をセミコロンで区切って指定することができます。デフォルトの値は空で、 これは除外するファイルがないことを意味します。 event_marker (オプション)ログ ファイル内のイベントの開始を示す正規表現。省略した場合、デ フォルトは改行です。入力する表現には、Perl 正規表現構文を使用する必要がありま す。 enabled (オプション)構成セクションを有効または無効にするパラメータ。設定可能な値は yes または no です。デフォルト値は yes です。 charset (オプション)エージェントが監視するログ ファイルの文字エンコーディング。設定 可能な値は UTF-8、UTF-16LE、UTF-16BE です。デフォルト値は UTF-8 です。 35 VMware vRealize Log Insight 管理ガイド パラメータ tags 説明 (オプション)収集したイベントのフィールドにカスタム タグを追加するためのパラ メータ。JSON 表記を使用してタグを定義します。 タグ名には文字、数字、アンダー スコアを含めることができます。タグ名の先頭は文字またはアンダースコアにする必 要があり、タグ名の長さは 64 文字以内にする必要があります。タグ名では大文字と 小文字は区別されません。たとえば、tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" } を使用する場合、Tag_Name1 は重複として無視さ れます。 event_type および timestamp をタグ名として使用することはできませ ん。同一の宣言内での重複は無視されます。 ターゲットが Syslog サーバの場合、タグは APP-NAME フィールドをオーバーライ ドできます。 例:tags={"appname":"VROPS"} exclude_fields (オプション)収集から個別のフィールドを除外するパラメータ。複数の値をセミコロ ンで区切って指定することができます。例: exclude_fields=hostname; filepath [filelog|<section_name>] directory=<path_to_log_directory> include=<glob_pattern> 例: 構成 [filelog|vCenterMain] directory=C:\ProgramData\VMware\VMware VirtualCenter\Logs include=vpxd-*.log exclude=vpxd-alert-*.log;vpxd-profiler-*.log event_marker=^\d{4}-\d{2}-\d{2}[A-Z]\d{2}:\d{2}:\d{2}\.\d{3} [filelog|ApacheAccessLogs] enabled=yes directory=C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs include=*.log exclude=*_old.log tags={"Provider" : "Apache"} [filelog|MSSQL] directory=C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Log charset=UTF-16LE event_marker=^[^\s] Log Insight Windows Agents 構成の一元化 複数の Log Insight Windows Agents を Log Insight の Web ユーザー インターフェイスから構成できます。 Log Insight Windows Agent ごとに、1 つのローカル構成と 1 つのサーバ側構成があります。ローカル構成は、 Log Insight Windows Agent がインストールされているマシンの liagent.ini ファイル内に格納されています。サー バ側構成は、Web ユーザー インターフェイスの [管理] - [エージェント] ページからアクセスして編集できます。各 Log Insight Windows Agent はセクションとキーから構成されています。キーには構成可能な値があります。 Log Insight Windows Agents は、Log Insight Server を定期的にポーリングし、サーバ側構成を受け取ります。サー バ側構成およびローカル構成はマージされ、その結果が有効な構成になります。各 Log Insight Windows Agent は、こ の有効な構成を運用上の構成として使用します。構成のセクションはセクションを基準としてマージされ、キーはキーを 基準としてマージされます。サーバ側構成の値は、ローカル構成の値よりも優先されます。マージ ルールは次のとおりで す。 n セクションがローカル構成内のみにある場合、またはサーバ側構成内のみにある場合、このセクションとそのすべて の内容が有効な構成に含められます。 36 VMware, Inc. 第 1 章 Log Insight の管理 n セクションがローカル構成内とサーバ側構成内の両方にある場合、このセクション内のキーは、次のルールに従って マージされます。 n キーがローカル構成内のみ、またはサーバ側構成内のみにある場合、このキーとその値が、有効な構成のこのセ クションに含められます。 n キーがローカル構成内とサーバ側構成内の両方にある場合、このキーは有効な構成のこのセクションに含めら れ、サーバ側構成内の値が使用されます。 Log Insight の管理者ユーザーは、Log Insight の Web ユーザー インターフェイスを使用することによって、一元化さ れた構成をすべての Log Insight Windows Agents に適用できます。[管理] ページに移動し、[管理] セクション内で [エージェント] をクリックします。構成設定を [エージェント構成] ボックス内に入力し、[すべてのエージェントの構成 を保存] をクリックします。この構成が、次のポーリング サイクル中に接続されているすべてのエージェントに適用され ます。 注意 一元化された構成は、cfapi プロトコルを使用する Log Insight Windows Agents のみに適用できます。 「インストール後の Log Insight Windows Agent の構成 (P. 28)」 を参照してください。 構成結合の例 Log Insight Windows Agent のローカル構成とサーバ側の構成を結合する例。 ローカル構成 次の Log Insight Windows Agent ローカル構成を使用できます。 [server] proto=cfapi hostname=HOST port=9000 [winlog|Application] channel=Application [winlog|Security] channel=Security [winlog|System] channel=System [filelog|ApacheAccessLogs] enabled=yes directory=C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs include=*.log exclude=*_old.log event_marker=^(\d{1,3}\.){3}\d{1,3} - サーバ側の構成 Web ユーザー インターフェイスの [管理] - [エージェント] ページでは、すべてのエージェントに一元構成を適用できま す。たとえば、収集チャネルの除外や追加、デフォルトの再接続設定の変更を行うことができます。 [server] reconnect=20 [winlog|Security] channel=Security VMware, Inc. 37 VMware vRealize Log Insight 管理ガイド enabled=no [winlog|Microsoft-Windows-DeviceSetupManagerOperational] channel=Microsoft-Windows-DeviceSetupManager/Operational 有効な構成 有効な構成はローカルおよびサーバ側の構成を結合した結果の構成です。 Log Insight Windows Agent は次のように構 成されます。 n Log Insight サーバを 20 分ごとに再接続する n アプリケーションおよびシステム イベント チャネルの収集を続行する n セキュリティ イベント チャネルの収集を停止する n Microsoft-Windows-DeviceSetupManager/Operational イベント チャネルの収集を開始する n ApacheAccessLogs の収集を続行する [server] proto=cfapi hostname=HOST port=9000 reconnect=20 [winlog|Application] channel=Application [winlog|Security] channel=Security enabled=no [winlog|System] channel=System [winlog|Microsoft-Windows-DeviceSetupManagerOperational] channel=Microsoft-Windows-DeviceSetupManager/Operational [filelog|ApacheAccessLogs] enabled=yes directory=C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs include=*.log exclude=*_old.log event_marker=^(\d{1,3}\.){3}\d{1,3} - - Log Insight Windows Agent へのイベントの転送 Windows マシンから Log Insight Windows Agent が動作しているマシンにイベントを転送できます。 Windows イベントの転送を使用して、複数の Windows マシンから Log Insight Windows Agent がインストールさ れているマシンにイベントを転送できます。次に、すべての転送イベントを収集し、Log Insight サーバにそれらを送信 するように Log Insight Windows Agent を構成できます。 Windows イベントの転送について理解してください。http://technet.microsoft.com/en-us/library/cc748890.aspx および http://msdn.microsoft.com/en-us/library/windows/desktop/bb870973(v=vs.85).aspx を参照してくださ い。 開始する前に 「Windows イベント チャネルからのイベントの収集 (P. 31)」 を参照してください。 38 VMware, Inc. 第 1 章 Log Insight の管理 手順 1 Log Insight Windows Agent 構成に新しいセクションを追加して、転送イベントを受信する Windows イベント チャネルからイベントを収集します。 デフォルトのチャネル名は ForwardedEvents です。 2 Windows イベントの転送を設定します。 次に進む前に Log Insight Web ユーザー インターフェイスに移動し、転送イベントが到着していることを確認します。 複数マシンへの Log Insight Windows Agent の展開 Log Insight Windows Agent は、Windows ドメイン内の複数のターゲット マシンに展開できます。 Log Insight Windows Agent .msi ファイルの展開の準備 展開時に使用するインストール パラメータを指定するには、.mst 変換ファイルを作成します。 Log Insight Windows Agent を構成して、任意の Log Insight サーバにイベントを送信したり、Log Insight Agent サービスのインストールおよび開始で使用する通信プロトコル、ポート、ユーザー アカウントを設定したりできます。 開始する前に n Log Insight Windows Agent の .msi ファイルがあることを確認します。 Log Insight Windows Agent の .msi ファイルをダウンロードするには、Log Insight Web ユーザー インターフェイスの [管理] ページに移動し、[管理] セクションで [エージェント] をクリックし、[Log Insight Windows Agent をダウンロード] リンクをクリックし ます。 n Orca データベース エディタをダウンロードしてインストールします。http://support.microsoft.com/kb/255905 を参照してください。 手順 1 Orca エディタで Log Insight Windows Agent .msi ファイルを開き、[変換] - [新しい変換] をクリックします。. 2 [プロパティ] テーブルを編集し、カスタム インストールまたはアップグレードで必要なパラメータおよび値を追加し ます。 パラメータ 説明 SERVERHOST Log Insight 仮想アプライアンスの IP アドレスまたはホスト名。 SERVERPROTO エージェントが、イベントを Log Insight Server に送信するために使用するプロト コル。設定可能な値は cfapi および syslog です。デフォルトの cfapi 設定を使 用することをお勧めします。 SERVERPORT エージェントが、イベントを Log Insight サーバに送信するために使用する通信ポー ト。デフォルト値は、cfapi で SSL を有効にしている場合は 9543、 cfapi で SSL を無効にしている場合は 9000、syslog の場合は 514 です。 SERVICEACCOUNT Log Insight Windows Agent サービスが実行されるユーザー サービス アカウント。 注意 インストーラが正しく実行されるには、SERVICEACCOUNT で指定されたア カウントが、サービスとしてログオン 権限を持ち、%ProgramData %\VMware\Log Insight Agent ディレクトリに書き込みアクセス権を持っ ている必要があります。SERVICEACCOUNT パラメータを指定しない場合、 Log Insight Windows Agent サービスは LocalSystem サービス アカウントでイ ンストールされます。 SERVICEPASSWORD 3 VMware, Inc. ユーザー サービス アカウントのパスワード。 [変換 ] - [変換の生成] をクリックし、.mst ファイルを保存します。 39 VMware vRealize Log Insight 管理ガイド 次に進む前に .msi および .mst ファイルを使用して Log Insight Windows Agent を展開します。 Log Insight Windows Agent の一括展開の実行 Windows ドメイン内のターゲット コンピュータに対し、 Log Insight Windows Agent の一括展開を実行できます。 http://support.microsoft.com/kb/887405 および http://support.microsoft.com/kb/816102 で説明されている手 順を理解しておく必要があります。 開始する前に n ドメイン コントローラ上での管理者アカウントまたは管理権限のあるアカウントがあることを確認します。 n Log Insight Windows Agent の .msi ファイルがあることを確認します。 Log Insight Windows Agent の .msi ファイルをダウンロードするには、Log Insight Web ユーザー インターフェイスの [管理] ページに移動し、[管理] セクションで [エージェント] をクリックし、[Log Insight Windows Agent をダウンロード] リンクをクリックし ます。 手順 1 ドメイン コントローラ (DC) に管理者または管理権限のあるユーザーとしてログインします。 2 配布ポイントを作成し、 Log Insight Windows Agent .msi ファイルを配布ポイントにコピーします。 3 Group Policy Management Console (GPMC) を開き、 Log Insight Windows Agent .msi ファイルを展開する ためのグループ ポリシー オブジェクト (GPO) を作成します。 4 ソフトウェアを展開するための GPO を編集し、パッケージを割り当てます。 5 (オプション) 展開前に .mst ファイルを生成した場合は、高度な方法を使用して .msi パッケージを展開するように GPO を編集します。[[GPO のプロパティ]] ウィンドウの [変更] タブで、.mst 構成ファイルを選択します。 6 (オプション) Log Insight Windows Agent をアップグレードするには、アップグレードの .msi ファイルを配布ポ イントにコピーして、GPO の [[プロパティ]] ウィンドウにある [][アップグレード] タブに移動します。[このパッケー ジによってアップグレードされるパッケージ] セクションにある、最初にインストールされたバージョンの .msi ファ イルを追加します。 7 Log Insight Windows Agent を、ドメイン ユーザーを含む特定のセキュリティ グループに展開します。 8 DC 上のすべての GPMC および GPM エディタ ウィンドウを終了し、クライアント マシンを 2 回再起動します。 9 Log Insight Windows Agent がクライアント マシンにローカル サービスとしてインストールされていることを確 認します。 一括展開のために、.mst ファイルを使用して SERVICEACCOUNT パラメータと SERVICEPASSWORD パラメータを 構成している場合は、 Log Insight Windows Agent が、指定したユーザー アカウントでクライアント マシンにイ ンストールされていることを確認します。 次に進む前に Log Insight Windows Agent の一括展開が成功しなかった場合は、「Log Insight Windows Agent の一括展開に失敗 しました (P. 52)」 を参照してください。 Log Insight Windows Agent のアンインストール Log Insight Windows Agent をアンインストールできます。 開始する前に Log Insight Windows Agent をインストールした Windows マシンにログインし、サービス マネージャを起動して VMware vRealize Log Insight Agent サービスがインストールされていることを確認します。 40 VMware, Inc. 第 1 章 Log Insight の管理 手順 1 [コントロール パネル] - [プログラムと機能] に移動します。 2 VMware vRealize Log Insight Windows Agent を選択し、[アンインストール] をクリックします。 アンインストーラが VMware vRealize Log Insight Windows Agent サービスを停止し、ファイルをシステムから削除 します。 Log Insight Windows Agent のサポート バンドルの作成 問題が発生したため Log Insight Windows Agent が予測どおりに動作しない場合は、ログおよび構成ファイルのコピー を VMware サポート サービスに送信できます。 手順 1 2 Log Insight Windows Agent をインストールしたターゲット マシンにログインします。 Windows の [スタート] ボタンをクリックし、[ VMware] - [Log Insight エージェント - サポート バンドルの収集] をクリックします。 3 (オプション) ショートカットがない場合、 Log Insight Windows Agent のインストール ディレクトリに移動し、 loginsight-agent-support.exe をダブルクリックします。 注意 デフォルトのインストール ディレクトリは C:\Program Files (x86)\VMware\Log Insight Agent です。 バンドルが生成され、.zip ファイルとして マイ ドキュメント に保存されます。 次に進む前に 必要に応じて VMware サポート サービスにサポート バンドルを転送します。 Log Insight Linux Agent の概要 Log Insight Linux Agent は、Linux マシン上のログ ファイルからイベントを収集し、Log Insight サーバに転送します。 Linux システムでは、アプリケーションはファイル システム上のフラット テキスト ファイルにログ データを格納できま す。Log Insight Linux Agent は、ディレクトリを監視して、フラット テキスト ログ ファイルからイベントを収集でき ます。 Log Insight Linux Agent はデーモンとして実行し、インストール直後に起動します。インストール後、次のオプション を構成できます。 n n Log Insight Linux Agent によるイベントの転送先となるターゲット Log Insight Server を選択します。 Log Insight Linux Agent が監視するディレクトリを構成します。デフォルトにより、Log Insight Linux Agent は /var/log ディレクトリからメッセージおよび syslog ファイルを収集するように構成されています。 [filelog|messages] directory=/var/log include=messages;messages.? [filelog|syslog] directory=/var/log include=syslog;syslog.? Log Insight Linux Agent は次の配布およびバージョンをサポートします。 n RHEL 5 Update 10、RHEL 6 Update 5 n SLES 11 SP3 VMware, Inc. 41 VMware vRealize Log Insight 管理ガイド n Ubuntu 10.04 LTS、12.04 LTS および 14.04 LTS Log Insight Linux Agent は独自の操作ログ ファイルを /var/log/loginsight-agent/liagent_*.log に書き込 みます。Log Insight Linux Agent の再起動時およびログ ファイルのサイズが 10MB に達すると、ログ ファイルが循環 されます。最大で 50MB のログ ファイルが保持されます。 Log Insight Linux Agent パッケージをダウンロードするには、Log Insight Web ユーザー インターフェイスの [管理] ページに移動し、[管理] セクションで [エージェント] をクリックして、適切なパッケージのリンクをクリックします。 Log Insight Linux Agent RPM パッケージのインストールまたは更新 システム ターミナルまたは GUI を使用して Log Insight Linux Agent RPM パッケージをインストールします。 開始する前に n root としてログインするか、または sudo を使用してコンソール コマンドを実行します。 n Log Insight Linux Agent が機能するには、Syslog およびネットワーク サービスにアクセスする必要があります。 Log Insight Linux Agent をインストールし、実行レベル 3 および 5 で実行します。他の実行レベルで Log Insight Linux Agent を実行する場合は、それに応じて適切にシステムを構成します。 手順 1 コンソールを開き、rpm -i package_name コマンドを実行して Log Insight Linux Agent をインストールしま す。<package_name> は適切なバージョンに置き換えます。次に例を示します。 rpm -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.rpm 注意 インストール中にターゲット Log Insight サーバを設定するには、次のコマンドを実行します。<hostname> は Log Insight サーバの IP アドレスまたはホスト名に置き換えます。 sudo SERVERHOST=hostname rpm -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.rpm 2 (オプション) Log Insight Linux Agent を更新するには、次のコマンドを実行します。 rpm -Uhv VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.rpm 注意 Log Insight Linux Agent RPM パッケージのインストール、更新、またはアンインストール中に -h, -- hash、--version、--allfiles などの RPM コマンドを実行できますが、これらのコマンドは正式にはサポー トされていません。 3 (オプション) root 以外のユーザーとして Log Insight Linux Agent を実行するには、次のコマンドを実行します。 sudo LIAGENTUSER=liagent rpm -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.rpm 指定されたユーザーが存在しない場合は、Log Insight Linux Agent によってインストール中にユーザー アカウン トが作成されます。作成されたアカウントは、アンインストール後も削除されません。 LIAGENTUSER=<non_root_user> パラメータを使用して Log Insight Linux Agent をインストールし、 LIAGENTUSER=<non_root_user2> を使用してアップグレードしようとすると、<non_root_user2> ユーザー は <non_root_user> ユーザーの権限を持っていないため競合が発生し、警告が表示されます。 4 (オプション) Log Insight Linux Agent は、GUI を使用してインストールまたは更新できます。RPM パッケージの 適切なバージョンをダブルクリックします。 注意 Log Insight Linux Agent の旧バージョンである 2.5 TP1、2.5 TP2、または 2.5 TP3 から新しいバージョン へのアップグレードはサポートされていません。古い RPM パッケージをアンインストールする必要があります。 5 42 (オプション) rpm -qa | grep Log-Insight-Agent を実行してインストールされたバージョンを確認します。 VMware, Inc. 第 1 章 Log Insight の管理 Log Insight Linux Agent DEB パッケージのインストールまたは更新 システム ターミナルを使用して Log Insight Linux Agent DEB パッケージをインストールします。 開始する前に n root としてログインするか、または sudo を使用してコンソール コマンドを実行します。 n Log Insight Linux Agent が機能するためには、syslog およびネットワーク サービスにアクセスできる必要があり ます。デフォルトでは、Log Insight Linux Agent は実行レベル 2、3、4、および 5 で実行し、実行レベル 0、1、 および 6 で停止します。 手順 1 コンソールを開き、dpkg -i package_name コマンドを実行するか、Log Insight Linux Agent を更新します。 <package_name> を適切なバージョンに置き換えます。次に例を示します。 dpkg -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.deb インストール中にターゲットの Log Insight サーバを設定するには、次のコマンド(<hostname> は Log Insight Server の IP アドレスまたはホスト名に置換)を実行します。 sudo SERVERHOST=hostname dpkg -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.deb 2 (オプション) Log Insight Linux Agent を non root ユーザーとして実行するには、次のコマンドを実行します。 sudo LIAGENTUSER=liagent dpkg -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.deb 指定したユーザーが存在しない場合、Log Insight Linux Agent はインストール中にそのユーザー アカウントを作 成します。作成されたアカウントは、アンインストール後も削除されません。Log Insight Linux Agent を LIAGENTUSER=<non_root_user> パラメータを使用してインストールし、LIAGENTUSER=<non_root_user2> を使用してアップグレードを試みた場合、不一致が生じ、<non_root_user2> ユーザーに <non_root_user> ユー ザーの権限がないために警告が表示されます。 3 (オプション) dpkg -l | grep -i VMware-Log-Insight-Agent を実行して、インストールされたバージョ ンを確認します。 注意 Log Insight Linux Agent の古いバージョンを 2.5 TP1、2.5 TP2、または 2.5 TP3 から新しいバージョンに アップグレードすることはサポートされていません。古い DEB パッケージはアンインストールする必要があります。 Log Insight Linux Agent BIN パッケージのインストール Log Insight Linux Agent バイナリ パッケージは、システム ターミナルを使用してインストールします。 BIN パッケージのアップグレードは、正式にはサポートされていません。既存の Log Insight Linux Agent が、BIN パッ ケージを使用してインストールされている場合、新しいバージョンをインストールする前に、そのパッケージを手動でア ンインストールします。アンインストールする前に、ローカル構成を保持するために /var/lib/loginsight-agent にある liagent.ini ファイルのバックアップ コピーを作成します。「Log Insight Linux Agent bin パッケージのアン インストール (P. 48)」 を参照してください。 開始する前に n Log Insight Linux Agent .bin パッケージをダウンロードしてターゲット Linux マシンにコピーします。 n root としてログインするか、または sudo を使用してコンソール コマンドを実行します。 n Log Insight Linux Agent が機能するためには、syslog およびネットワーク サービスにアクセスできる必要があり ます。 VMware, Inc. 43 VMware vRealize Log Insight 管理ガイド 手順 1 コンソールを開き、次のコマンドを実行して .bin ファイルを実行可能ファイルに変更します。<filename-version> は該当するバージョンに置き換えます。 chmod +x filename-version.bin 2 次のコマンドを実行することによって、エージェントをインストールします。<filename-version> は該当するバー ジョンに置き換えます。 ./filename-version.bin 注意 インストール中にターゲットの Log Insight サーバを設定するには、次のコマンド(<hostname> は Log Insight Server の IP アドレスまたはホスト名に置換)を実行します。 sudo SERVERHOST=hostname ./filename-version.bin 3 (オプション) Log Insight Linux Agent を non root ユーザーとして実行するには、次のコマンドを実行します。 sudo LIAGENTUSER=liagent ./filename-version.bin 指定したユーザーが存在しない場合、Log Insight Linux Agent はインストール中にそのユーザー アカウントを作 成します。作成されたアカウントは、アンインストール後も削除されません。Log Insight Linux Agent を LIAGENTUSER=<non_root_user> パラメータを使用してインストールし、LIAGENTUSER=<non_root_user2> を使用してアップグレードを試みた場合、不一致が生じ、<non_root_user2> ユーザーに <non_root_user> ユー ザーの権限がないために警告が表示されます。 Log Insight Linux Agent の構成 インストールした Log Insight Linux Agent を構成できます。liagent.ini ファイルは /var/lib/loginsight- agent/ にあります。そのファイルを編集して、任意の Log Insight サーバにイベントを送信するように Log Insight Linux Agent を構成し、通信プロトコルおよびポートを設定し、フラット ファイル ログの収集を構成します。 ターゲット Log Insight Server の設定 Log Insight Linux Agent によるイベントの送信先であるターゲット Log Insight サーバを設定または変更できます。 開始する前に n n root としてログインするか、sudo を使用してコンソール コマンドを実行します。 Log Insight Linux Agent がインストールされた Linux マシンにログインし、コンソールを開き、pgrep liagent を実行して、VMware Log Insight Linux Agent がインストールされ実行中であることを確認します。 n Log Insight クラスタがあり、統合ロード バランサーが有効になっている場合は、「統合ロード バランサーの有効 化 (P. 17)」 のカスタム SSL 証明書の特定要件を参照してください。 手順 1 任意のテキスト エディタで /var/lib/loginsight-agent/liagent.ini ファイルを開きます。 2 次のパラメータを変更し、使用環境に合わせて値を設定します。 パラメータ 説明 proto エージェントが、イベントを Log Insight Server に送信するために使用するプロト コル。設定可能な値は cfapi および syslog です。デフォルトの cfapi 設定を使 用することをお勧めします。 hostname Log Insight 仮想アプライアンスの IP アドレスまたはホスト名。 port エージェントが、イベントを Log Insight サーバに送信するために使用する通信ポー ト。デフォルト値は、cfapi で SSL を有効にしている場合は 9543、 cfapi で SSL を無効にしている場合は 9000、syslog の場合は 514 です。 44 VMware, Inc. 第 1 章 Log Insight の管理 パラメータ 説明 ssl SSL を有効または無効にします。デフォルト値は yes です。cfapi にのみ適用可能 です。 reconnect サーバへの再接続を強制するための時間を分数で指定します。デフォルト値は 30 です。 [server] ; Log Insight server hostname or ip address ; If omitted the default value is LOGINSIGHT ;hostname=<LOGINSIGHT> ; Set protocol to use: ; cfapi - Log Insight REST API ; syslog - Syslog protocol ; If omitted the default value is cfapi ; ;proto=<cfapi> ; Log Insight server port to connect to. If omitted the default value is: ; for syslog: 514 ; for cfapi without ssl: 9000 ; for cfapi with ssl: 9543 ;port=9543 ;ssl - enable/disable SSL. Applies to cfapi protocol only. ; Possible values are yes or no. If omitted the default value is yes. ;ssl=yes ; Time in minutes to force reconnection to the server ; If omitted the default value is 30 ;reconnect=30 3 liagent.ini ファイルを保存して閉じます。 例: 構成 [server] proto=cfapi hostname=LOGINSIGHT port=9543 ssl=yes 次に進む前に Log Insight Linux Agent の追加の SSL オプションを構成できます。「Log Insight サーバと Log Insight Agents 間の SSL 接続の構成 (P. 81)」 を参照してください。 ログ ファイルからのイベントの収集 1 つまたは複数のログ ファイルからイベントを収集するように、Log Insight Linux Agent を構成できます。 注意 デフォルトでは、Log Insight Linux Agent は VIM、CVS、SVN、GIT などの隠しファイルを収集します。 Log Insight Linux Agent が隠しファイルを収集しないようにするには、exclude=^\.* を追加して除外する必要があ ります。 開始する前に n VMware, Inc. root としてログインするか、sudo を使用してコンソール コマンドを実行します。 45 VMware vRealize Log Insight 管理ガイド n Log Insight Linux Agent がインストールされている Linux マシンにログインし、コンソールを開き、pgrep liagent を実行して、VMware vRealize Log Insight Linux Agent がインストールされていて実行中であること を確認します。 手順 1 /var/lib/loginsight-agent/liagent.ini ファイルを任意のテキスト エディタで開きます。 2 構成パラメータを追加し、使用環境の値を設定します。 パラメータ 説明 [filelog|<section_name>] 構成セクションの一意な名前。 directory ログ ファイル ディレクトリへの完全パス。 include (オプション)データを収集するファイル名またはファイル マスク(glob パターン) 。 複数の値をセミコロンで区切って指定することができます。デフォルトの値は <*> で、これはすべてのファイルが含まれることを意味します。パラメータでは、大文字 と小文字が区別されます。 注意 デフォルトでは、.zip ファイルおよび .gz ファイルが収集から除外されて います。.zip ファイルおよび .gz ファイルを収集する場合は、include パラ メータを使用してそれらのファイルを追加します。 重要 ローテーションされるログ ファイルを収集している場合、include および exclude パラメータを使用してプライマリ ファイルとローテーションされるファ イルの両方に一致する glob パターンを指定します。glob パターンがプライマリ ロ グ ファイルにのみ一致する場合、Log Insight Agents はローテーション中にイベン トを収集できない場合があります。Log Insight Agents は自動的にローテーション ファイルの正しい順序を判断し、Log Insight Server に正しい順序でイベントを送信 します。たとえば、プライマリ ログ ファイルの名前が myapp.log で、ローテー ション ログが myapp.log.1、myapp.log.2 と続く場合、次の include パ ターンを使用できます:include= myapp.log;myapp.log.* exclude (オプション)収集から除外するファイル名またはファイル マスク(glob パターン) 。 複数の値をセミコロンで区切って指定することができます。デフォルトの値は空で、 これは除外するファイルがないことを意味します。 event_marker (オプション)ログ ファイル内のイベントの開始を示す正規表現。省略した場合、デ フォルトは改行です。入力する表現には、Perl 正規表現構文を使用する必要がありま す。 enabled (オプション)構成セクションを有効または無効にするパラメータ。設定可能な値は yes または no です。デフォルト値は yes です。 charset (オプション)エージェントが監視するログ ファイルの文字エンコーディング。設定 可能な値は UTF-8、UTF-16LE、UTF-16BE です。デフォルト値は UTF-8 です。 tags (オプション)収集したイベントのフィールドにカスタム タグを追加するためのパラ メータ。JSON 表記を使用してタグを定義します。 タグ名には文字、数字、アンダー スコアを含めることができます。タグ名の先頭は文字またはアンダースコアにする必 要があり、タグ名の長さは 64 文字以内にする必要があります。タグ名では大文字と 小文字は区別されません。たとえば、tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" } を使用する場合、Tag_Name1 は重複として無視さ れます。 event_type および timestamp をタグ名として使用することはできませ ん。同一の宣言内での重複は無視されます。 ターゲットが Syslog サーバの場合、タグは APP-NAME フィールドをオーバーライ ドできます。 例:tags={"appname":"VROPS"} exclude_fields (オプション)収集から個別のフィールドを除外するパラメータ。複数の値をセミコロ ンで区切って指定することができます。例: exclude_fields=hostname; filepath [filelog|<section_name>] directory=<path_to_log_directory> include=<glob_pattern> 3 46 liagent.ini ファイルを保存して閉じます。 VMware, Inc. 第 1 章 Log Insight の管理 例: 構成 [filelog|messages] directory=/var/log include=messages;messages.? [filelog|syslog] directory=/var/log include=syslog;syslog.? [filelog|Apache] directory=/var/log/apache2 include=* Log Insight Linux Agent RPM パッケージのアンインストール Log Insight Linux Agent RPM パッケージをアンインストールできます。 開始する前に n root としてログインするか、または sudo を使用してコンソール コマンドを実行します。 n Log Insight Linux Agent がインストールされている Linux マシンにログインし、ターミナル コンソールを開き、 pgrep liagent を実行して、VMware Log Insight Linux Agent がインストールされていて実行中であることを 確認します。 手順 u 次のコマンドを、<VERSION> および <BUILD_NUMBER> をインストールされているエージェントのバージョン およびビルド番号に置き換えて実行します。 rpm -e VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER アンインストーラによって VMware Log Insight Linux Agent のデーモンが停止され、そのログ以外のすべてのファイ ルがシステムから削除されます。 Log Insight Linux Agent DEB パッケージのアンインストール Log Insight Linux Agent DEB パッケージをアンインストールできます。 開始する前に n n root としてログインするか、または sudo を使用してコンソール コマンドを実行します。 Log Insight Linux Agent がインストールされた Linux マシンにログインし、ターミナルを開き、pgrep liagent を実行して、VMware Log Insight Linux Agent がインストールされ実行中であることを確認します。 手順 u 次のコマンドを実行します。 dpkg -P vmware-log-insight-agent アンインストーラは、VMware Log Insight Linux Agent デーモンを停止し、デーモン自体のログ以外のすべてのファ イルをシステムから削除します。 VMware, Inc. 47 VMware vRealize Log Insight 管理ガイド Log Insight Linux Agent bin パッケージのアンインストール Log Insight Linux Agent .bin パッケージをアンインストールできます。 開始する前に n root としてログインするか、または sudo を使用してコンソール コマンドを実行します。 n Log Insight Linux Agent がインストールされている Linux マシンにログインし、ターミナル コンソールを開き、 pgrep liagent を実行して、VMware vRealize Log Insight Linux Agent がインストールされて実行中であるこ とを確認します。 手順 1 次のコマンドを実行することによって、Log Insight Linux Agent daemon を停止します。 sudo service liagentd stop、または以前の Linux ディストリビューションの場合は sudo /sbin/service liagentd stop 2 手動で次の Log Insight Linux Agent ファイルを削除します。 n /usr/lib/loginsight-agent - daemon バイナリおよびライセンス ファイル ディレクトリ n /var/lib/loginsight-agent - 構成ファイルおよびデータベース ストレージ ディレクトリ n /var/log/loginsight-agent - Log Insight Linux Agent 用のログ ディレクトリ n /var/run/liagent.pid - Log Insight Linux Agent PID ファイル。ファイルが自動的に削除されない場 合、手動で削除します。 n /etc/init.d/liagentd - Log Insight Linux Agent daemon 用のスクリプレット ディレクトリ Log Insight Linux Agent のサポート バンドルの作成 問題が発生したために Log Insight Linux Agent が予測どおりに動作しない場合は、ログおよび構成ファイルのコピーを VMware サポート サービスに送信できます。 手順 1 Log Insight Linux Agent をインストールしたターゲット マシンにログインします。 2 次のコマンドを実行します。 /usr/lib/loginsight-agent/bin/loginsight-agent-support バンドルが生成され、.zip ファイルとして現在のディレクトリに保存されます。 次に進む前に 必要に応じて VMware サポート サービスにサポート バンドルを転送します。 48 VMware, Inc. 第 1 章 Log Insight の管理 Log Insight Agents のトラブルシューティング 既知のトラブルシューティング情報は、Log Insight Agents の運用に関連する問題の診断と解決に役立てることができ ます。 Log Insight Agents のログの詳細レベルの定義 Log Insight Agent の構成ファイルを編集してログ レベルを変更することができます。 開始する前に Log Insight Linux Agent の場合: n root としてログインするか、sudo を使用してコンソール コマンドを実行します。 n Log Insight Linux Agent がインストールされている Linux マシンにログインし、コンソールを開き、pgrep liagent を実行して、VMware vRealize Log Insight Linux Agent がインストールされて実行中であることを確 認します。 Log Insight Windows Agent の場合: n Log Insight Windows Agent をインストールした Windows マシンにログインし、サービス マネージャを起動し て VMware vRealize Log Insight Agent サービスがインストールされていることを確認します。 手順 1 liagent.ini ファイルが格納されたフォルダに移動します。 オペレーティング システム パス Linux /var/lib/loginsight-agent/ Windows %ProgramData%\VMware\Log Insight Agent 2 任意のテキスト エディタで liagent.ini を開きます。 3 liagent.ini ファイルの [logging] セクションでログ デバッグ レベルを変更します。 注意 デバッグ レベルが高いほど、Log Insight Agent への影響も高くなります。デフォルト値(推奨値)は 0 で す。デバッグ レベル 1 では詳しい情報が提供されるため、ほとんどの問題のトラブルシューティングの際には、こ のレベルをお勧めします。デバッグ レベル 2 ではさらに詳しい情報が提供されます。レベル 1 とレベル 2 は、 VMware サポートから要求された場合にのみ使用してください。 [logging] ; The level of debug messages to enable: 0..2 debug_level=1 4 liagent.ini ファイルを保存して閉じます。 ログ デバッグ レベルが変更されます。 管理 UI に Log Insight Agents が表示されない Log Insight Agents インスタンスに関する情報が、管理 UI の [エージェント] ページに表示されません。 問題 Log Insight Agents をインストールした後、管理 UI の [エージェント] ページに Log Insight Agents が表示されません。 VMware, Inc. 49 VMware vRealize Log Insight 管理ガイド 原因 最も一般的な原因は、ネットワーク接続の問題または liagent.ini 内の Log Insight Agents の構成が間違っているこ とです。 解決方法 n Log Insight Agents がインストールされている Windows または Linux システムが Log Insight サーバに接続さ れていることを確認します。 n Log Insight Agents が cfapi プロトコルを使用していることを確認します。 Syslog プロトコルを使用している場合は、UI に Log Insight Windows Agents が表示されません。 n 次のディレクトリにある Log Insight Agents ログ ファイルの内容を表示します。 n Windows - %ProgramData%\VMware\Log Insight Agent\log n Linux - /var/log/loginsight-agent/ 次のフレーズを含むログ メッセージを探します: 「構成転送エラー:ホスト名を解決できません」および「リゾルバーが失敗し ました。そのようなホストは不明です」 n liagent.ini にターゲット Log Insight サーバの正しい構成が含まれていることを確認します。「「ターゲット Log Insight Server の設定 (P. 30)」」および「「ターゲット Log Insight Server の設定 (P. 44)」」を参照してください。 Log Insight Agents でイベントを送信しない 間違った構成では、Log Insight Agents が Log Insight サーバにイベントを転送できません。 問題 Log Insight Agents インスタンスが [管理] - [エージェント] ページに表示されるが、[インタラクティブ分析] ページに Log Insight Agents のホスト名から イベントが表示されない。 原因 間違った構成では、Log Insight Agents が Log Insight サーバにイベントを転送できません。 解決方法 n Log Insight Windows Agent の場合、次の操作を実行してください。 n %ProgramData%\VMware\Log Insight Agent\log にある Log Insight Windows Agent ログ ファイ ルのコンテンツを表示します。Subscribed to channel CHANNEL_NAME というフレーズを含む、チャネ ル構成に関連するログ メッセージを探します。デフォルトのチャネル名は Application、System および Security です。 n チャネルが正しく構成されていない場合、Could not subscribe to channel CHANNEL_NAME events.Error Code: 15007. The specified channel could not be found. Check channel configuration のようなログ メッセージが表示される場合があります。15007 以外のエラー コード番号が 表示される場合があります。 n 50 フラット ファイル収集チャネルが正しく構成されていない場合、Invalid settings were obtained for channel 'CHANNEL_NAME'. Channel 'CHANNEL_NAME' will stay dormant until properly configured のようなメッセージが表示される場合があります。 VMware, Inc. 第 1 章 Log Insight の管理 n Log Insight Windows Agent および Log Insight Linux Agent の両方の場合、次の操作を実行します。 u フラット ファイル収集チャネルが構成されていない場合、Cannot find section 'filelog' in the configuration. The flat file log collector will stay dormant until properly configured のようなメッセージが表示される場合があります。 Log Insight Agents ログ ファイルの内容は、次のディレクトリにあります。 n Windows - %ProgramData%\VMware\Log Insight Agent\log n Linux - /var/log/loginsight-agent/ 次に進む前に Log Insight Agents の構成の詳細については、「インストール後の Log Insight Windows Agent の構成 (P. 28)」 およ び 「Log Insight Linux Agent の構成 (P. 44)」 を参照してください。 Log Insight Windows Agent に対する送信例外ルールの追加 Windows ファイアウォールで Log Insight Windows Agent をブロック解除するための例外ルールを定義します。 この手順は Windows Server 2008 R2 以降および Windows 7 以降に適用されます。 開始する前に n 管理者アカウントまたは管理権限があるアカウントを持っていることを確認します。 手順 1 [開始] - [実行] を選択します。 2 wf.msc と入力して [OK] をクリックします。 3 左のペインにある [送信ルール] を右クリックし、[新規ルール] をクリックします。 4 [カスタム] を選択し、ウィザードに従って次のオプションを設定します。 5 オプション 説明 プログラム liwinsvc.exe サービス LogInsightAgentService プロトコルおよびポート cfapi の場合は TCP 9000、syslog の場合は 514 [このルールを適用するプロファイルの指定] ページで、適切なネットワーク タイプを選択します。 n ドメイン n パブリック n プライベート 注意 すべてのネットワーク タイプを選択して、ネットワーク タイプに関係なく例外ルールをアクティブにするこ ともできます。 次に進む前に Log Insight Windows Agent ログ ディレクトリの %ProgramData%\VMware\Log Insight Agent\log に移動し て、最新のログ ファイルを開きます。最近のイベントに、「構成送信エラー:ホスト名を解決できませんでした」および「リゾルバ が失敗しました。そのようなホストは見つかりません」というメッセージが含まれていた場合は、 Log Insight Windows Agent サービスと Windows マシンを再起動してください。 注意 Log Insight Windows Agent サービスからサーバへの再接続には 5 分ほどかかります。 VMware, Inc. 51 VMware vRealize Log Insight 管理ガイド Windows ファイアウォールでの Log Insight Windows Agent からの送信接続の許可 Windows ファイアウォールの設定を構成して、 Log Insight Windows Agent の Log Insight サーバへの送信接続を 許可します。 Log Insight Windows Agent サービスをインストールして開始した後、Windows ドメインまたはローカル ファイア ウォールがターゲット Log Insight サーバへの接続を制限する場合があります。 この手順は Windows Server 2008 R2 以降および Windows 7 以降に適用されます。 開始する前に n 管理者アカウントまたは管理権限があるアカウントを持っていることを確認します。 手順 1 [開始] - [実行] を選択します。 2 wf.msc と入力して [OK] をクリックします。 3 [アクション] ペインで、[プロパティ] をクリックします。 4 [ドメイン プロファイル] タブで、[送信接続] ドロップダウン メニューから [許可(既定)] を選択します。 コンピューターがドメインに接続されていない場合は、コンピューターが接続されているネットワークのタイプに応 じて [プライベート プロファイル] または [パブリック プロファイル] を選択できます。 5 [OK] をクリックします。 次に進む前に Windows ファイアウォールで、 Log Insight Windows Agent のブロック解除例外ルールを定義します。「Log Insight Windows Agent に対する送信例外ルールの追加 (P. 51)」 を参照してください。 Log Insight Windows Agent の一括展開に失敗しました ターゲット マシン上で Log Insight Windows Agent の一括展開に失敗しました。 問題 グループ ポリシー オブジェクトを使用して Windows ドメイン マシンに一括展開を実行した後、 Log Insight Windows Agent はローカル サービスとしてのインストールに失敗しました。 原因 グループ ポリシーの設定が Log Insight Windows Agent の正しいインストールを妨げた可能性があります。 解決方法 1 2 52 グループ ポリシーオブジェクト (GPO) 設定を編集し、Log Insight Windows Agent を再展開します。 a GPO を右クリックし、[編集] をクリックして [コンピューターの構成] - [ポリシー] - [管理用テンプレート] - [シ ステム] - [ログオン] に移動します。 b [コンピューターの起動およびログオンで常にネットワークを待つ] ポリシーを有効にします。 c [コンピューターの構成] - [ポリシー] - [管理用テンプレート] - [システム] - [グループ ポリシー] に移動します。 d [スタートアップ ポリシー処理時の待機時間] を有効にし、[待機する時間(秒):] を 120 に設定します。 ターゲット マシン上で gpupdate /force /boot コマンドを実行します。 VMware, Inc. 第 1 章 Log Insight の管理 RPM パッケージ更新のインストールに失敗する RPM パッケージ更新をインストールしようとするときに、Linux GUI を使用すると失敗します。 問題 Log Insight Linux Agent RPM パッケージのインストールまたは更新は、RHEL および SUSE Linux ディストリビュー ションで GUI を使用して実行すると失敗します。次のエラー メッセージが表示される場合があります。 PK_TMP_DIR|dir:///var/tmp/TmpDir.MtqOPs] リポジトリがすでに存在します。 原因 キャッシュおよびリポジトリ リストが、さまざまなアプリケーションのインストール後に消去されていない可能性があり ます。 解決方法 1 Log Insight Linux Agent RPM がインストールされている Linux システムにログインし、システム コンソールを開 きます。 2 次のコマンドを root ユーザーとして実行します。 sudo sudo sudo sudo 3 zypper zypper zypper zypper rr 2 rr 1 clean -a ref Log Insight Linux Agent RPM パッケージをダブルクリックして更新をインストールします。 Log Insight Agents が自己署名証明書を拒否する Log Insight Agents は自己署名証明書を拒否します。 問題 Log Insight Agents が自己署名証明書を拒否し、サーバとの接続を確立できません。 注意 Agent との接続で問題が発生した場合は、Log Insight Agent のデバッグ レベルを 1 に変更することで、詳細ロ グを確認できます。「Log Insight Agents のログの詳細レベルの定義 (P. 49)」 を参照してください。 原因 Log Insight Agent ログに表示されるメッセージに、具体的な理由が記載されます。 メッセージ 原因 ピアの自己署名証明書を拒否します。パブリック キーが以前に保存 された証明書のキーと一致しません。 これは、Log Insight Server の証明書が置換された場合に起こるこ とがあります。 ピアの自己署名証明書を拒否します。信頼される CA によって署名 された、以前受信した証明書を使用してください。 CA 署名付き証明書が Agent 側で保存されています。 解決方法 u ターゲットのホスト名が、信頼される Log Insight インスタンスであることを確認してから、以前の証明書を Log Insight Agent の cert ディレクトリから手動で削除します。 n Log Insight Windows Agent 用の証明書は、C:\ProgramData\VMware\Log Insight Agent\cert に あります。 VMware, Inc. 53 VMware vRealize Log Insight 管理ガイド n Log Insight Linux Agent 用の証明書は、/var/lib/loginsight-agent/cert にあります。 注意 一部のプラットフォームでは、信頼される証明書の保存先として、標準以外のパスを使用している場合があり ます。Log Insight Agents には、ssl_ca_path=<fullpath> 構成パラメータを設定することで、信頼される証 明書ストアへのパスを構成するオプションがあります。<fullpath> は、信頼されるルート証明書のバンドル ファ イルのパスに置き換えてください。「Log Insight Agents SSL パラメータの構成 (P. 82)」 を参照してください。 Log Insight サーバによる暗号化されていないトラフィックの接続の拒否 Log Insight サーバは、暗号化されていないトラフィックを送信しようとすると Log Insight Agents との接続を拒否し ます。 問題 cfapi を使用して暗号化されていないトラフィックを送信しようとすると、Log Insight サーバによってその接続が拒否 されます。次のエラー メッセージが Log Insight エージェントのログに表示されます。 403 Forbidden. 原因 Log Insight は SSL 接続のみを受け入れるように構成されていますが、Log Insight Agents は非 SSL 接続を使用するよ うに構成されています。 解決方法 非 SSL 接続を受け入れるように Log Insight サーバを構成するか、SSL cfapi プロトコル接続を介してデータを送信す るように Log Insight Agents を構成できます。 手順 1 2 非 SSL 接続を受け入れるように Log Insight サーバを構成します。 a 構成ドロップダウン メニュー アイコン b [構成] で [SSL] をクリックします。 c [API サーバ SSL] ヘッダーで、[SSL 接続を要求する] チェック ボックスの選択を解除します。 d [保存] をクリックします。 をクリックし、[管理] を選択します。 SSL Cfapi プロトコル接続を介してデータを送信するように Log Insight Agents を構成します。 a liagent.ini ファイルを含むフォルダに移動します。 オペレーティング システム パス Linux /var/lib/loginsight-agent/ Windows %ProgramData%\VMware\Log Insight Agent b 任意のテキスト エディタで liagent.ini を開きます。 c liagent.ini ファイルの [server] セクションにある ssl キーを yes に変更し、プロトコルを cfapi に 変更します。 proto=cfapi ssl=yes d 54 liagent.ini ファイルを保存して閉じます。 VMware, Inc. 第 1 章 Log Insight の管理 外部ロード バランサーを使用するクラスタ環境が機能しない 2.5 Beta 以前のバージョンの Log Insight で構成された外部ロード バランサーを使用するクラスタ環境が、アップグレー ド後に機能しません。 問題 Log Insight Agents を 2.5 Beta 以降にアップグレードすると、外部ロード バランサーを使用するクラスタ環境がアップ グレード後に機能しません。 原因 Log Insight Agents は、Log Insight 2.5 Beta 以降、ポート 9543 上で SSL を介して接続するデフォルト設定を使用し ます。Log Insight Agents のそれ以前のバージョンは、暗号化されていない接続を使用していました。 解決方法 Log Insight Agents を暗号化しない接続を使用するように構成する、または SSL 接続を処理するように外部ロード バラ ンサーを構成できます。 手順 1 暗号化しない接続を使用するように Log Insight Agents を構成します。 a liagent.ini ファイルが格納されたフォルダに移動します。 オペレーティング システム パス Linux /var/lib/loginsight-agent/ Windows %ProgramData%\VMware\Log Insight Agent b 任意のテキスト エディタで liagent.ini を開きます。 c liagent.ini ファイルの [server] セクションにある SSL キーを 0 に変更し、ポートを 9000 に変更 します。 port=9000 ssl=0 d 2 liagent.ini ファイルを保存して閉じます。 ポート 9543 で SSL 接続を処理するように、外部ロード バランサーを構成します。 注意 SSL 接続をマスター ノードの非暗号化トラフィックに送信するように SSL 接続をオフロードする構成の 外部ロード バランサーを使用するクラスタがある場合、[SSL 接続の要求] チェック ボックスが選択解除されて いることを確認するか、[server] 構成キー ssl が 0 に設定されていることを確認します。このように設定し ていない場合、Log Insight Server はエージェントとの接続を拒否します。 Log Insight システム アラートの構成 管理者は自身の健全性に関連する通知を送信するように Log Insight を構成できます。 重要なシステム イベントが発生すると、Log Insight はこれらの通知を生成します。たとえば、ディスク領域がほぼ枯渇 していて、Log Insight が古いログ ファイルの削除やアーカイブを開始する必要がある場合などです。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 VMware, Inc. 55 VMware vRealize Log Insight 管理ガイド 手順 1 構成ドロップダウン メニュー アイコン 2 [構成] で、[全般] をクリックします。 3 [アラート] ヘッダーでシステム通知を設定します。 a をクリックし、[管理] を選択します。 [電子メールによるシステム通知の送信先] テキスト ボックスに通知先の電子メール アドレスを入力します。 複数の電子メール アドレスを入力する場合は、カンマで区切ります。 b [通知を送信する基準となる容量の下限値] チェック ボックスを選択して、通知をトリガーするしきい値を設定 します。 c (オプション) [ユーザー アラートのサスペンド] チェック ボックスが選択されていないことを確認します。 このチェック ボックスを選択すると、ユーザーが定義したすべての電子メール アラートを停止できます。 注意 システム通知を無効にするには、[電子メールによるシステム通知の送信先] テキスト ボックスで指定し た電子メール アドレスを削除します(非推奨)。 4 [保存] をクリックします。 5 [Log Insight の再起動] をクリックして変更を適用します。 Log Insight から送信される電子メール通知 Log Insight はシステム通知とユーザー定義通知という 2 種類の電子メール通知を送信します。 管理者は、システムで特定のイベントが発生した場合に電子メール通知を送信するよう Log Insight を構成できます。シ ステム通知電子メールの送信元アドレスの構成は、管理 UI の [SMTP 構成] ページにある [送信者] テキスト ボックスを使 用して管理者ユーザーが行います。「Log Insight の SMTP サーバの構成 (P. 60)」 を参照してください。 管理者ユーザーは、定義されたしきい値をストレージ容量が下回ったときに通知電子メールを送信するよう Log Insight を構成することもできます。 すべての Log Insight ユーザーがアラート クエリを作成し、特定の基準が満たされた場合に Log Insight から電子メー ルが送信されるよう設定することができます。 管理者ユーザーは、すべてのユーザー定義通知を無効にできます。 タイプ アラート名 説明 システム 最も古いデータは間もなく検索できなくな ります このアラートは、Log Insight が仮想アプラ イアンス ストレージから古いデータを廃止す ると予測される時期や、現在の取り込み速度 で検索できるデータの予測サイズをユーザー に通知します。廃止されたデータは、アーカ イブが構成されている場合はアーカイブさ れ、アーカイブが構成されていない場合は削 除されます。 Log Insight サービスが再起動されるたび に、アラートが送信されます。 システム 56 リポジトリ保持時間 このアラートは、Log Insight が現在の取り 込み速度で、この仮想アプライアンスの空き ストレージ領域内に格納できる検索可能デー タのサイズを通知します。管理者ユーザーは ストレージ通知のしきい値を定義できます。 「Log Insight システム アラートの構 成 (P. 55)」 を参照してください。 VMware, Inc. 第 1 章 Log Insight の管理 タイプ アラート名 説明 システム イベントが削除されました このアラートは、受信されたすべてのログ メッセージの取り込みに Log Insight が失敗 したことを通知します。 n n Log Insight サーバによる追跡中にいず れかの TCP メッセージが削除された場 合は、次に示す両方の頻度でシステム ア ラートが送信されます。 n 1 日に 1 回 n 手動か自動かを問わず、 Log Insight サービスが再起動され た場合 電子メールには、前回のアラート電子 メールが送信された後に削除されたメッ セージの数、および Log Insight の前回 の再起動以降に削除されたメッセージの 総数が記載されています。 注意 送信行の時間は電子メール クライアン トで制御され、ローカルなタイム ゾーンで示 されますが、電子メール本体には UTC 時刻 が表示されます。 システム インデックス バケットが破損しました このアラートは、ディスク上のインデックス の一部が破損していることを通知します。イ ンデックスが破損している場合は通常、基本 となるストレージ システムに重大な問題が発 生しています。インデックスの破損部分はク エリ処理から除外されます。破損したイン デックスは新しいデータの取り込みに影響し ます。サービスを起動すると、Log Insight はインデックスの整合性を確認します。破損 が検出された場合、Log Insight は次の頻度 でシステム アラートを送信します。 n 1 日に 1 回 n 手動か自動かを問わず、Log Insight サービスが再起動された場合 システム ディスク領域不足 このアラートは、割り当てられたディスク領 域が不足している状態で Log Insight が実行 されていることを通知します。また、ほぼ確 実に Log Insight でストレージ関連問題が発 生していることを示します。 システム アーカイブ領域がいっぱいです このアラートは、Log Insight データのアー カイブに使用されている NFS サーバのディ スク領域が間もなく枯渇することを通知しま す。 システム アーカイブ エラー このアラートは、Log Insight データを NFS サーバにアーカイブする操作に失敗したこと を通知します。通常は、Log Insight を NFS サーバに接続する、または書き込むときに問 題が発生しています。 システム ディスク領域の合計サイズが変更されまし た このアラートは、Log Insight データ スト レージのパーティションの合計サイズが減少 したことを通知します。通常は、基本となる ストレージ システムで重大な問題が発生して います。Log Insight はこの状況を検出する と、次の頻度でこのアラートを送信します。 VMware, Inc. n 即時 n 1 日に 1 回 57 VMware vRealize Log Insight 管理ガイド タイプ アラート名 説明 システム アーカイブが保留されています このアラートは、Log Insight が予測どおり にデータをアーカイブできないことを通知し ます。通常は、データ アーカイブ用に構成さ れた NFS ストレージに問題が発生していま す。 システム ライセンスが間もなく期限切れになります このアラートは、Log Insight が間もなく期 限切れになることを通知します。 システム ライセンスは期限切れです このアラートは、Log Insight が期限切れで あることを通知します。 システム AD サーバに接続できません このアラートは、Log Insight が構成済み Active Directory サーバに接続できないこ とを通知します。 定義されたユーザー アラート クエリ このアラートは、アラート用に設定された基 準と一致する結果がクエリから返されたこと を通知します。すべてのユーザーがアラート クエリを定義し、特定の基準が満たされた場 合に電子メール通知が送信されるよう設定す ることができます。 『Log Insight ユーザー ガイド』 で「電子 メール通知を送信するためのアラート クエリ を Log Insight に追加する」を参照してくだ さい。 スケール アウト システム アラート Log Insight はノードの参加やメンバーシップ ステータスの変更など、スケールアウト イベントについてユーザーに通知 する特定のシステム アラートを送信します。 58 送信元 アラート名 説明 マスター ノード 新しいワーカー ノードに承認が必要でした このアラートは、ワーカー ノードからのメン バーシップ要求を通知します。管理者ユー ザーはこの要求を承認または拒否する必要が あります。 マスター ノード 新しいワーカー ノードが承認されました このアラートは、Log Insight クラスタに参 加するためにワーカー ノードから送信された メンバーシップ要求を管理者ユーザーが承認 したことを通知します。 マスター ノード 新しいワーカー ノードが拒否されました このアラートは、Log Insight クラスタに参 加するためにワーカー ノードから送信された メンバーシップ要求を管理者ユーザーが拒否 したことを通知します。要求が誤って拒否さ れた場合、管理者ユーザーはワーカー ノード から要求を再送信して、マスター ノードで承 認することができます。 マスター ノード ワーカー ノードが増えたためサポートされ ている最大ノード数を超過しました このアラートは、新しいワーカー ノードが追 加されたため、Log Insight クラスタ内の ワーカー ノードの数がサポートされている最 大数を超過したことを通知します。 マスター ノード 許可されているノード数を超過し、新しい ワーカー ノードが拒否されました このアラートは、管理者ユーザーが許可され ている最大ノード数よりも多いノードをクラ スタに追加しようとして、ノードが拒否され たことを通知します。 マスター ノード ワーカー ノードが切断されました このアラートは、以前に接続したワーカー ノードが Log Insight クラスタから切断され たことを通知します。 VMware, Inc. 第 1 章 Log Insight の管理 送信元 アラート名 説明 マスター ノード ワーカー ノードが再接続されました このアラートは、ワーカー ノードが Log Insight クラスタに再接続されたことを 通知します。 マスター ノード ワーカー ノードが管理者によって失効され ました このアラートは、管理者ユーザーがワーカー ノードのメンバーシップを失効させたため、 このノードが Log Insight クラスタから除外 されたことを通知します。 マスター ノード 不明なワーカー ノードが拒否されました このアラートは、ワーカー ノードがマスター にとって不明なノードであっため、 Log Insight マスター ノードがこのワーカー ノードからの要求を拒否したことを通知しま す。ワーカーが有効なノードであり、クラス タに追加する必要がある場合は、ワーカー ノードにログイン し、 /storage/core/loginsight/co nfig/ 内のトークン ファイルおよびユー ザー構成を削除して、ワーカー ノードで restart loginsight service を 実行します。 マスター ノード ワーカー ノードがメンテナンス モードにな りました このアラートは、ワーカー ノードがメンテナ ンス モードになっているため、管理者ユー ザーが構成変更を受信してクエリを処理する には、ワーカー ノードのメンテナンス モー ドを解除する必要があることを通知します。 マスター ノード ワーカー ノードがサービス状態に戻りま した このアラートは、ワーカー ノードがメンテナ ンス モードを終了し、サービス状態に戻った ことを通知します。 ワーカー ノード マスターに障害が発生したか、ワーカー ノードから切断されました このアラートは、アラートを送信したワー カー ノードから Log Insight マスター ノー ドに通信できないことを通知します。これ は、マスター ノードに障害が発生していて、 再起動が必要なことを示している可能性があ ります。マスター ノードに障害が発生した場 合は、オンラインに戻るまでクラスタを構成 できず、クエリを送信することもできませ ん。ワーカー ノードはメッセージの取り込み を継続します。 注意 多数のワーカーがマスター ノードの障 害を個別に検出して通知する可能性があるた め、このようなアラートが多数受信されるこ とがあります。 ワーカー ノード マスターがワーカー ノードに接続しました このアラートは、アラートを送信したワー カー ノードが Log Insight マスター ノード に再接続されていることを通知します。 Log Insight 仮想アプライアンスの時刻の同期 Log Insight 仮想アプライアンスの時刻を NTP サーバと同期するか、仮想アプライアンスが展開された ESX/ESXi ホスト と同期する必要があります。 Log Insight の主要機能にとって時間は重要です。 デフォルトでは、Log Insight は事前に定義されたパブリック NTP サーバのリストと時刻を同期します。ファイアウォー ルによってパブリック NTP サーバへのアクセスが禁止されている場合は、会社内の NTP サーバを使用できます。使用で きる NTP サーバがない場合は、Log Insight 仮想アプライアンスが展開された ESX/ESXi ホストと時刻を同期できます。 VMware, Inc. 59 VMware vRealize Log Insight 管理ガイド 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [構成] の[時刻] をクリックします。 3 [時刻の同期先] ドロップダウン メニューで時間ソースを選択します。 オプション NTP サーバ をクリックし、[管理] を選択します。 説明 Log Insight 仮想アプライアンスの時刻を、リスト内のいずれかの NTP サーバと同 期します。 ESX/ESXi ホスト Log Insight 仮想アプライアンスの時刻を仮想アプライアンスが展開された ESX/ESXi ホストと同期します。 4 (オプション) NTP サーバとの同期を選択した場合は、NTP サーバのアドレスを指定して、[テスト] をクリックします。 注意 NTP サーバとの接続テストには、サーバあたり最大で 20 秒かかることがあります。 5 [保存] をクリックします。 Log Insight の SMTP サーバの構成 Log Insight から電子メール アラートを送信できるように SMTP を構成できます。 Log Insight が重要なシステム イベントを検出すると、システム アラートが生成されます。たとえば、仮想アプライアン スのストレージ容量が設定されたしきい値に達した場合などです。「Log Insight から送信される電子メール通知 (P. 56)」 を参照してください。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [構成] の[SMTP] をクリックします。 3 SMTP サーバ アドレスとポート番号を入力します。 4 SMTP サーバで暗号化接続が使用されている場合は、暗号化プロトコルを選択します。 5 [送信者] テキスト ボックスに、システム アラートを送信するときに使用する電子メール アドレスを入力します。 をクリックし、[管理] を選択します。 システム通知メールの差出人アドレスとして [送信者] のアドレスが表示されます。このアドレスは実際のアドレスで なくてもかまいません。Log Insight の特定のインスタンスを表すアドレスを指定できます。たとえば、 [email protected] などです。 60 6 システム アラートを送信するときに SMTP サーバで認証するユーザー名およびパスワードを入力します。 7 ターゲット電子メールを入力し、[テスト E メールの送信] をクリックして接続を確認します。 8 [保存] をクリックします。 VMware, Inc. 第 1 章 Log Insight の管理 Log Insight と他の VMware 製品の統合 Log Insight を他の VMware 製品と統合すると、イベントやログのデータを使用したり、仮想環境で発生するイベントの 可視性を高めたりできます。 VMware vSphere との統合 Log Insight 管理者ユーザーは、2 分間隔で vCenter Server システムに接続し、vCenter Server システムからイベン ト、アラーム、およびタスクのデータを収集するように Log Insight を設定することができます。さらに、Log Insight は vCenter Server. を通して ESXi ホストを構成することもできます。「Log Insight と vSphere 環境の接続 (P. 61)」 を参照してください。 VMware vRealize Operations Manager との統合 Log Insight と vRealize Operations Manager vApp および vRealize Operations Manager Installable を統合できま す。Installable バージョンと統合するには、vRealize Operations Manager 構成に変更を加える必要があります。 Log Insight と統合するための vRealize Operations Manager Installable の構成の詳細については、『Log Insight ス タート ガイド』を参照してください。 Log Insight および vRealize Operations Manager は 2 つの独立した方法で統合できます。 通知イベント Log Insight 管理者ユーザーは、作成したクエリに基づいて vRealize Operations Manager に通知イベントを送信するように Log Insight を設定 できます。これらの通知イベントは vRealize Operations Manager のアラートでは なく、健全性、リスク、または効率の各バッジの値に影響しません。「vRealize Operations Manager に通知イベントを送信する Log Insight の構成 (P. 67)」 を 参照してください。 コンテキストでの起動 コンテキストでの起動は、特定のコンテキストで URL を介して外部アプリケーション を起動できる vRealize Operations Manager の機能です。コンテキストはアクティ ブな UI 要素およびオブジェクト選択によって定義されます。コンテキストでの起動を 使用すると、Log Insight アダプタから、カスタム ユーザー インターフェイス、およ び vRealize Operations Manager の vSphere ユーザー インターフェイス内の複数の ビューにメニュー項目を追加できます。 「vRealize Operations Manager での Log Insight のコンテキストでの起動の有効化 (P. 70)」 を参照してください。 注意 通知イベントはコンテキストでの起動の構成に依存しません。コンテキストでの起動機能が有効でない場合も、 Log Insight から vRealize Operations Manager に通知イベントを送信できます。 環境が変更された場合、Log Insight 管理者ユーザーは Log Insight から vSphere システムを変更、追加、または削除 できます。また、アラート通知の送信先である vRealize Operations Manager のインスタンスを変更または削除した り、vSphere システムや vRealize Operations Manager との接続に使用されるパスワードを変更したりできます。 Log Insight と vSphere 環境の接続 vSphere 環境からアラーム、イベント、およびタスク データを収集するように Log Insight を構成するには、Log Insight を 1 つ以上の vCenter Server システムに接続する必要があります。 Log Insight は vCenter Server インスタンス、およびそれらが管理する ESXi ホストから 2 種類のデータを収集できます。 n イベント、タスク、およびアラートは特定の意味を持つ構造化されたデータです。構成された Log Insight は、登録 済みの vCenter Server インスタンスからイベント、タスク、およびアラートをプルします。 n VMware, Inc. ログには Log Insight で分析できる構造化されていないデータが含まれています。ESXi ホストまたは vCenter Server Appliance インスタンスから Log Insight に Syslog を介してログをプッシュできます。 61 VMware vRealize Log Insight 管理ガイド 開始する前に n 実現する統合レベルに応じて、ユーザーが保持しているユーザー認証情報に、vCenter Server システムおよびその ESXi ホストで必要な構成を行うための権限が含まれていることを確認してください。 統合レベル 必要な権限 イベント、タスク、および アラームの収集 n システム.表示 注意 System.View はシステム定義の権限です。カスタム ロールを追加し、それに権限を付与し ない場合、そのロールは読み取り専用ロールとして作成され、System .Anonymous、 System.View、および System.Read という 3 つの System 定義権限が付与されます。 ESXi ホストでの Syslog n ホスト.構成.設定の変更 構成 n ホスト.構成.ネットワーク構成 注意 vCenter Server インベントリ内のトップレベル フォルダに関する権限を構成し、[子へ伝達] チェック ボック スが選択されていることを確認します。 n vCenter Server システムの IP アドレスまたはドメイン名が判明していることを確認します。 n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [統合] の [vSphere] をクリックします。 3 vCenter Server の IP アドレスおよび認証情報を入力して、[接続をテスト] をクリックします。 をクリックし、[管理] を選択します。 サービス アカウント認証情報を使用することをお勧めします。 4 (オプション) 別の vCenter Server を登録するには、[vCenter Server を追加] をクリックして、手順 3 ~ 5 を繰り 返します。 注意 vCenter Server システムに重複した名前または IP アドレスを登録しないでください。Log Insight は vCenter Server の名前の重複をチェックしません。登録された vCenter Server システムのリストに重複エントリ が含まれていないことを確認する必要があります。 5 [保存] をクリックします。 次に進む前に n 登録した vCenter Server インスタンスからイベント、タスク、およびアラーム データの収集を開始します。「vCenter Server インスタンスからイベント、タスク、およびアラームをプルするための Log Insight の構成 (P. 63)」 を参 照してください。 n 62 vCenter Server が管理する ESXi ホストから Syslog フィードの収集を開始します。「Log Insight にログ イベント を転送するための ESXi ホストの構成 (P. 63)」 を参照してください。 VMware, Inc. 第 1 章 Log Insight の管理 vCenter Server インスタンスからイベント、タスク、およびアラームをプルするための Log Insight の構成 イベント、タスク、およびアラートは特定の意味を持つ構造化されたデータです。1 つ以上の vCenter Server システム からアラーム、イベント、およびタスク データを収集するように Log Insight を構成できます。 管理 UI を使用して、vCenter Server システムに接続するように Log Insight を構成します。情報は vSphere Web Services API を使用して vCenter Server システムからプルされ、Log Insight Web ユーザー インターフェイスに vSphere コンテンツ パックとして表示されます。 注意 Log Insight がアラーム、イベント、およびタスクのデータをプルできるのは、vCenter Server 5.1 以降からのみ です。 開始する前に システム.表示 権限を含むユーザー認証情報を保持していることを確認します。 注意 vCenter Server インベントリ内のトップレベル フォルダに関する権限を構成し、[子へ伝達] チェック ボックスが 選択されていることを確認します。 手順 1 構成ドロップダウン メニュー アイコン 2 [統合] の [vSphere] をクリックします。 3 をクリックし、[管理] を選択します。 データの収集元の vCenter Server インスタンスを特定し、[vCenter Server のイベント、タスク、およびアラーム を収集する] チェック ボックスを選択します。 4 [保存] をクリックします。 Log Insight は 2 分おきに vCenter Server に接続し、最後に成功したポーリング以降のすべての新情報を取り込みます。 次に進む前に n vSphere コンテンツ パックまたはカスタム クエリを使用して、vSphere イベントを分析します。 n vSphere コンテンツ パックのアラートまたはカスタム アラートを有効にします。 syslog サーバとしての Log Insight Log Insight には、Log Insight サービスの実行中にアクティブな状態を維持する組み込みの syslog サーバが含まれてい ます。 syslog サーバは、ポート 514/TCP、1514/TCP、および 514/UDP で、他のホストから送信されるログ メッセージの取 り込みを待機します。syslog サーバによって取り込まれたメッセージは、Log Insight Web ユーザー インターフェイス でほぼリアルタイムに検索できます。Log Insight が受け入れる syslog メッセージの最大長は 10 KB です。 Log Insight にログ イベントを転送するための ESXi ホストの構成 ログには Log Insight で分析できる構造化されていないデータが含まれています。ESXi ホストまたは vCenter Server Appliance インスタンスから Log Insight に Syslog を介してログをプッシュできます。 Log Insight に Syslog データをプッシュするように ESXi ホストまたは vCenter Server Appliance インスタンスを構成 する必要があります。 Log Insight クラスタはロード バランサーを利用して、クラスタの個々のノード間に ESXi および vCenter Server Appliance の Syslog フィードを分散させることができます。 VMware, Inc. 63 VMware vRealize Log Insight 管理ガイド Log Insight の管理ユーザー インターフェイスを使用して、Log Insight に Syslog フィードを転送するように、登録さ れた vCenter Server 上の ESXi ホストを構成します。 注意 構成タスクをパラレルに実行すると、ターゲット ESXi ホストの Syslog 設定が正しくなくなることがあります。 ユーザーが構成しようとしている ESXi ホストを別の管理者ユーザーが構成していないことを確認します。 vCenter Server Appliance から Syslog フィードを構成する方法については、「「Log Insight にログ イベントを転送す るための vCenter Server Appliance の構成 (P. 66)」」を参照してください。 注意 Log Insight は ESXi ホスト バージョン 5.x 以降から Syslog データを受信できます。 開始する前に n n ESXi ホストを管理する vCenter Server がお使いの Log Insight インスタンスに登録されていることを確認します。 ユーザーが保持しているユーザー認証情報に、ESXi ホストで Syslog を構成するために必要な権限が含まれているこ とを確認します。 n ホスト.構成.詳細設定 n ホスト.構成.セキュリティ プロファイルおよびファイアウォール 注意 vCenter Server インベントリ内のトップレベル フォルダに関する権限を構成し、[子へ伝達] チェック ボック スが選択されていることを確認します。 手順 1 構成ドロップダウン メニュー アイコン 2 [統合] の [vSphere] をクリックします。 3 Syslog フィードの受信元の ESXi ホストを管理する vCenter Server インスタンスを特定します。 4 [ログを Log Insight に送信するように ESXi ホストを構成します] チェック ボックスを選択します。 をクリックし、[管理] を選択します。 デフォルトでは、Log Insight は UDP を介してログを送信するように、到達可能なバージョン 5.x 以降のすべての ESXi ホストを構成します。ESX ホストはサポートされていません。 5 (オプション) Syslog フィードを分散させるために使用するロード バランサーのホスト名または IP アドレスを入力し ます。 6 (オプション) ログを Log Insight に転送する ESXi ホスト、Log Insight へのログ転送に使用するプロトコル、およ び ESXi 5.x ホストの Syslog 構成の処理方法を選択するには、[詳細オプション] をクリックします。 7 [保存] をクリックします。 vSphere Web Client を使用した Syslog の手動構成 vSphere Web Client を使用して、Log Insight にログ メッセージを転送するように ESXi ホスト上の Syslog を構成で きます。 vCenter Server 内の複数の ESXi ホストから Log Insight にログ メッセージを転送するには、各 ESXi ホストを構成する 必要があります。 注意 構成する ESXi ホストや使用する vSphere Web Client のバージョンによって、手順が異なることがあります 。 64 VMware, Inc. 第 1 章 Log Insight の管理 開始する前に 注意 すでに 「Log Insight にログ イベントを転送するための ESXi ホストの構成 (P. 63)」 の手順に従って ESXi ホスト がログ イベントを Log Insight に転送するように構成している場合は、手動構成手順を無視してください。 ユーザーが保持しているユーザー認証情報に、ESXi ホストで Syslog を構成するために必要な権限が含まれているこ n とを確認します。 n ホスト.構成.詳細設定 n ホスト.構成.セキュリティ プロファイルおよびファイアウォール 注意 vCenter Server インベントリ内のトップレベル フォルダに関する権限を構成し、[子へ伝達] チェック ボック スが選択されていることを確認します。 構成する ESXi ホストを管理する vCenter Server にログインしていることを確認します。 n 手順 1 オブジェクト ナビゲータで、構成する ESXi ホストを選択し、[管理] タブをクリックします。 2 [設定] タブで [システムの詳細設定] をクリックします。 3 4 Syslog.global.logHost プロパティを特定して、[編集] アイコンをクリックします 。 Log Insight の IP アドレスまたはホスト名を指すように Syslog.global.logHost プロパティを変更して、[OK] をク リックします。 形式は tcp|udp|ssl://<log_insight-host>:514|1514 です。<log_insight-host> は Log Insight 仮想 アプライアンスの IP アドレスまたはホスト名です。 注意 UDP および TCP 通信にはポート 514 を、SSL プロトコルにはポート 1514 を使用します。 5 通信ポートがファイアウォールでブロックされていないことを確認します。 a [設定] タブ の [セキュリティ プロファイル] をクリックし、[発信接続] リストに Syslog が表示されていること を確認します。 b [発信接続] リストに Syslog が表示されない場合は、右上の [編集] をクリックします。 c サービス リストを下にスクロールして Syslog サービスを特定し、[syslog] チェック ボックスを選択します。 d [OK] をクリックします。 コマンド ラインからの Syslog の手動構成 esxcli ユーティリティを使用すると、ログ イベントを Log Insight に転送するように Syslog を設定できます。 ESXi ホストのコンソールで vSphere CLI または vSphere Management Assistant から esxcli コマンドを実行するこ とができます。 開始する前に 注意 すでに 「Log Insight にログ イベントを転送するための ESXi ホストの構成 (P. 63)」 の手順に従って ESXi ホスト がログ イベントを Log Insight に転送するように構成している場合は、手動構成手順を無視してください。 n ESXi ホスト バージョン 5.x を構成する場合は、VMware ナレッジ ベースの記事「Configuring syslog on ESXi 5.x (ESXi 5.x での Syslog の構成) (KB 2003322)」の情報を読んで、理解してください。 n VMware, Inc. ESXi ホスト バージョン 4.x を構成する場合は、VMware ナレッジベースの記事「Enabling syslog on ESXi 3.5 and 4.x (ESXi 3.5 および 4.x での Syslog の有効化) (KB 1016621)」の情報を読んで、理解してください。 65 VMware vRealize Log Insight 管理ガイド n ユーザーが保持しているユーザー認証情報に、ESXi ホストで Syslog を構成するために必要な権限が含まれているこ とを確認します。 n ホスト.構成.詳細設定 n ホスト.構成.セキュリティ プロファイルおよびファイアウォール 注意 vCenter Server インベントリ内のトップレベル フォルダに関する権限を構成し、[子へ伝達] チェック ボック スが選択されていることを確認します。 手順 1 esxcli コマンドを使用できる ESXi シェル コンソール セッションを開きます。 たとえば、vMA を使用したり、ESXi ホストでセッションを直接開いたりできます。 2 ホストの現在の構成オプションを表示するには、次のコマンドを実行します。 esxcli system syslog config get 3 ホスト構成を変更するには、次のコマンドを実行して、変更するオプションを指定します。 esxcli system syslog config set --loghost=tcp|udp|ssl://<log_insight-host>:514 注意 udp または tcp を使用する必要がありますが、両方使用する必要はありません。 たとえば、次のコマンドはポート 514 で udp を使用して リモート Syslog を構成します。 esxcli system syslog config set --loghost=udp://10.11.12.13:514 ログを複数のエンドポイントに転送するように ESXi ホストを構成するには、コマンド内でエンドポイントをカンマ で区切ってリストします。 esxcli system syslog config set -loghost=udp://10.11.12.13:514,tcp://192.168.100.101:514 4 ホストから Syslog トラフィックを送信できるように ESXi ファイアウォールが構成されていることを確認するには、 次のコマンドを実行します。 esxcli network firewall ruleset set --ruleset-id=syslog --enabled=true esxcli network firewall refresh 5 esxcli system syslog reload コマンドを実行して、新しい構成をロードします。 注意 このコマンドを実行しないと、構成変更は有効になりません。 Log Insight にログ イベントを転送するための vCenter Server Appliance の構成 Syslog を介して Log Insight にログ メッセージを送信するように vCenter Server Appliance を構成できます。 Log Insight にログを転送するように ESXi ホストを構成するには、『Log Insight 管理ガイド』のトピック「Log Insight と vCenter Server 5.1.x システムの接続」を参照してください。 開始する前に n vCenter Server Appliance の root ユーザー認証情報があることを確認します。 n SSH を使用して Log Insight 仮想アプライアンスに接続する場合は、TCP ポート 22 が開いていることを確認します。 手順 66 1 vCenter Server Appliance ホストとの SSH 接続を確立し、root ユーザーとしてログインします。 2 /etc/syslog-ng/ に移動します。 VMware, Inc. 第 1 章 Log Insight の管理 3 syslog-ng.conf ファイルを編集用に開いて、ファイルの末尾に次のテキストを追加します。 source vpxd { file("/var/log/vmware/vpx/vpxd.log" follow_freq(1) flags(no-parse)); file("/var/log/vmware/vpx/vpxd-alert.log" follow_freq(1) flags(no-parse)); file("/var/log/vmware/vpx/vws.log" follow_freq(1) flags(no-parse)); file("/var/log/vmware/vpx/vmware-vpxd.log" follow_freq(1) flags(no-parse)); file("/var/log/vmware/vpx/inventoryservice/ds.log" follow_freq(1) flags(no-parse)); }; destination loginsight { udp("<loginsight-host>"); }; log { source(vpxd); destination(loginsight); }; 注意 udp ではなく、tcp を使用できます。 4 service syslog restart を実行して新しい構成をロードします。 vRealize Operations Manager に通知イベントを送信する Log Insight の構成 vRealize Operations Manager にアラート通知を送信するように Log Insight を構成できます。 Log Insight と vRealize Operations Manager vApp および vRealize Operations Manager Installable を統合できま す。Installable バージョンと統合するには、vRealize Operations Manager 構成に変更を加える必要があります。 Log Insight と統合するための vRealize Operations Manager Installable の構成の詳細については、『Log Insight ス タート ガイド』を参照してください。 Log Insight のアラートを vRealize Operations Manager と統合すると、単一のユーザー インターフェイスで環境に関 するすべての情報を表示できます。 複数の Log Insight インスタンスから通知イベントを単一の vRealize Operations Manager インスタンスに送信できま す。vRealize Operations Manager インスタンスごとに 1 つの Log Insight に対してコンテキストでの起動を有効にで きます。 開始する前に n vRealize Operations Manager のバージョンが Log Insight からのアラート通知をサポートしていることを確認し ます。サポート対象の製品バージョンの詳細については、『Log Insight スタート ガイド』のトピック「製品の互換 性」を参照してください。 注意 Log Insight はターゲット vRealize Operations Manager のバージョン チェックを行わず、ユーザーは通知 の構成を続行できます。 ただし、通知イベントは vRealize Operations Manager ユーザー インターフェイスに予 測通りに表示されない可能性があります。 n ユーザーが、所有している vRealize Operations Manager ライセンスに応じて最小限のユーザー認証情報を保持し ていることを確認します。 vRealize Operations Manager ライセンス 最低限必要な認証情報 Standard デフォルトの管理者ユーザー認証情報 Advanced または Enterprise 読み取り専用のユーザー認証情報 注意 Log Insight は、vRealize Operations Manager と Active Directory との統合をサポートしません。 n ターゲット vRealize Operations Manager インスタンスの IP アドレスまたはホスト名が判明していることを確認 します。 n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 VMware, Inc. 67 VMware vRealize Log Insight 管理ガイド 手順 1 構成ドロップダウン メニュー アイコン 2 [統合] で、[vRealize Operations Manager] を選択します。 3 をクリックし、[管理] を選択します。 vRealize Operations Manager インスタンスの UI 仮想マシンの IP アドレスまたはホスト名、およびユーザー認証 情報を入力し、[接続をテスト] をクリックします。 Log Insight はこの認証情報を使用して vRealize Operations Manager に通知イベントをプッシュします。サービ ス アカウント認証情報を使用することをお勧めします。 4 [vRealize Operations Manager] ペインで [アラート統合を有効にする] を選択します。 5 [保存] をクリックします。 次に進む前に n デフォルトの場合、Log Insight が送信する通知イベントは vRealize Operations Manager vSphere UI に表示さ れません。[計画] - [イベント] に移動し、[イベント通知の表示] をクリックします。 n vRealize Operations Manager に通知イベントを送信するようにアラート クエリを構成できます。『Log Insight ユーザー ガイド』 のトピック「vRealize Operations Manager に通知イベントを 送信するためのアラート クエリ を Log Insight に追加する」を参照してください。 vRealize Operations Manager の Log Insight イベント通知 Log Insight で、作成したアラート クエリに基づいて vRealize Operations Manager にイベント通知を送信するように 設定できます。 Log Insight で通知アラートを構成するには、vRealize Operations Manager でイベント通知に関連付けられたリソー スを選択します。Log Insight ユーザー ガイド で「電子メール通知を送信するためのアラート クエリを vRealize Operations Manager に追加する」を参照してください。 Log Insight のイベント通知の場所は、使用する vRealize Operations Manager ユーザー インターフェイスに応じて異 なります。 表 1‑1. イベント通知が表示される vRealize Operations Manager ユーザー インターフェイスのセクション vRealize Operations Manager ユーザー インターフェイス Log Insight イベント通知を表示するセクション カスタム ユーザー インターフェイス n [アラート概要] ページ n アラートのダッシュボード ウィジェットを表示するすべての ダッシュボード vSphere ユーザー インターフェイス n [操作] タブにある [イベント] タブ n [計画] タブにある [イベント] タブ Log Insight で指定したアラート名と説明は、vRealize Operations Manager のアラート リストの [アラート情報] 列に 表示されます。 デフォルトでは、カスタム ユーザー インターフェイスに [アラート情報] 列は表示されません。表のヘッダーのドロップ ダウン メニューを展開して [アラート情報] チェック ボックスを選択すると [アラート情報] 列を有効にすることができます。 検索ドメインの追加 検索ドメインを追加して vRealize Operations Manager インベントリの一致を向上させることができます。 検索ドメインを追加すると、Log Insight にログ メッセージを送信するホストの IP アドレスに仮想マシン ラベルと検索 ドメインが解決するときの一致を向上させることができます。たとえば、vRealize Operations Manager に linux_01 という名前の仮想マシンがあり、 ホスト名 linux_01.company.com が 192.168.10.10 に解決する場合、検索ドメイン を追加することで Log Insight はそのリソースを認識して照合できます。 68 VMware, Inc. 第 1 章 Log Insight の管理 開始する前に n Log Insight 仮想アプライアンスにログインするための root ユーザー認証情報があることを確認してください。を 参照してください。 「Log Insight 仮想アプライアンス用の root の SSH パスワードの構成 (P. 8)」 n SSH 接続を有効にするには、TCP ポート 22 が開いていることを確認します。 手順 1 Log Insight 仮想アプライアンスとの SSH 接続を確立し、root ユーザーとしてログインします。 2 /etc/resolv.conf を開きます。 3 検索ドメインを追加します。例: search company.com. 4 ファイルを保存して閉じます。 vRealize Operations Manager スタンドアロンへの Log Insight アダプタのインストール コンテキストでの起動機能を有効にするには、vRealize Operations Manager スタンドアロンに Log Insight アダプタ をインストールします。 Log Insight アダプタは vRealize Operations Manager から Log Insight を開始するために必要な情報を提供します。 このアダプタはデータを収集しません。 Log Insight アダプタは vRealize Operations Manager 5.7.1 vApp の一部としてインストールされるものであり、 vRealize Operations Manager のスタンドアロン バージョンの一部としてインストールされることはありません。した がって、スタンドアロン バージョンをお使いの場合は、Log Insight アダプタを手動でインストールする必要があります。 Log Insight アダプタは vRealize Operations Manager 5.7.2 および 5.8 の一部としてインストールされます。 VMware は Log Insight アダプタを、Windows および Linux 用のインストール ユーティリティが含まれている .tgz アーカイブとして配布します。 開始する前に n https://solutionexchange.vmware.com/store/category_groups/cloud-management から管理パック イン ストール ファイルをダウンロードします。管理パック ページの [リソース] タブから TGZ ファイルをダウンロード できます。 n TGZ ファイル名に含まれているビルド番号を書き留めます。ビルド番号は管理パック名の後に表示されています。 たとえば、<managementpack_name>-<buildnumber>.tgz などです。 n vRealize Operations Manager が実行されているサーバにアクセスすることができ、このサーバにソフトウェアを インストールする権限があることを確認します。 n vRealize Operations Manager のバージョンが 5.7.1 以降であることを確認します。 n ターゲット vRealize Operations Manager インスタンスの IP アドレスまたはホスト名が判明していることを確認 します。 n ユーザーが、所有している vRealize Operations Manager ライセンスに応じて最小限のユーザー認証情報を保持し ていることを確認します。 vRealize Operations Manager ライセンス 最低限必要な認証情報 Standard デフォルトの管理者ユーザー認証情報 Advanced または Enterprise 読み取り専用のユーザー認証情報 注意 Log Insight は、vRealize Operations Manager と Active Directory との統合をサポートしません。 手順 1 TGZ ファイルを開いて、TAR ファイルを vRealize Operations Manager サーバ上の一時的な場所に抽出します。 VMware, Inc. 69 VMware vRealize Log Insight 管理ガイド 2 一時フォルダ内で TAR ファイルを開き、お使いのオペレーティング システム プラットフォームに対応したインス トーラを抽出して、実行します。 3 vRealize Operations Manager に管理者としてログインします。 4 [管理] - [サポート] を選択します。 5 [情報] タブで [アダプタ情報] ペインを探し、[記述] アイコンをクリックします( )。 [記述] アイコンは、[アダプタ情報] ペーンの右上にあります。 6 [はい] をクリックして、記述プロセスを開始します。 7 [アダプタ バージョン] 列に表示される管理パックのビルド番号がダウンロードした TGZ ファイル内のビルド番号と 一致することを確認します。 次に進む前に アダプタをインストールしたら、Log Insight の管理 Web ユーザー インターフェイスからコンテキストでの起動を有効 にします。 『Log Insight 管理ガイド』のトピック「vRealize Operations Manager での Log Insight のコンテキストにおける起動 の有効化」を参照してください。 Log Insight の vRealize Operations Manager コンテンツ パック Log Insight の vRealize Operations Manager コンテンツ パックには、vRealize Operations Manager インスタンス からリダイレクトされたすべてのログを分析するためのダッシュボード、抽出されたフィールド、保存されたクエリ、お よびアラートが含まれています。 vRealize Operations Manager コンテンツ パックを使用すると、vRealize Operations Manager インスタンスからリ ダイレクトされたすべてのログを分析できます。コンテンツ パックにはダッシュボード、クエリ、およびアラートが含ま れていて、vRealize Operations Manager 管理者は診断およびトラブルシューティングを行うことができます。ダッシュ ボードは分析、UI、アダプタなどの vRealize Operations Manager の主要コンポーネントに従ってグループ化されてい るため、管理性が向上します。vRealize Operations Manager の通知イベントや電子メールを管理者に送信するための さまざまなアラートを有効にすることができます。 注意 vRealize Operations Manager コンテンツ パックを使用するには Log Insight バージョン 1.5 および vRealize Operations Manager バージョン 5.8 が必要です。 https://solutionexchange.vmware.com/store/loginsight?src=Product_Product_LogInsight_YES_US から vRealize Operations Manager コンテンツ パックをダウンロードできます。 『Log Insight ユーザー ガイド』のトピック「コンテンツ パックの操作」を参照してください。 vRealize Operations Manager での Log Insight のコンテキストでの起動の有効化 Log Insight に関連したメニュー項目を表示し、オブジェクト固有のクエリを使用して Log Insight を起動するように vRealize Operations Manager を構成できます。 Log Insight と vRealize Operations Manager vApp および vRealize Operations Manager Installable を統合できま す。Installable バージョンと統合するには、vRealize Operations Manager 構成に変更を加える必要があります。 Log Insight と統合するための vRealize Operations Manager Installable の構成の詳細については、『Log Insight ス タート ガイド』を参照してください。 重要 vRealize Operations Manager の 1 つのインスタンスがサポートするのは、Log Insight の 1 つのインスタンス に対するコンテキストでの起動のみです。Log Insight は他のインスタンスがすでに vRealize Operations Manager に 登録されているかどうかを確認しないため、別のユーザーの設定がオーバーライドされる可能性があります。 70 VMware, Inc. 第 1 章 Log Insight の管理 開始する前に n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 n ターゲット vRealize Operations Manager インスタンスの IP アドレスまたはホスト名が判明していることを確認 します。 n ユーザーが、所有している vRealize Operations Manager ライセンスに応じて最小限のユーザー認証情報を保持し ていることを確認します。 vRealize Operations Manager ライセンス 最低限必要な認証情報 Standard デフォルトの管理者ユーザー認証情報 Advanced または Enterprise 読み取り専用のユーザー認証情報 注意 Log Insight は、vRealize Operations Manager と Active Directory との統合をサポートしません。 n vRealize Operations Manager のバージョンが 5.7.1 以降であることを確認します。 注意 Log Insight はターゲット vRealize Operations Manager のバージョン チェックを行わないで、ユーザーに 処理の続行を許可します。ただし、通知イベントを生成したアラートを開いて処理するために Log Insight に戻るリ ンクがある場合は、vRealize Operations Manager 5.7.1 以降が必要です。 サポート対象の製品バージョンの詳細については、『Log Insight スタート ガイド』のトピック「製品の互換性」を 参照してください。 手順 1 構成ドロップダウン メニュー アイコン 2 [統合] で、[vRealize Operations Manager] を選択します。 3 IP アドレスまたはホスト名、および ユーザー認証情報 (vRealize Operations Manager vApp の UI VM に対応) を 入力して、[接続をテスト] をクリックします。 をクリックし、[管理] を選択します。 注意 vRealize Operations Manager 管理者ユーザーのユーザー認証情報を指定する必要があります。 4 [保存] をクリックします。 Log Insight によって vRealize Operations Manager インスタンスが構成されます。この処理には数分かかることがあ ります。 Log Insight に関連する項目が vRealize Operations Manager のメニューに表示されます。 次に進む前に vRealize Operations Manager インスタンスから Log Insight クエリを起動します。を参照してください。 「Log Insight のコンテキストでの起動 (P. 71)」 Log Insight のコンテキストでの起動 vRealize Operations Manager 5.7.1 以降では、Log Insight に関連するアクションのトリガーを設定できます。 Log Insight のコンテキストでの起動を有効にすると、vRealize Operations Manager の HTTP Post Adapter に Log Insight リソースが作成されます。リソース識別子には Log Insight インスタンスの IP アドレスが含まれ、 vRealize Operations Manager で Log Insight を開くために使用されます。 VMware, Inc. 71 VMware vRealize Log Insight 管理ガイド vRealize Operations Manager の vSphere ユーザー インターフェイスを使用したコンテキストでの起動 Log Insight に関連する、コンテキストでの起動オプションが vSphere ユーザー インターフェイスの[アクション] ドロッ プダウン メニューに表示されます。これらのメニュー項目を使用して Log Insight を開き、vRealize Operations Manager のオブジェクトからイベント ログを検索できます。 使用可能なコンテキストでの起動アクションは、vRealize Operations Manager インベントリで選択するオブジェクト に応じて異なります。クエリの時間範囲を 60 分に制限してからコンテキストでの起動オプションをクリックします。 表 1‑2. vRealize Operations Manager の vSphere UI のオブジェクトおよび対応するコンテキストでの起動オプション とアクション vRealize Operations Manager で選択し [アクション] ドロップダウン メニューの たオブジェクト コンテキストでの起動オプション vRealize Operations Manager のアクション Log Insight のアクション ワールド [vRealize Log Insight を開く] Log Insight を開きます。 Log Insight に[対話形式の分析] タブ が表示されます。 vCenter Server [vRealize Log Insight を開く] Log Insight を開きます。 Log Insight に[対話形式の分析] タブ が表示されます。 データセンター [vRealize Log Insight でのログの検索] Log Insight を開き、選択し たデータセンター オブジェク トにあるすべてのホスト シス テムのリソース名を渡します。 Log Insight に [対話形式の分析] タブ が表示され、データ センター内のホス トの名前を含むイベント ログを検索す るクエリが実行されます。 クラスタ [vRealize Log Insight でのログの検索] Log Insight を開き、選択し Log Insight に [対話形式の分析] タブ が表示され、クラスタ内のホストの名 前を含むイベント ログを検索するクエ リが実行されます。 たクラスタ オブジェクトにあ るすべてのホスト システムの リソース名を渡します。 ホスト システム [vRealize Log Insight でのログの検索] Log Insight を開き、選択し たホスト オブジェクトのリ ソース名を渡します。 仮想マシン [vRealize Log Insight でのログの検索] Log Insight を開き、選択し た仮想マシンの IP アドレスお よび関連ホスト システムのリ ソース名を渡します。 Log Insight に [対話形式の分析] タブ が表示され、選択したホスト システム の名前を含むイベント ログを検索する クエリが実行されます。 Log Insight に [対話形式の分析] タブ が表示され、仮想マシンの IP アドレス および仮想マシンが常駐するホストの 名前を含むイベント ログを検索するク エリが実行されます。 [アラート] タブでアラートを選択し、コンテキスト内メニューから [Log Insight でのログの検索] を選択すると、アラー トをトリガーするまでのクエリの時間範囲が 1 時間に制限されます。たとえば、アラートを午後 2:00 にトリガーした場 合は、Log Insight に午後 1:00 から午後 2:00 の間に発生したすべてのログ メッセージが表示されます。これにより、ア ラートをトリガーしたイベントを識別できます。 vRealize Operations Manager のメトリック チャートから Log Insight を開くことができます。Log Insight で実行す るクエリの時間範囲は、メトリック チャートの時間範囲と一致します。 注意 仮想アプライアンスの時間設定が異なる場合は、Log Insight および vRealize Operations Manager のメトリッ ク チャートに表示される時間が異なる可能性があります。 vRealize Operations Manager のカスタム ユーザー インターフェイスのコンテキストでの起動 コンテキストでの起動アイコン はカスタム ユーザー インターフェイスの複数のページに表示されますが、Log Insight イベント通知が表示される次のページからのみ Log Insight を起動できます。 72 n [アラート概要] ページ。 n Log Insight アラート通知の [アラート概要] ページ。 n Log Insight 通知アラートを選択しているときのダッシュボードのアラート ウィジェット。 VMware, Inc. 第 1 章 Log Insight の管理 カスタム ユーザー インターフェイスで Log Insight イベント通知を選択すると、両方のコンテキストでの起動アクショ ンのいずれかを選択できます。 表 1‑3. vRealize Operations Manager カスタム UI のコンテキストでの起動オプションとアクション vRealize Operations Manager のコンテキスト vRealize Operations Manager の での起動オプション アクション Log Insight のアクション [vRealize Log Insight を開く] Log Insight を開きます。 Log Insight に [ダッシュボード] タブが表示 され、vSphere Overview ダッシュボードが ロードされます。 [vRealize Log Insight でのログの検索] Log Insight を開き、イベント通知 をトリガーしたクエリの ID を渡し ます。 Log Insight に [対話形式の分析] タブが表示 され、イベント通知をトリガーしたクエリが 実行されます。 Log Insight 以外のアラートを選択すると、コンテキストでの起動メニューに [vRealize Log Insight での仮想マシン ロ グおよびホスト ログの検索] メニュー項目が表示されます。このメニュー項目を選択すると、vRealize Operations Manager は Log Insight を開き、アラートをトリガーしたオブジェクトの識別子を渡します。Log Insight は、リソース識別子を 使用して、使用可能なログ イベントで検索を実行します。 vRealize Operations Manager での Log Insight のコンテキストでの起動の無効化 vRealize Operations Manager インスタンスから Log Insight アダプタをアンインストールして、 vRealize Operations Manager ユーザー インターフェイスから Log Insight に関連したメニュー項目を削除することが できます。 コンテキストでの起動を無効にするには、Log Insight の管理 UI を使用します。Log Insight へのアクセス権がない場 合、または vRealize Operations Manager との接続が無効になる前に Log Insight インスタンスが削除されている場合 は、Log Insight を vRealize Operations Manager の管理 UI から登録解除することができます。 vRealize Operations Manager 管理ポータルのヘルプを参照してください。 注意 vRealize Operations Manager の 1 つのインスタンスがサポートするのは、Log Insight の 1 つのインスタンス に対するコンテキストでの起動のみです。無効にするインスタンスを登録した後に、Log Insight の別のインスタンスが 登録されている場合は、2 番目のインスタンスによって最初の設定がオーバーライドされ、通知は送信されません。 開始する前に n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [統合] で、[vRealize Operations Manager] を選択します。 3 [コンテキストでの起動を有効にする] チェック ボックスの選択を解除します。 4 [保存] をクリックします。 をクリックし、[管理] を選択します。 Log Insight は Log Insight アダプタを削除するように vRealize Operations Manager インスタンスを構成します。こ の処理には数分かかることがあります。 VMware, Inc. 73 VMware vRealize Log Insight 管理ガイド vRealize Operations Manager インスタンスからの Log Insight アダプタの削除 vRealize Operations Manager インスタンスでコンテキストでの起動を有効にすると、Log Insight は vRealize Operations Manager インスタンス上に Log Insight アダプタのインスタンスを作成します。 Log Insight をアンインストールしても、vRealize Operations Manager インスタンスにアダプタのこのインスタンス は残ります。したがって、コンテキストでの起動のメニュー項目は引き続きアクション メニューに表示され、存在しなく なった Log Insight インスタンスを参照します。 vRealize Operations Manager でコンテキストでの起動機能を無効にするには、vRealize Operations Manager イン スタンスから Log Insight アダプタを削除する必要があります。 コマンドライン ユーティリティの cURL を使用すると、vRealize Operations Manager に HTTP POST 要求を送信でき ます。 開始する前に n システムに cURL がインストールされていることを確認します。 n ターゲット vRealize Operations Manager インスタンスの IP アドレスまたはホスト名が判明していることを確認 します。 n ユーザーが、所有している vRealize Operations Manager ライセンスに応じて最小限のユーザー認証情報を保持し ていることを確認します。 vRealize Operations Manager ライセンス 最低限必要な認証情報 Standard デフォルトの管理者ユーザー認証情報 Advanced または Enterprise 読み取り専用のユーザー認証情報 注意 Log Insight は、vRealize Operations Manager と Active Directory との統合をサポートしません。 手順 1 cURL で vRealize Operations Manager 仮想アプライアンスに次のクエリを実行して、Log Insight アダプタを検 出します。 curl -k --user <admin username>:<passwd> https://<URL>:443/HttpPostAdapter/OpenAPIServlet -d "action=getRelationships&resourceName=Log Insight Server&adapterKindKey=LogInsight&resourceKindKey=LogInsightLogServer& getChildren=true&getParents=false" <admin username> および <passwd> は管理者ユーザーの認証情報です。<URL> は vRealize Operations Manager インスタンスの IP アドレスです。 クエリは結果を次の形式で返します。 resourceName=Log Insight Server&adapterKindKey=LogInsight&resourceKindKey=LogInsightLogServer Parents: Children: resourceName=Log Insight Server<log insight location>& adapterKindKey=LogInsight& resourceKindKey=LogInsightLogServerHost& identifiers=HOST::<log insight location> <log insight location> はクエリ対象リソースの子オブジェクトの HOST 値です。アダプタ インスタンスを削除す るコマンド内で、この値を使用できます。 74 VMware, Inc. 第 1 章 Log Insight の管理 2 次のコマンドを実行して、Log Insight アダプタを削除します。 curl -k --user <admin username>:<passwd> https://<URL>: 443/HttpPostAdapter/OpenAPIServlet -d "action=addRemoveParentChildRelationship&parentResource=Log Insight Server&adapterKindKey=LogInsight& resourceKindKey=LogInsightLogServer&addFlag=false& childResources=Log Insight Server<log insight location>,LogInsight,LogInsightLogServerHost,HOST::<log insight location>" <admin username> および <passwd> は管理者ユーザーの認証情報です。<URL> は vRealize Operations Manager インスタンスの IP アドレスです。<log insight location> は削除する関係の子リ ソースのホストの場所です。 vRealize Operations Manager 内のメニューから Log Insight のコンテキストでの起動項目が削除されます。コンテキ ストでの起動の詳細については、Log Insight の製品内ヘルプの「Log Insight コンテキストでの起動」を参照してくだ さい。 Log Insight でのデータ アーカイブの有効化または無効化 データをアーカイブすると、本来はストレージ上の制約により Log Insight 仮想アプライアンスから削除される可能性の ある古いログを保持できます。Log Insight はアーカイブ データを NFS マウントに格納できます。 Log Insight は、ディスク上のログを収集し、一連の 1 GB のバケット内に格納します。1 つのバケットは、圧縮された 複数のログ ファイルと 1 つのインデックスから構成されます。バケットには、特定の時間範囲のクエリを実行するために 必要な要素がすべて格納されています。バケットのサイズが 1 GB を超えると、Log Insight は書き込みを停止し、その バケット内のすべてのファイルを閉じてバケットをシールします。 データのアーカイブが有効化されている場合、Log Insight はバケットのシール時に、圧縮された raw ログ ファイルを バケットから NFS マウントにコピーします。データのアーカイブが有効化される前にシールされたバケットが、遡って アーカイブされることはありません。 注意 Log Insight はアーカイブに使用される NFS マウントを管理しません。NFS マウントがまもなく容量不足になる場 合、または使用できない場合、システム通知が有効であれば、Log Insight から電子メールが送信されます。NFS マウン トに十分な空き領域がない場合、または使用不能な期間が仮想アプライアンスの保持期間を超えた場合、Log Insight は NFS マウントに十分な空き領域が確保されるか、使用可能になるか、アーカイブが無効になるまで、新しいデータの取り 込みを停止します。 開始する前に n n 次の要件を満たす NFS パーティションにアクセスできることを確認します。 n NFS パーティションに、ゲスト アカウントによる読み取りおよび書き込み処理を許可する必要があります。 n マウントで認証が必要となることがないようにしてください。 n NFS サーバは NFS v3 をサポートする必要があります。 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [構成] の[ストレージ] をクリックします。 3 をクリックし、[管理] を選択します。 [データ アーカイブの有効化] チェック ボックスを選択し、ログがアーカイブされる NFS パーティションのパスを入 力し、[テスト] をクリックして接続を確認します。 データのアーカイブが有効な場合、古いログ ファイルは NFS パーティションに保存されます。 VMware, Inc. 75 VMware vRealize Log Insight 管理ガイド 4 [保存] をクリックします。 注意 データをアーカイブすると、ストレージに制約があるため Log Insight 仮想アプライアンスから削除されていたロ グ イベントが保持されます。Log Insight 仮想アプライアンスから削除されて、アーカイブされたログ イベントは、検索 できなくなります。アーカイブされたログを検索する場合は、このログを Log Insight インスタンスにインポートする必 要があります。アーカイブされたログ ファイルのインポートの詳細については、「 「Log Insight アーカイブの Log Insight へのインポート (P. 84)」」を参照してください。 次に進む前に Log Insight が再起動した後、ESXi からの Syslog フィードが Log Insight に引き続き受信されていることを確認しま す。トラブルシューティングについては、『Log Insight 管理ガイド』の ESXi ログに関連するトピックを参照してくださ い。 Active Directory を介したユーザー認証の有効化 Log Insight には、ユーザー認証に使用できる組み込みの認証方法があります。 組み込みの認証方法を使用して新しいユーザー アカウントを作成した場合は、Log Insight へのログインに使用する必要 があるパスワードをユーザーに提供します。 ユーザーが複数のパスワードを覚えなくてもよいように、Active Directory 認証のサポートを有効にすることができます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [構成] の [認証] をクリックします。 3 [Active Directory のサポートの有効化] チェック ボックスを選択します。 4 [デフォルト ドメイン] テキスト ボックスにドメイン名を入力します。 をクリックし、[管理] を選択します。 たとえば、company-name.com などです。 注意 デフォルトのドメイン テキスト ボックスで複数のドメインを指定することはできません。指定したデフォル ト ドメインが他のドメインから信頼されている場合、Log Insight はこのデフォルト ドメインおよびバインド ユー ザーを使用して、信頼元のドメイン内の AD ユーザーおよびグループを検証します。 5 デフォルト ドメインに属するバインド ユーザーの認証情報を入力します。 Log Insight はデフォルト ドメインおよびバインド ユーザーを使用して、デフォルト ドメイン内、およびデフォル ト ドメインを信頼しているドメイン内の AD ユーザーおよびグループを検証します。 6 [保存] をクリックします。 次に進む前に Log Insight の現在のインスタンスにアクセスする権限を AD ユーザーおよびグループに付与します。「Log Insight への Active Directory ユーザーの追加 (P. 22)」 を参照してください。 76 VMware, Inc. 第 1 章 Log Insight の管理 Active Directory で使用するプロトコルの構成 デフォルトでは、Log Insight が Active Directory に接続する場合、非 SSL LDAP を試してから、必要に応じて SSL LDAP を試します。 Active Directory 通信先を特定のプロトコルに限定する場合、または試行するプロトコルの順序を変更する場合は、 Log Insight 仮想アプライアンスに追加の構成を適用する必要があります。 開始する前に n Log Insight 仮想アプライアンスにログインするための root ユーザー認証情報があることを確認してください。を 参照してください。 「Log Insight 仮想アプライアンス用の root の SSH パスワードの構成 (P. 8)」 n SSH 接続を有効にするには、TCP ポート 22 が開いていることを確認します。 手順 1 2 Log Insight 仮想アプライアンスとの SSH 接続を確立し、root ユーザーとしてログインします。 /usr/lib/loginisight/application/etc/loginsight-config-base.xml ファイルを編集用に開きま す。 VI エディタを使用している場合、コマンドは vi loginsight-config-base.xml です。 3 Authentication セクションで、適用する構成に対応する行を追加します。 オプション 説明 <ad-protocols value="LDAP" /> SSL 非対応 LDAP を使用する場合専用 <ad-protocols value="LDAPS" /> SSL 対応 LDAP のみを使用する場合専用 <ad-protocols value="LDAP,LDAPS" /> 最初に LDAP を使用し、次に SSL 対応 LDAP を使用する場合専用 <ad-protocols value="LDAPS,LDAP" /> 最初に LDAPS を使用し、次に SSL 非対応 LDAP を使用する場合専用 プロトコルを選択しない場合、Log Insight は LDAP を使用してから、SSL 対応 LDAP を使用します。 4 ファイルを保存して閉じます。 5 service loginsight restart コマンドを実行します。 Log Insight Web インターフェイスを使用したカスタムの SSL 証明書のインス トール デフォルトでは、Log Insight は自己署名の SSL 証明書を仮想アプライアンスにインストールします。 自己署名証明書があると、Log Insight Web ユーザー インターフェイスに接続した際に、セキュリティ警告が生成され ます。自己署名のセキュリティ証明書を使用しない場合は、カスタム SSL 証明書をインストールします。カスタム SSL 証明書が必要な機能は、SSL を介したイベント転送のみです。ILB が有効になっているクラスタがある場合は、「統合ロー ド バランサーの有効化 (P. 17)」 のカスタム SSL 証明書の特定要件を参照してください。 注意 Log Insight Web ユーザー インターフェイスと Log Insight Ingestion プロトコル cfapi は、認証に同じ証明書 を使用します。 VMware, Inc. 77 VMware vRealize Log Insight 管理ガイド 開始する前に n カスタム SSL 証明書が次の要件を満たしていることを確認します。 n 証明書ファイルに有効なプライベート キーと有効な証明書チェーンが含まれている。 n プライベート キーが RSA または DSA アルゴリズムで生成されている。 n プライベート キーがパス フレーズで暗号化されていない。 n 証明書に他の証明書のチェーンによる署名がある場合は、インポートする証明書ファイルにその他のすべての証 明書が含まれます。 n 証明書ファイルに含まれているすべての証明書およびプライベート キーは、PEM 形式にエンコードされていま す。Log Insight は、DER 形式にエンコードされた証明書およびプライベートキーをサポートしていません。 n 証明書ファイルに含まれているすべての証明書およびプライベート キーは、PEM 形式になっています。 Log Insight は、PFX、PKCS12、PKCS7、またはその他の形式の証明書をサポートしていません。 n n 各証明書の本体全体が次の順序で 1 つのテキスト ファイルに連結されていることを確認します。 a プライベート キー - <your_domain_name>.key b プライマリ証明書 - < your_domain_name>.crt c 中間証明書 -< DigiCertCA>.crt d ルート証明書 - < TrustedRoot>.crt 各証明書の開始タグと終了タグが次の形式で組み込まれていることを確認します。 -----BEGIN RSA PRIVATE KEY----(Your Private Key: your_domain_name.key) -----END RSA PRIVATE KEY---------BEGIN CERTIFICATE----(Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE---------BEGIN CERTIFICATE----(Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---------BEGIN CERTIFICATE----(Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE----n 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしている ことを確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプ ライアンスの IP アドレスまたはホスト名です。 手順 1 証明書署名要求の生成 (P. 79) Windows 対応の OpenSSL ツールを使用して証明書署名要求を生成します。 2 認証局に対する署名の要求 (P. 79) 選択した認証局に証明書署名要求を送信して、署名を要求します。 3 証明書ファイルの連結 (P. 80) お使いのキー ファイルおよび証明書ファイルを 1 つの PEM ファイルに結合します。 4 署名証明書のアップロード (P. 80) Log Insight Web インターフェイスを使用して署名証明書をアップロードします。 5 Log Insight サーバと Log Insight Agents 間の SSL 接続の構成 (P. 81) SSL 機能では、Log Insight Agents と Log Insight サーバ間で Ingestion API の安全なフローを介した SSL のみ の接続を提供できます。Log Insight Agents のさまざまな SSL パラメータを構成することもできます。 78 VMware, Inc. 第 1 章 Log Insight の管理 証明書署名要求の生成 Windows 対応の OpenSSL ツールを使用して証明書署名要求を生成します。 開始する前に n http://www.openssl.org/related/binaries.html から OpenSSL に適したインストーラをダウンロードします。ダ ウンロードされた OpenSSL インストーラを使用して Windows マシンにインストールします。 n openssl.cfg ファイルを編集して、追加の必須パラメータを追加します。[req] セクションに req_extensions パラメータが定義されていることを確認します。 [req] . . req_extensions=v3_req # n たとえば、<server-01.loginsight.domain> のように、サーバのホスト名または IP アドレスの適切な Subject Alternative Name エントリを追加します。ホスト名のパターンは指定できません。 [v3_req] . . subjectAltName=DNS:server-01.loginsight.domain #subjectAltName=IP:10.27.74.215 手順 1 証明書ファイルを保存するフォルダ(C:\Certs\LI-2.5 など)を作成します。 2 コマンド プロンプトを開き、次のコマンドを実行してプライベート キーを生成します。 C:\Certs\LI-2.5>openssl genrsa -out server.key 2048 3 次のコマンドを実行して証明書署名要求を作成します。 C:\Certs\LI-2.5>openssl req -new -key server.key -out server.csr 注意 このコマンドはインタラクティブに実行され、複数の質問をユーザーに尋ねます。ユーザーの回答は認証局に よって照合されます。ユーザーの回答は、会社の登録に関する法的文書と一致する必要があります。 4 画面上の手順に従って、証明書要求に組み込まれる情報を入力します。 重要 [共通名] フィールドにお使いのサーバのホスト名または IP アドレスを入力します(mail.your.domain な ど)。すべてのサブドメインを含める場合は、「*your.domain」と入力します。 証明書署名要求ファイル server.csr が生成されて、保存されます。 認証局に対する署名の要求 選択した認証局に証明書署名要求を送信して、署名を要求します。 手順 u server.csr ファイルを認証局に送信します。 注意 ファイルを PEM 形式でエンコードするよう認証局に要求します。 認証局はユーザーの要求を処理し、PEM 形式でエンコードされた server.crt ファイルを返信します。 VMware, Inc. 79 VMware vRealize Log Insight 管理ガイド 証明書ファイルの連結 お使いのキー ファイルおよび証明書ファイルを 1 つの PEM ファイルに結合します。 手順 1 新しい server.pem ファイルを作成して、テキスト エディタで開きます。 2 server.key ファイルの内容をコピーし、次の形式を使用して server.pem に貼り付けます。 -----BEGIN RSA PRIVATE KEY----(Your Private Key: server.key) -----END RSA PRIVATE KEY----- 3 server.crt ファイルの内容をコピーし、次の形式を使用して server.pem に貼り付けます。 -----BEGIN CERTIFICATE----(Your Primary SSL certificate: server.crt) -----END CERTIFICATE----- 4 認証局から中間証明書または連結された証明書が提供されている場合は、パブリック証明書ファイルの末尾にこれら の証明書を次の形式で追加します。 -----BEGIN RSA PRIVATE KEY----(Your Private Key: server.key) -----END RSA PRIVATE KEY---------BEGIN CERTIFICATE----(Your Primary SSL certificate: server.crt) -----END CERTIFICATE---------BEGIN CERTIFICATE----(Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE---------BEGIN CERTIFICATE----(Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE----5 server.pem ファイルを保存します。 署名証明書のアップロード Log Insight Web インターフェイスを使用して署名証明書をアップロードします。 手順 1 構成ドロップダウン メニュー アイコン 2 [構成] の [SSL 証明書] をクリックします。 3 カスタム SSL 証明書を参照して、[開く] をクリックします。 4 [保存] をクリックします。 5 Log Insight を再起動します。 をクリックし、[管理] を選択します。 次に進む前に Log Insight が再起動した後、ESXi からの Syslog フィードが Log Insight に引き続き受信されていることを確認しま す。トラブルシューティングについては、『Log Insight 管理ガイド』の ESXi ログに関連するトピックを参照してくださ い。 80 VMware, Inc. 第 1 章 Log Insight の管理 Log Insight サーバと Log Insight Agents 間の SSL 接続の構成 SSL 機能では、Log Insight Agents と Log Insight サーバ間で Ingestion API の安全なフローを介した SSL のみの接続 を提供できます。Log Insight Agents のさまざまな SSL パラメータを構成することもできます。 主な SSL 機能 主な SSL 機能を理解することで、Log Insight Agents を正しく構成できます。 Log Insight エージェントは、証明書を格納し、特定のサーバへの最初の接続を除くすべての接続においてその証明書を 使用してサーバの ID を確認します。サーバ ID を確認できない場合、Log Insight エージェントはサーバとの接続を拒否 し、適切なエラー メッセージをログに書き込みます。エージェントが受信した証明書は cert フォルダに格納されます。 n Windows の場合は、C:\ProgramData\VMware\Log Insight Agent\cert に移動します。 n Linux の場合は、/var/lib/loginsight-agent/cert に移動します。 Log Insight エージェントは、Log Insight サーバとの安全な接続を確立すると、Log Insight サーバから受信した証明 書が有効であるか確認します。Log Insight エージェントはシステムによって信頼された証明書を使用します。 n Log Insight Linux Agent は /etc/pki/tls/certs/ca-bundle.crt または /etc/ssl/certs/cacertificates.crt から信頼済み証明書を読み込みます。 n Log Insight Windows Agent はシステム ルート証明書を使用します。 Log Insight エージェントは、自己署名証明書がローカルに格納されている場合に、同一の公開キーを持つ別の有効な自 己署名証明書を受信すると、その新しい証明書を受け入れます。これは、自己署名証明書が同じプライベート キー、ただ し新しい有効期限などの異なる詳細を使用して、自己署名証明書が再生成された場合に発生します。そうでない場合、接 続は拒否されます。 Log Insight エージェントは、自己署名証明書がローカルに格納されている場合に、有効な CA 署名付き証明書を受信す ると、Log Insight エージェントは受け入れた新しい証明書をサイレントで置換します。 Log Insight エージェントは、CA 署名付き証明書の所有後に自己署名証明書を受信すると、Log Insight エージェントが その証明書を拒否します。Log Insight エージェントは、Log Insight サーバへの初回接続時にのみそのサーバから自己 署名証明書を受け入れます。 Log Insight エージェントは、CA 署名付き証明書がローカルに格納されている場合に、別の信頼済み CA によって署名 された有効な証明書を受信すると、その証明書を拒否します。その新しい証明書を受け入れるように Log Insight エー ジェントの構成オプションを変更できます。「Log Insight Agents SSL パラメータの構成 (P. 82)」 を参照してください。 SSL のみの接続を強制する Log Insight Web UI を使用して、サーバへの接続に SSL のみを許可するように Log Insight Agents および Ingestion API を構成できます。 注意 Log Insight の現在のバージョンは、syslog SSL 接続をサポートせず、Log Insight Ingestion API でのみ機能し ます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [構成] で [SSL] をクリックします。 VMware, Inc. をクリックし、[管理] を選択します。 81 VMware vRealize Log Insight 管理ガイド 3 [API サーバ SSL] で、[SSL 接続を要求する] チェック ボックスを選択します。 4 [保存] をクリックします。 Log Insight API では、サーバへの SSL 接続のみが許可されます。非 SSL 接続は拒否されます。 Log Insight Agents SSL パラメータの構成 Log Insight エージェントの構成ファイルを編集して、SSL 構成の変更、信頼済みルート証明書へのパスの追加、Log Insight エージェントが証明書を受け入れるかどうかの定義などを行うことができます。 この手順は、Linux および Windows Log Insight Agents の両方に適用します。 開始する前に Log Insight Linux Agent の場合 n root としてログインするか、sudo を使用してコンソール コマンドを実行します。 n Log Insight Linux Agent がインストールされた Linux マシンにログインし、コンソールを開き、pgrep liagent を実行して、VMware vRealize Log Insight Linux Agent がインストールされ実行中であることを確認します。 Log Insight Windows Agent の場合 n Log Insight Windows Agent をインストールした Windows マシンにログインし、サービス マネージャを起動し て VMware vRealize Log Insight Agent サービスがインストールされていることを確認します。 手順 1 liagent.ini ファイルを含むフォルダに移動します。 オペレーティング システム パス Linux /var/lib/loginsight-agent/ Windows %ProgramData%\VMware\Log Insight Agent 2 任意のテキスト エディタで liagent.ini を開きます。 3 liagent.ini ファイルの [server] セクションに次のキーを追加します。 キー 説明 ssl_ca_path 信頼済みルート証明書バンドル ファイルへのパス。指定しない場 合、 Log Insight Windows Agent はシステム ルート証明書を 使用します。Log Insight Linux Agent は /etc/pki/tls/certs/ca-bundle.crt また は /etc/ssl/certs/ca-certificates.crt から信 頼済み証明書を読み込もうとします。 ssl_accept_any Log Insight エージェントが証明書を受け入れるかどうかを定義 します。可能な値は、yes、1、 no または 0 です。この値を yes または 1 に設定すると、Log Insight エージェントは、サー バからの証明書を受け入れ、データを送信するための安全な接続 を確立します。デフォルト値は no です。 ssl_accept_any を yes または 1 に設定すると、Log Insight エージェントは、一致する Common Name を持たない 注意 証明書を受け入れます。 82 VMware, Inc. 第 1 章 Log Insight の管理 キー 説明 ssl_accept_any_trusted 可能な値は、yes、1、no または 0 です。Log Insight エージェ ントがローカルで格納された信頼済み認証局の署名付き証明書を 持つ場合に、他の信頼済み認証局によって署名された別の有効な 証明書を受信すると、このエージェントは構成オプションを確認 します。値を yes または 1 に設定すると、エージェントは有効 な新しい証明書を受け入れます。値を no または 0 に設定する と、証明書を拒否し、接続を切断します。デフォルト値は no で す。 ssl_cn 自己署名の証明書 Common Name。デフォルト値は VMware vCenter Log Insight です。証明書 Common Name フィールドと照合してチェックするカスタム Common Name を 定義できます。Log Insight エージェントは、[server] セク ションの hostname キーによって構成された接続用のホスト名 と照合して、受信した証明書の Common Name フィールドを チェックします。それが一致しない場合、エージェントは Common Name フィールドを liagent.ini ファイルの ssl_cn キーと照合してチェックします。値が一致する場合、 Log Insight エージェントは証明書を受け入れます。 注意 キーは、[server] セクションのプロトコルが cfapi に設定され、SSL が有効化されている場合のみ使用さ れます。 4 liagent.ini ファイルを保存して閉じます。 例: 構成 SSL 構成の例を次に示します。 proto=cfapi port=9543 ssl=yes ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt ssl_accept_any=no ssl_accept_any_trusted=yes ssl_cn=LOGINSIGHT Log Insight Web セッションのデフォルトのタイムアウト期間の変更 デフォルトでは、使用環境を常に保護するために、Log Insight Web セッションは 30 分以内に期限切れになります。こ のタイムアウト期間は増減できます。 タイムアウト期間は、Web UI を使用して変更できます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [構成] で、[全般] をクリックします。 3 [ブラウザ セッション] ペインで、分単位のタイムアウト値を指定します。 をクリックし、[管理] を選択します。 値 -1 を指定すると、セッションのタイムアウトが無効になります。 VMware, Inc. 83 VMware vRealize Log Insight 管理ガイド 4 [保存] をクリックします。 Log Insight アーカイブ ファイルの形式 Log Insight アーカイブ データは所定の形式になっています。 Log Insight はアーカイブ ファイルを NFS サーバ上に保存し、アーカイブ時刻に基づいて階層ディレクトリに編成しま す。次に例を示します。 /backup/2014/08/07/16/bd234b2d-df98-44ae-991a-e0562f10a49/data.blob ここで、/backup は NFS の場所、2014/08/07/16 はアーカイブ時刻、bd234b2d-df98-44ae-991ae0562f10a49 はバケット ID、data.blob はバケットのアーカイブ データです。 アーカイブ データ data.blob は Log Insight 内部エンコーディングを使用した圧縮ファイルです。これには、バケッ ト内に保存されているすべてのメッセージの元のコンテンツと次のような固定フィールドが含まれています:timestamp、 host name、source、appname。 アーカイブ データは、Log Insight にインポートしたり、Raw テキストデータにエクスポートしたり、メッセージ コン テンツを抽出することができます。「 「Log Insight アーカイブの Raw テキスト ファイルまたは JSON へのエクスポー ト (P. 85)」」および「「Log Insight アーカイブの Log Insight へのインポート (P. 84)」」を参照してください。 Log Insight アーカイブの Log Insight へのインポート Log Insight にアーカイブされているログをインポートするには、コマンド ラインを使用できます。 注意 Log Insight は履歴データとリアルタイム データを同時に処理できますが、インポートされたログ ファイルを処理 するための Log Insight インスタンスを個別に展開することをお勧めします。 開始する前に n Log Insight 仮想アプライアンスにログインするための root ユーザー認証情報があることを確認してください。 n Log Insight ログがアーカイブされている NFS サーバにアクセスするための権限があることを確認します。 n Log Insight 仮想アプライアンスに、インポートされたログ ファイルを収容できるだけの十分なディスク領域がある ことを確認します。 仮想アプライアンス内の /storage/core パーティションの最小空き領域は、インポートするアーカイブ済みログ のサイズの約 10 倍である必要があります。 手順 1 Log Insight vApp との SSH 接続を確立し、root ユーザーとしてログインします。 2 アーカイブ済みデータが保存された NFS サーバ上の共有フォルダをマウントします。 3 アーカイブ済み Log Insight ログのディレクトリをインポートするには、次のコマンドを実行します。 /usr/lib/loginsight/application/bin/loginsight repository import <Path-To-ArchivedLog-Data-Folder>. 注意 アーカイブ済みデータのインポートには、インポートされるフォルダのサイズに応じて、長い時間がかかる場 合があります。 4 SSH 接続を切断します。 次に進む前に インポートされたログ イベントは、検索、フィルタリング、分析できます。 84 VMware, Inc. 第 1 章 Log Insight の管理 Log Insight アーカイブの Raw テキスト ファイルまたは JSON へのエクスポート Log Insight アーカイブを標準の Raw テキスト ファイルまたは JSON 形式にエクスポートするには、コマンド ラインを 使用できます。 注意 これは高度な手順です。コマンド構文および出力形式は、Log Insight の今後のリリースで変更され、下位互換性 がなくなる可能性があります。 開始する前に n n Log Insight 仮想アプライアンスにログインするための root ユーザー認証情報があることを確認してください。 Log Insight 仮想アプライアンスに、エクスポートされたファイルを収容できるだけの十分なディスク領域があるこ とを確認します。 手順 1 Log Insight vApp との SSH 接続を確立し、root ユーザーとしてログインします。 2 Log Insight vApp にアーカイブ ディレクトリを作成します。 mkdir /archive 3 次のコマンドを実行して、アーカイブ済みデータが保存された NFS サーバ上の共有フォルダをマウントします。 mount -t nfs <archive-fileshare>:<archive directory path> /archive 4 Log Insight vApp の使用可能なストレージ領域を確認します。 df -h 5 Log Insight アーカイブを Raw テキスト ファイルにエクスポートします。 /usr/lib/loginsight/application/sbin/repo-exporter –d archive-file-directory output-file 次に例を示します。 /usr/lib/loginsight/application/sbin/repo-exporter – d /archive/2014/08/07/16/bd234b2d-df98-44ae-991a-e0562f10a49 /tmp/output.txt 6 Log Insight アーカイブのメッセージの内容を JSON 形式にエクスポートします。 /usr/lib/loginsight/application/sbin/repo-exporter -F –d archive-file-directory output-file. 次に例を示します。 /usr/lib/loginsight/application/sbin/repo-exporter –F – d /archive/2014/08/07/16/bd234b2d-df98-44ae-991a-e0562f10a49 /tmp/output.json 7 SSH 接続を切断します。 SSL を使用した Log Insight イベント転送の構成 SSL を使用して入力イベントを syslog または Ingestion API ターゲットに転送するように Log Insight サーバを構成で きます。 開始する前に SSL を使用したイベント転送は、デフォルトにより、ターゲット サーバにインストールされた自己署名証明書では機能し ません。カスタム SSL 証明書を作成してアップロードする必要があります。を参照してください。 「Log Insight Web インターフェイスを使用したカスタムの SSL 証明書のインストール (P. 77)」 VMware, Inc. 85 VMware vRealize Log Insight 管理ガイド 手順 1 信頼済みルート証明書をフォワーダー インスタンスの一時ディレクトリにコピーします。たとえば、/home です。 2 フォワーダー インスタンスに対する SSH を設定し、次のコマンドを実行します。 localhost:~ # cd /usr/java/jre1.7.0_51/lib/security/ localhost:/usr/java/jre1.7.0_51/lib/security # ../../bin/keytool -import -alias loginsight -file /home/cacert.pem -keystore cacerts デフォルトのキーストア パスワードは changeit です。 注意 Java バージョンは時間の経過とともに異なります。 3 Log Insight インスタンスを再開します。 次に進む前に n SSL 接続を有効にします。「SSL のみの接続を強制する (P. 81)」 を参照してください。 n イベント転送の転送先を追加します。「Log Insight イベント転送ターゲットの追加 (P. 86)」 を参照してください。 Log Insight イベント転送ターゲットの追加 Log Insight Server は、イベントの保存やインデックス付けの他、syslog または Ingestion API のターゲットに受信イ ベントを転送するように構成することができます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] の下で、[イベント転送] をクリックします。 3 [新しい転送先] 4 をクリックし、[管理] を選択します。 をクリックして必要な情報を指定します。 オプション 説明 名前 新しい転送先の一意な名前。 ホスト IP アドレスまたは完全修飾ドメイン名。 プロトコル Ingestion API または syslog。デフォルト値は Ingestion API です。 (オプション) タグを追加します。 タグにより、事前定義された値を使用してイベントにフィールドを追加することができるため、クエリが簡単になり ます。 注意 タグを使用できるのは、Ingestion API を使用している場合のみです。 5 (オプション) 転送するイベントを制限するには、 [フィルタの追加] をクリックします。 フィルタを選択しない場合は、すべてのイベントが転送されます。 86 VMware, Inc. 第 1 章 Log Insight の管理 6 (オプション) [詳細設定を表示] をクリックすると、次の転送オプションを変更できます。 オプション 説明 ポート リモート ターゲットにあるイベントの送信先ポート。デフォルト値は、指定したプロ トコルに基づいて設定されます。リモート ターゲットが別のポートで待機しているの でない限り、これは変更しないでください。 ディスク キャッシュ 転送対象として構成するバッファリング イベント用に確保するためのローカル ディ スク領域のサイズ。バッファリングは、リモート ターゲットを使用できない場合、ま たは、リモート ターゲットに送信されるイベントをそのリモート ターゲットが処理 できない場合に使用されます。ローカル バッファがいっぱいになり、リモート ター ゲットもまだ使用できる状態ではない場合、最も古いイベントは破棄され、リモート ターゲットがオンライン状態に戻ってもリモート ターゲットには転送されません。デ フォルト値は 200 MB です。 ワーカー カウント 同時に使用できる送信接続数。転送先へのネットワーク待ち時間が長く、1 秒あたり の転送イベント数が多い場合は、ワーカー カウントに大きい値を設定します。デフォ ルト値は 2 です。 7 構成を確認するには、[テスト] をクリックします。 8 [保存] をクリックします。 次に進む前に イベント転送先は編集または複製できます。 Log Insight サービスの再起動 Web ユーザー インターフェイスの [管理] ページを使用すると、Log Insight を再起動できます。 注意 Log Insight を再起動すると、アクティブなすべてのユーザー セッションが終了します。Log Insight インスタン スのユーザーは強制的に再ログインされます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アプライアンス] をクリックします。 3 [マスターの再起動] をクリックして、[再起動] をクリックします。 をクリックし、[管理] を選択します。 次に進む前に Log Insight が再起動した後、ESXi からの Syslog フィードが Log Insight に引き続き受信されていることを確認しま す。トラブルシューティングについては、『Log Insight 管理ガイド』の ESXi ログに関連するトピックを参照してくださ い。 Log Insight 仮想アプライアンスのパワーオフ Log Insight マスター ノードまたはワーカー ノードをパワーオフするときにデータが失われないようにするには、次の手 順に厳密に従ってノードをパワーオフする必要があります。 Log Insight 仮想アプライアンスの仮想ハードウェアに変更を加える前に、このアプライアンスをパワーオフする必要が あります。 VMware, Inc. 87 VMware vRealize Log Insight 管理ガイド Log Insight 仮想アプライアンスをパワーオフするには、vSphere Client で [パワー] - [ゲストのシャットダウン] メニュー オプションを使用するか、仮想アプライアンス コンソールを使用するか、Log Insight 仮想アプライアンスとの SSH 接 続を確立してコマンドを実行します。 開始する前に n SSH を使用して Log Insight 仮想アプライアンスに接続する場合は、TCP ポート 22 が開いていることを確認します。 n Log Insight 仮想アプライアンスにログインするための root ユーザー認証情報があることを確認してください。 手順 1 Log Insight vApp との SSH 接続を確立し、root ユーザーとしてログインします。 2 Log Insight 仮想アプライアンスをパワーオフするには、shutdown -h now を実行します。 次に進む前に これで Log Insight 仮想アプライアンスの仮想ハードウェアを安全に変更できます。 Log Insight 仮想アプライアンスへのメモリおよび CPU の追加 展開後に Log Insight 仮想アプライアンスに割り当てられたメモリのサイズおよび CPU 数を変更できます。 たとえば、使用環境のイベント数が増えた場合は、リソース割り当ての調整が必要になることがあります。 開始する前に n n 環境内の仮想マシンのハードウェアを変更する権限を持ったユーザーとして vSphere Client にログインします。 Log Insight 仮想アプライアンスを安全にシャットダウンします。「Log Insight 仮想アプライアンスのパワーオ フ (P. 87)」 を参照してください。 手順 1 vSphere Client のインベントリで Log Insight 仮想マシンを右クリックし、[設定の編集] を選択します。 2 [ハードウェア] タブで [追加] をクリックします。 3 CPU 数およびメモリ サイズを必要に応じて調整します。 4 情報を確認し、[終了] をクリックします。 5 [OK] をクリックして変更内容を保存し、ダイアログ ボックスを閉じます。 Log Insight 仮想アプライアンスをパワーオンすると、仮想マシンは新しいリソースの利用を開始します。 VMware へのトレース データの送信停止 カスタマ エクスペリエンス改善プログラムに参加する必要がなくなった場合は、匿名化されたトレース データの VMware への転送を終了することができます。 Log Insight のカスタマ エクスペリエンス改善プログラムについて質問や懸念事項がある場合は、[email protected] にお問い合わせください。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 88 構成ドロップダウン メニュー アイコン をクリックし、[管理] を選択します。 VMware, Inc. 第 1 章 Log Insight の管理 2 [構成] で、[全般] をクリックします。 3 [カスタマ エクスペリエンス改善プログラム] ペインで [カスタマ エクスペリエンス改善プログラムの一部として VMware にトレース データを毎週送信する] チェック ボックスを選択解除します。 4 [保存] をクリックします。 Log Insight は VMware へのトレース データの送信を停止します。 VMware, Inc. 89 VMware vRealize Log Insight 管理ガイド 90 VMware, Inc. Log Insight のトラブルシューティング 2 VMware サポート サービスに問い合わせる前に、Log Insight の管理に関連する一般的な問題の解決を試みてください。 この章では次のトピックについて説明します。 n ESXi ログ Log Insight での受信の停止 (P. 91) n Log Insight のディスク領域不足 (P. 92) n Log Insight サポート バンドルのダウンロード (P. 93) n Log Insight のサポート バンドルを作成するための仮想アプライアンス コンソールの使用 (P. 93) n 管理者ユーザーのパスワードのリセット (P. 94) n root ユーザーのパスワードのリセット (P. 94) n vRealize Operations Manager にアラートを配信できない場合 (P. 95) n Active Directory の認証情報を使用してログインできない (P. 95) n STARTTLS オプションが有効な場合 SMTP が機能しない (P. 96) n .pak ファイルの署名を検証できなかったためのアップグレードの失敗 (P. 97) n 内部サーバ エラーによるアップグレードの失敗 (P. 97) ESXi ログ Log Insight での受信の停止 Log Insight サービスを再起動すると、ESXi ホストから送られた Syslog メッセージは Log Insight での受信を停止しま す。 問題 Log Insight の構成を変更するには、Log Insight サービスを再起動する必要があります。再起動後、ESXi からの Syslog フィードは使用できなくなります。 原因 リモート Syslog リスナーとの接続が、短時間であっても中断されている場合、ESXi のバージョンによってはログの送信 が停止されます。この問題は、使用している通信プロトコルに応じて、次の ESXi バージョンに影響します。 VMware, Inc. 91 VMware vRealize Log Insight 管理ガイド 表 2‑1. Syslog メッセージの送信を停止する ESXi のバージョン 通信プロトコル 影響を受ける ESXi のバージョン TCP n n UDP ESXi 5.0.x ESXi 5.1.x ESXi 5.0 および 5.0 Update 1 重要 この問題は ESXi 5.1 Update 2 および ESXi 5.0, Patch ESXi500-201401401-BG で修正されています。お使いの ESXi ホストがリモート ターゲットへの Syslog メッセージの送信を停止しないようにするために、アップデートまたは パッチを適用することをお勧めします。詳細については、 https://www.vmware.com/support/vsphere5/doc/vsphere-esxi-51u2-release-notes.html および 「VMware ESXi 5.0, Patch ESXi500-201401401-BG: Updates esx-base (2065691)」を参照してください。アップデートまたは パッチを適用しない場合は、次の解決方法を使用してください。 解決方法 1 構成ドロップダウン メニュー アイコン 2 [統合] の [vSphere] をクリックします。 3 [ESXi Syslog 構成の詳細表示] リンクが設定されている vCenter Server インスタンスごとに、[ESXi Syslog 構成の 詳細表示] リンクをクリックします。 4 以前に構成されたすべてのホストを選択して、[構成] をクリックします。 をクリックし、[管理] を選択します。 注意 構成処理には数分かかることがあります。Log Insight を再起動するたびに、この手順を繰り返す必要があり ます。Syslog の問題および解決方法の詳細については、「VMware ESXi 5.x host stops sending syslogs to remote server (VMware ESXi 5.x ホストからリモート サーバへの Syslog 送信が停止される) (2003127)」を参照してく ださい。 Log Insight のディスク領域不足 サイズの小さな仮想ディスクを使用していて、アーカイブが無効になっている場合は、Log Insight マスター ノードまた はワーカー ノードのディスク領域が不足することがあります。 問題 1 分間に受信されるログのサイズがストレージ領域の 3% を超えると、Log Insight のディスク領域が不足します。 原因 通常の状況では、空き領域が 3% 未満であるかどうかが 1 分おきにチェックされるため、Log Insight のディスク領域が 不足することはありません。Log Insight 仮想アプライアンスの空き領域が 3% 未満に低下すると、古いデータ バケット が廃棄されます。 ただし、ディスク サイズが小さく、ログ取り込み速度が高いため、1 分以内に空き領域 (3%) がいっぱいになった場合、 Log Insight はディスク領域不足になります。 アーカイブが有効であれば、Log Insight はバケットが廃棄される前にアーカイブします。古いバケットがアーカイブさ れて廃棄される前に空き領域がいっぱいになると、Log Insight はディスク領域不足になります。 解決方法 u 92 Log Insight 仮想アプライアンスのストレージ容量を大きくします。「Log Insight 仮想アプライアンスのストレージ 容量を増やす (P. 18)」 を参照してください。 VMware, Inc. 第 2 章 Log Insight のトラブルシューティング Log Insight サポート バンドルのダウンロード 問題が発生したため Log Insight が予測どおりに動作しない場合は、ログおよび構成ファイルのコピーを VMware サポー ト サービスに送信できます。 開始する前に 管理者の編集 権限を持っているユーザーとして Log Insight Web ユーザー インターフェイスにログインしていることを 確認します。URL 形式は https://<log-insight-host> です。<log-insight-host> は Log Insight 仮想アプライアンス の IP アドレスまたはホスト名です。 手順 1 構成ドロップダウン メニュー アイコン 2 [管理] で、[アプライアンス] をクリックします。 3 [サポート] ヘッダーで [サポート バンドルのダウンロード] をクリックします。 をクリックし、[管理] を選択します。 Log Insight システムが診断情報を収集し、圧縮された tarball 形式でデータをブラウザにストリーミングします。 4 [ファイルのダウンロード] ダイアログ ボックスで、[[保存]] をクリックします。 5 tarball アーカイブを保存する場所を選択し、[保存] をクリックします。 次に進む前に ログ ファイルの内容を後で表示し、エラー メッセージを確認できます。問題が解決または終了したら、ディスク領域を 節約するために古いサポート バンドルを削除してください。 Log Insight のサポート バンドルを作成するための仮想アプライアンス コンソー ルの使用 Log Insight Web ユーザー インターフェイスにアクセスできない場合は、仮想アプライアンスのコンソールを使用する ことにより、または Log Insight 仮想アプライアンスとの SSH 接続を確立した後にサポート バンドルをダウンロードす ることができます。 開始する前に n Log Insight 仮想アプライアンスにログインするための root ユーザー認証情報があることを確認してください。 n SSH を使用して Log Insight 仮想アプライアンスに接続する場合は、TCP ポート 22 が開いていることを確認します。 手順 1 Log Insight vApp との SSH 接続を確立し、root ユーザーとしてログインします。 2 サポート バンドルを生成するには、loginsight-support を実行します。 サポート情報が収集されて、*.tar.gz ファイルに保存されます。このファイルには loginsight-support-YYYY- MM-DD_HHMMSS.xxxxx.tar.gz という命名規則があり、xxxxx は loginsight-support プロセスを実行したとき に使用されたプロセス ID です。 次に進む前に 必要に応じて VMware サポート サービスにサポート バンドルを転送します。 VMware, Inc. 93 VMware vRealize Log Insight 管理ガイド 管理者ユーザーのパスワードのリセット 管理者ユーザーが Web ユーザー インターフェイスのパスワードを忘れると、アカウントにアクセスできなくなります。 問題 Log Insight の管理者ユーザーが 1 名のみの場合に、その管理者ユーザーがパスワードを忘れると、アプリケーションを 管理できなくなります。管理者ユーザーが Log Insight の唯一のユーザーである場合は、Web ユーザー インターフェイ ス全体にアクセスできなくなります。 原因 管理者ユーザーが現在のパスワードを忘れた場合、Log Insight には、管理者ユーザーが自分のパスワードをリセットす るためのユーザー インターフェイスがありません 注意 ログイン可能な管理者ユーザーは、他の管理者ユーザーのパスワードをリセットできます。すべての管理者ユーザー のアカウントのパスワードが不明な場合に限り、管理者ユーザーのパスワードをリセットしてください。 解決方法 開始する前に n Log Insight 仮想アプライアンスにログインするための root ユーザー認証情報があることを確認してください。 を参照してください。 「Log Insight 仮想アプライアンス用の root の SSH パスワードの構成 (P. 8)」 n SSH 接続を有効にするには、TCP ポート 22 が開いていることを確認します。 手順 1 2 Log Insight 仮想アプライアンスとの SSH 接続を確立し、root ユーザーとしてログインします。 「li-reset-admin-passwd.sh」と入力して、[Enter] を押します。 スクリプトによって管理者ユーザーのパスワードがリセットされ、新しいパスワードが生成されて、画面に表示 されます。 次に進む前に 新しいパスワードを使用して Log Insight Web ユーザー インターフェイスにログインし、管理者ユーザーのパスワード を変更します。 root ユーザーのパスワードのリセット root ユーザーのパスワードを忘れると、SSH 接続を確立したり、Log Insight 仮想アプライアンスのコンソールを使用し たりできなくなります。 問題 SSH 接続を確立したり、Log Insight 仮想アプライアンスのコンソールを使用したりできない場合は、管理タスクの一部 を実行できなくなり、管理者ユーザーのパスワードもリセットできなくなります。 解決方法 1 vSphere Client で Log Insight 仮想アプライアンスのゲスト OS を再起動し、仮想マシンのコンソールを開きます。 2 コンソール内でクリックし、GRUB メニューが表示されるまで待機してから、任意の文字キーを押します。 注意 GRUB プロンプトが画面に表示されて 7 秒が経過すると、起動シーケンスが開始します。 3 94 GRUB メニューの矢印キーを使用して、[SUSE Linux Enterprise Server for VMware] を選択します。 VMware, Inc. 第 2 章 Log Insight のトラブルシューティング 4 スペースバーを押して、「init=/bin/sh」と入力し、Enter を押します。 カーネルがシェル モードで起動します。 5 シェルで「passwd」と入力し、Enter を押し、画面上の手順に従って root パスワードを変更します。 パスワードは 8 文字以上を指定する必要があります。大文字、小文字、数字、および特殊文字($ や & など)をそ れぞれ 1 文字以上含める必要があります。同じ文字の繰り返し回数が 4 回を超えてはなりません。 6 シェルで「reboot」と入力します。 次に進む前に Log Insight が再起動したら、root ユーザーとしてログインできることを確認します。 vRealize Operations Manager にアラートを配信できない場合 vRealize Operations Manager にアラート イベントを送信できない場合は、Log Insight によって通知されます。問題 が解決されるまで、Log Insight は 1 分ごとにアラートを送信しようとします。 問題 vRealize Operations Manager にアラートを配信できなかった場合は、Log Insight ツールバーに感嘆符を含む赤い記 号が表示されます。 原因 接続に問題があると、Log Insight は vRealize Operations Manager にアラート通知を送信できません。 解決方法 n 赤いアイコンをクリックしてエラー メッセージのリストを開き、下にスクロールして最新メッセージを表示します。 エラー メッセージのリストを開くか、問題が解決されると、ツールバーに赤い記号が表示されなくなります。 n vRealize Operations Manager の接続問題を解決するには、次の手順を試してください。 n n vRealize Operations Manager vApp is がシャットダウンしていないことを確認します。 Log Insight Web ユーザー インターフェイスの [管理] ページの [vRealize Operations Manager] セクション にある [接続をテスト] ボタン を押して、vRealize Operations Manager に接続できることを確認します。 n vRealize Operations Manager に直接ログインして、使用している認証情報が正しいことを確認します。 n Log Insight および vRealize Operations Manager ログ内に、接続問題に関連するメッセージがあるか確認し ます。 n vRealize Operations Manager vSphere ユーザー インターフェイスでアラートが除外されていないことを確 認します。 Active Directory の認証情報を使用してログインできない Active Directory の認証情報を使用している場合は、Log Insight Web ユーザー インターフェイスにログインできません。 問題 管理者がユーザーの Active Directory アカウントを Log Insight に追加した場合でも、Active Directory ドメイン ユー ザーの認証情報を使用して Log Insight にログインすることはできません。 原因 最も一般的な原因は、パスワードの期限切れ、認証情報の間違い、接続問題、または Log Insight 仮想アプライアンスと Active Directory クロック間の非同期です。 VMware, Inc. 95 VMware vRealize Log Insight 管理ガイド 解決方法 n お使いの認証情報が有効であること、パスワードの期限が切れていないこと、およびお使いの Active Directory ア カウントがロックされていないことを確認してください。 n Active Directory 認証に使用するドメインを指定していない場合 は、/usr/lib/loginsight/application/etc/loginsight-config-base.xml で、Log Insight 構成に 格納されたデフォルト ドメインに対するアカウントを保持していることを確認します。 n また、Log Insight が Active Directory サーバに接続していることを確認します。 n Log Insight Web ユーザー インターフェイスの [管理] ページの [認証] セクションに移動してユーザー認証情 報を入力し、[接続をテスト] ボタンをクリックします。 n Log Insight の /storage/var/loginsight/runtime.log 内に DNS 問題に関連したメッセージがないか 確認します。 n Log Insight および Active Directory のクロックが同期していることを確認します。 n Log Insight の /storage/var/loginsight/runtime.log 内にクロック スキューに関連したメッセージ がないか確認します。 n NTP サーバを使用して Log Insight と Active Directory のクロックを同期します。 STARTTLS オプションが有効な場合 SMTP が機能しない SMTP サーバを構成するときに STARTTLS オプションを有効にすると、テスト電子メールの送信に失敗します。この問題 を解決するには、Java トラストストアに SMTP サーバの SSL 証明書を追加します。 開始する前に n Log Insight 仮想アプライアンスにログインするための root ユーザー認証情報があることを確認してください。 n SSH を使用して Log Insight 仮想アプライアンスに接続する場合は、TCP ポート 22 が開いていることを確認します。 手順 1 Log Insight vApp との SSH 接続を確立し、root ユーザーとしてログインします。 2 SMTP サーバ の SSL 証明書を Log Insight vApp にコピーします。 3 次のコマンドを実行します。 `/usr/java/latest/bin/keytool -import -alias <certificate_name> -file <path_to_certificate> -keystore /usr/java/latest/lib/security/cacerts` 注意 キーボードのチルダと同じキーにあるバッククオート記号を使用して、外側引用符が挿入されます。単一引用 符は使用しないでください。 4 デフォルト パスワードの changeit を入力します。 5 service loginsight restart コマンドを実行します。 次に進む前に [管理] - [Smtp] に移動して、[テスト電子メールの送信] を使用して設定をテストします。を参照してください。 「Log Insight の SMTP サーバの構成 (P. 60)」 96 VMware, Inc. 第 2 章 Log Insight のトラブルシューティング .pak ファイルの署名を検証できなかったためのアップグレードの失敗 Log Insight のアップグレードが、.pak ファイルの破損、ライセンスの期限切れ、またはディスク領域の不足のために 失敗します。 問題 Log Insight のアップグレードが失敗し、次のエラー メッセージが表示されます。アップグレードに失敗しました。アップグレード に失敗しました:PAK ファイルの署名が検証できません。 原因 このエラーは次の原因で発生する場合があります。 n アップロードされたファイルが .pak ファイルではない。 n アップロードされた .pak ファイルが完全ではない。 n Log Insight のライセンスが期限切れになっている。 n Log Insight 仮想アプライアンスの root ファイル システムに十分なディスク領域がない。 解決方法 n .pak ファイルをアップロードしていることを確認します。 n VMware ダウンロード サイトに対して .pak ファイルの md5sum を確認します。 n Log Insight 上で少なくとも 1 つの有効なライセンスが構成されていることを確認します。 n Log Insight 仮想アプライアンスにログインし、df -h を実行して使用可能なディスク領域を確認します。 注意 Log Insight 仮想アプライアンスの root ファイル システム上にはファイルを置かないでください。 内部サーバ エラーによるアップグレードの失敗 接続の問題を原因とする内部システム エラーによって、Log Insight のアップグレードが失敗します。 問題 Log Insight のアップグレードが失敗すると、エラー メッセージ アップグレードが失敗しました。内部サーバ エラー が表示され ます。 原因 クライアントとサーバ間で接続の問題が発生しています。たとえば、WAN 上にあるクライアントからアップグレードす る場合が挙げられます。 解決方法 u VMware, Inc. サーバと同じ LAN 上にあるクライアントから LI をアップグレードします。 97 VMware vRealize Log Insight 管理ガイド 98 VMware, Inc. インデックス A Active Directory グループ 23 ユーザー 22 Active Directory の認証情報 95 AD SSL 76, 77 TCL 76 グループ 23 認証 76 ユーザー 22 エージェント、パラメータを指定したインストール 27 API 81 C CLI のアップグレード 10 CPU の追加 88 E ESXi 構成 63 ESXi の構成 63 I IP アドレス 構成 8 変更 8 IP アドレス設定 8 L LDAP SSL 77 Linux Agent bin パッケージのアンインストール 48 bin パッケージのインストール 43 deb パッケージのアンインストール 47 DEB パッケージのインストール 43 RPM パッケージのアンインストール 47 RPM パッケージのインストール 42 概要 41 ターゲット サーバの設定 44 フラット ファイルの収集 45 ログ ファイルからのイベントの収集 45 Linux Agent サポート バンドル 48 Linux Agent の構成 44 Log Insight エージェント 54, 82 Log Insight アーカイブ形式 84 VMware, Inc. Log Insight の統合 61 Log Insight syslog サーバとして実行 63 UI を使用したアップグレード、クラスタへの アップグレード 12 Log Insight エージェントのトラブルシューティング 49 Log Insight Linux Agent 53, 55, 81 Log Insight Linux Agent のトラブルシューティン グ 49 Log Insight Windows Agent 53, 55, 81 Log Insight Windows Agent のトラブルシューティ ング 49 Log Insight アダプタ 69, 74 Log Insight クラスタ、ワーカー ノードの追加 12 Log Insight の通知 68 N NFS 75 P PAK ファイル エラー 97 PEM ファイル、作成 80 R ロール ベースのアクセス制御 20, 21, 24 root SSH 8 root のパスワード 8, 94 RPM パッケージ更新 53 S SMTP 60 SMTP のトラブルシューティング 96 SSH root 8 SSL 77, 85 SSL 構成 82 SSL 証明書 77 SSL 接続 54 SSL 接続の強制 81 SSL 接続の構成 81 SSL の機能 81 SSL パラメータ 82 STARTTLS の SSL 証明書 96 STARTTLS のトラブルシューティング 96 S ys log 63 Syslog 構成 63 99 VMware vRealize Log Insight 管理ガイド U エージェントが表示されない 49 UI アップグレード 11, 12 エージェント構成 28 V エージェントのアンインストール 40 vCenter Server Appliance 66 vCenter Server アラーム 63 イベント 63 タスク 63 vCOps 統合 68 vRealize Operations Manager 61, 70 vRealize Operations Manager コンテンツ パック 70 vSphere の統合 61 エージェントの一括アップグレード 40 エージェント構成の例 37 エージェントの一括展開 40 エージェントの概要 26 エージェントの監視 20 エージェントの構成 39 か 外部ロード バランサー 55 カスタム SSL 証明書、アップロード 80 カスタム証明書 77 W Windows Agent 26, 27, 82 Windows Agent サポート バンドル、サポート バンド ル 41 Windows イベント チャネル イベントのフィールドおよび演算子 33 追加 31 フィルタの追加 32 Windows イベントの転送 38 仮想アプライアンスの健全性 17 仮想アプライアンスの展開 13 管理、概要 7 管理者パスワード 94 き 強制ログアウト 87 く クラスタ、クラスタ環境 55 あ アーカイブのエクスポート、JSON へのアーカイブのエ クスポート、テキスト ファイルへのアーカイ ブのエクスポート 85 アダプタ 69 アップグレード CLI 10 UI を使用した 11, 12 アップグレードの失敗 97 アップグレード パス 9 アプライアンスの展開 13 アラート送信できない 95 アラーム 63 暗号化されていないトラフィック 54 安全な接続 81 い 一括展開 39 一括展開の失敗 52 イベント、Windows イベント チャネルからの収集 31 イベント通知 61, 68 イベント転送、イベント転送の構成、イベントの転送 85, 86 イベントの転送、Log Insight Windows Agent への イベントの転送 38 インストール 13 クラスタのアップグレード 15 クラスタの管理 12 クラスタへの参加 14 クラスタ モード 14 グループ ポリシー オブジェクト 40 け 権限 21 検索ドメインの追加 68 健全性 17 こ 構成の一元化 36 構成の結合 37 コンテキストでの起動 無効化 73 有効化 70 コンテキストでの起動の無効化 74 コンテンツ パック 70 さ サーバによる接続の拒否 54 サービス、再起動しています 87 再起動しています 87 サポートされているアップグレード 9 サポート バンドル 48, 93 え エージェント構成のトラブルシューティング 50 100 VMware, Inc. インデックス し 時刻同期 59 自己署名証明書 53 自己署名証明書の拒否 53 システム アラート 60 システム通知 55, 56, 58 システムの健全性 17 システム ログ 93 証明書署名要求、生成 79 証明書ファイル、combine 80 署名証明書、アップロード 80 す スケール アウト アラート 58 vRealize Operations Manager 67 vSphere 61 統合ロード バランサー 17 特定のデータへのユーザー アクセス 24 ドメイン アカウント 22 ドメイン グループ 23 トラブルシューティング ESXi ログ 91 RPM パッケージ更新 53 トラブルシューティング エージェント 49, 52 取り込みロード バランサー 17 トレース データ、送信停止 88 トレース データの無効化 88 ストレージの増加 18 な すべてのユーザーのログアウト 87 内部サーバ エラー 97 せ に セキュリティ ポリシー 20 認証局への署名要求 79 セキュリティ モデル 20 セッションのタイムアウト 83 の そ ノードの削除 12, 16 送信接続 52 送信例外ルール 51 た ターゲット サーバの設定 30 対象読者 5 タイムアウト、変更 83 タイムアウト、無効化 83 タイムアウトの無効化 83 タスク 63 つ 通知、Log Insight 68 ノードのアップグレード 12, 15 は パスワード 管理者 94 root 94 パスワード SSH 8 パワーオフ 87 ふ ファイアウォール接続の許可 52 ファイアウォール例外の追加 51 複数のエージェントの構成 36 複数マシンへの展開 39 ツールバーの赤い記号 95 フラット ファイルの収集 35 て ほ ディスクの追加 18 ホスト概要 19 ディスク領域不足 92 データ セット 24 データのアーカイブ 75 デフォルトのエージェント設定 28 デフォルトの構成 28 デフォルトの構成でのインストール 27 デフォルトのタイムアウト 83 電子メールのシステム アラート 60 と 統合 vCenter Server 61 VMware, Inc. ホスト監視 19 ホスト リスト 19 ま マスター ノード 14 間違ったエージェント構成 50 め メモリの追加 88 ゆ 有効なエージェント構成 37 ユーザー、管理 20 101 VMware vRealize Log Insight 管理ガイド ユーザー アカウント 削除 26 新規 21 ユーザー ロール 25 ユーザー ロールの作成 25 ユーザー ロールの変更 25 ユーザー ログイン 21 ら ライセンス 9 ろ ロード バランサー 63 ロール 21 ログ ファイル 93 ログインできない 95 ログ詳細レベル 49 ログ デバッグ レベル 49 ログ デバッグ レベルの変更 49 ログのインポート 84 ログの転送 ESXi 63 ESXi Syslog 64 S ys log 65 vCenter Server Appliance 66 ログ ファイルからのイベントの収集 35 ログ ポリシー 18 わ ワーカーのアップグレード 15 ワーカー ノード 14 ワーカー ノード、クラスタへの追加 12 ワーカーの削除 16 ワーカーの追加 12 102 VMware, Inc.
© Copyright 2024