メインコンテンツまでスキップ
NetApp Response to Russia-Ukraine Cyber Threat
In response to the recent rise in cyber threat due to the Russian-Ukraine crisis, NetApp is actively monitoring the global security intelligence and updating our cybersecurity measures. We follow U.S. Federal Government guidance and remain on high alert. Customers are encouraged to monitor the Cybersecurity and Infrastructure Security (CISA) website for new information as it develops and remain on high alert.

Syslog サーバへのイベント転送

Views:
2,784
Visibility:
Public
Votes:
0
Category:
ontap-9
Specialty:
core
Last Updated:

すべてのとおり  

環境

  • ONTAP 9
  • Data ONTAP 8.3

回答

  • ここでは、 syslog の運用とトラブルシューティングの一般的なワークフローの一覧を示します。
    • ただし、これは包括的なリストではありません。
  • これを使用すると、検索対象を、特定のカテゴリに分類された、より一般的なトラブルシューティング KBs に絞り込むことができます。

概要

  • EMS イベントは syslog 標準に準拠しています。これは、リアルタイム監視のために syslog サーバに転送できるためです。
  • ログは、 clustered Data ONTAP オペレーティングシステムによって生成され、クラスタ上のフラットテキストファイルに記録される、重大度が高いイベントトリガー型メッセージです。
  • ログは、管理者、ネット™ アップサポート、および AutoSupport システムがさまざまな問題の根本原因を特定して特定するための主要なリソースです。
  • ログはさまざまな方法で収集、表示、および転送できます。
    • この記事では、 Syslog について説明します。
  •  Syslog は、コンピュータのメッセージロギング用に定義された標準です。
  • この標準は、 RFC 5424 の IETF によって定義されています。Syslog では、管理者がソフトウェアの動作を適切に監視し、送信されたメッセージを受信および分析できるツールを利用できるように、ソフトウェアがメッセージをフォーマットおよび送信する方法を定義します。
  • この標準は汎用的に認識されるため、管理者は syslog 転送をサポートするすべての資産をリアルタイムで監視できます。
  • syslog メッセージには、メッセージを生成して重大度を割り当てたプロセスまたはアプリケーションを示すファシリティコードが表示されます。

syslog 転送の設定方法

7-Mode と clustered Data ONTAP の相違点
 
7-Mode
  • Data ONTAP 7-Mode では、 syslogd デーモンが、構成ファイル /etc/syslog.conf で指定されているとおりに、コンソール、ログファイル、およびその他のリモートシステムにシステムメッセージをログに記録します
  • syslogd デーモンは、ブート手順中に起動したとき、または /etc/syslog.conf ファイルが変更されてから 30 秒以内に、このデーモンの構成ファイルを読み取ります。
  • 構成ファイル [1]の形式については、 na_syslog.conf ( 5 )を参照してください。
  • 7-Mode の構成ファイルの例
  # Log all kernel messages, and anything of level err or
  # higher to the console.
  *.err;kern.*                 /dev/console
 
  # Log anything of level info or higher to /etc/messages.
  *.info                        /etc/messages
 
  # Also log the messages that go to the console to a remote
  # loghost system called adminhost.
  *.err;kern.*                  @adminhost
 
  # Also log the messages that go to the console to the local7
  # facility of another remote loghost system called adminhost2
  # at level info.
  *.err;kern.*                  local7.info@adminhost2
 
  # The /etc/secure.message file has restricted access.
  auth.notice                   /etc/secure.message
 

 
clustered Data ONTAP
  •  clustered Data ONTAP では、 /etc/syslog.conf ファイルは廃止されました。
  • したがって、リモート syslog ホストへの送信内容は設定によって制御されます。
  • syslog を設定するには、 event route コマンドと event destination コマンドを使用します。

ONTAP 9.x での ONTAP 9 の設定が EMS 設定およびイベント通知システムに変更されました
8.3.x からアップグレードしています

ONTAP 9.0 にアップグレードしたあとに、 EMS 構成エクスプレスガイドを参照して EMS 通知を再設定してください。

  • 現在の設定を削除するには、次の手順を実行します。
::>event route remove-destinations -message-name !callhome.* -destinations *
::>event route modify -message-name callhome.* -destinations asup
 
Syslog トランスレータとは何ですか。

既知エラー
特定の障害現象は、 Data ONTAP の構成やバージョンによって異なります

エラー: NFS マウントトレースメッセージ /etc/messages がコンソールにログインされていません。
トラブルシューティング
  • syslog に関連する問題のトラブルシューティングでは、最も一般的な問題は次のとおりです。
    • 設定の問題
    • syslog サーバへの接続
    • 設定の問題:
      •  追加のサポートが必要なセットアップガイドと関連文書を確認します
    • 接続テストの場合:
      • Syslog サーバでメッセージを受信できない場合は、 Wireshark などの無料パケットキャプチャプログラムを使用できます。
      • このプログラムでは、ネットワークインターフェイスカード( NIC )に送信されるパケットをキャプチャできます。このトラフィックをフィルタリングして分析することで、ネットワークデバイスが実際にシステムに必要な情報を送信しているかどうかを判断できます
セットアップするには:
  1. Wireshark からプログラムをダウンロード してインストールします。
  2. [ キャプチャ ] メニューを使用して、 [ キャプチャオプション ] フォームを開きます。
  3. NIC を選択し、 UDP ポート 514 (デフォルトの syslog ポート)に送信されるすべてのパケットを検索するキャプチャフィルタを定義します。
  4. [ 開始 ] ボタンを押すと、パケットが送信されていることがわかります。
  5. キャプチャを停止してデータを表示します。プロトコルが Syslog であるパケットが表示されるはずです。
  6. メッセージを受信していない場合は、 ping コマンドと traceroute コマンドを使用して、 syslog サーバへの接続を確認します。
 
ONTAP 9
  • 9.x では、次のコマンドを実行して、 EMS メッセージが作成されたかどうかを確認し、 syslog サーバへの接続を確認することもできます。
::>event notification destination check
::>event notification history show
  • event notification destination checkコマンドは、テストメッセージを送信して、送信先への接続をチェックします。
    • event notification destination コマンドを使用して、デスティネーションを事前に設定しておく必要があります。
    • コマンドを実行すると、メッセージが送信先に正常に送信されたかどうかを示す結果が表示されます。
    • エラーが発生した場合は、 notifyd.log ファイルに詳細情報が記録されています。
    • 注:現時点では、このコマンドで確認できるのは、 REST API タイプのデスティネーションへの接続のみです。
  • event notification history show コマンドを使用すると、通知の送信先に送信されたイベントメッセージのリストが表示されます。
    • 各イベントについてコマンドで表示される情報は、 event log show コマンドの情報と同じです。
    • このコマンドは、 event log show コマンドを実行したときに通知の送信先に送信されたイベントを表示します。

 

Scan to view the article on your device