|
|
|
CA Enterprise Log Manager では、syslog ソースからイベントを直接受信できます。 複数の異なるログ ソースが CA Enterprise Log Manager に同時にイベントを送信できるため、syslog の収集は他の収集方法とは異なります。 2 つの使用可能なイベント ソースとして、ネットワーク ルータと VPN コンセントレータについて考えてみます。 いずれも syslog を使用して CA Enterprise Log Manager に直接イベントを送信できますが、ログ形式と構造が異なります。 syslog エージェントは、提供された syslog リスナを使用して、同時に両方の種類のイベントを受信できます。
一般的に、イベント収集は次の 2 つのカテゴリに分類されます。
リスナは指定されたポートのすべてのトラフィックを受信するため、複数の syslog イベント ソースが 1 つのコネクタを使用してイベントを転送できます。 CA Enterprise Log Manager は任意のポートで syslog イベントを待ち受けることができます (root 以外のユーザでエージェントを実行している場合は、1024 より小さいポートの使用に対する制限がある場合があります)。標準ポートでは、さまざまなタイプの syslog イベントで構成されるイベント ストリームを受信する場合があります。 このイベントには、UNIX、Linux、Snort、Solaris、CiscoPIX、Check Point Firewall 1 などが含まれます。 CA Enterprise Log Manager は、専用のタイプの統合コンポーネントであるリスナを使用して syslog イベントを処理します。 リスナと統合に基づいて、次のように syslog コネクタを作成します。
1 つの syslog コネクタが多くのイベント ソースからのイベントを受信する場合があるため、そのタイプやソースに基づいて、syslog イベントをルーティングするべきかどうかを検討する必要があります。 次のように、環境のサイズおよび複雑さによって、syslog イベントの受信のバランスをどのように保つかを判断します。
1 つのコネクタがさまざまな syslog ソースからのイベントを処理する必要があり、イベント ボリュームも多い場合、コネクタは、イベントに一致するものを見つけるまで、適用されたすべての統合(XMP ファイル)を使用して解析する必要があります。 処理量が非常に多くなるため、パフォーマンスが低下する場合があります。 一方で、イベント ボリュームがそれほど多くない場合は、保存する必要のあるすべてのイベントを収集するのに、デフォルト エージェントの 1 つのコネクタを使用すれば十分である場合があります。
1 つの syslog タイプからのイベントを処理するために一連の単一のコネクタを設定する場合、負荷を複数のコネクタに分散させることによって、処理の負荷を軽くすることができます。 一方で、各コネクタは個別の処理を必要とする別々のインスタンスであるため、1 つのエージェントで実行するコネクタが多すぎると、パフォーマンスが低下する場合があります。
環境内で特定のタイプの syslog イベントのボリュームが多い場合、コネクタがそのタイプだけを収集するように設定することも可能です。 環境内でイベント ボリュームが少ない複数のタイプの syslog イベントを 1 つ以上の他のコネクタで収集するように設定できます。 この方法を使用すれば、少数のコネクタ間で syslog イベント収集の負荷を分散でき、パフォーマンスを改善できます。
必ずしも独自の syslog リスナを作成する必要はありませんが、必要に応じて独自のリスナを作成することもできます。 別の syslog リスナを作成して、ポートに異なるデフォルト値を使用したり、トラステッド ホストなどを使用できます。 これによって、たとえばたくさんのコネクタを syslog イベントのタイプごとに作成する場合、コネクタの作成が簡略化されます。
| Copyright © 2010 CA. All rights reserved. | このトピックについて CA Technologies に電子メールを送信する |