syslogサーバへのイベント転送

一般に、syslog転送の設定は3つの手順で構成されます。

1. ONTAPでのsyslog転送先サーバの作成
   • cluster-1::> event notification destination create -name syslog-ems -syslog syslog-server-address
     • イベント通知の送信先の作成
2. 選択したデスティネーションサーバに転送するEMSイベントのリストを識別するイベントフィルタを作成する
   • cluster-1::> event filter create -filter-name important_raid_event
     • イベントフィルタの作成
   • cluster-1::> event filter rule add -filter-name important_raid_events -type include -message-name raid.aggr.*
     • イベントフィルタルールの追加
   • cluster-1::> event filter show
     • event filter show
3. イベント通知を作成して、選択したイベントフィルタをsyslogサーバに転送します。
   • cluster-1::> event notification create -filter-name important-raid-events -destinations syslog-ems
     • イベント通知の作成

ONTAPでのシステムロギングに関するその他のガイド

• Syslog Express /管理ガイド
  • ONTAP 9
  • 8.3エクスプレスガイド
  • 8.3システム管理ガイド
  • 8.2 7-Mode
• 設定の詳細については、『Technical Guide - Logging in Clustered Data ONTAP』を参照してください。
  • 現在のところ、 syslogサーバに転送できるのはEMSイベントのみです。

ONTAP 9

• ONTAP 9.XでのEMS設定とイベント通知システムに対する変更
• EMS処理がONTAP 9.X向けに再設計されました。
• 「event notification」 コマンドを使用した通知の設定
• 9.Xでは、「event route」コマンドファミリーと「event destination」コマンドファミリーは廃止されました。
  • 廃止されたONTAPコマンドからEMSイベントマッピングを更新する
• 8.3.xからのアップグレード
  • ONTAP 9.Xにアップグレードしたら、ONTAPのドキュメントページ 「廃止されたONTAPコマンドからEMSイベントマッピングを更新」を使用し て、現在のイベント通知を変更します。
  • ONTAP 9.Xで古い8.3.x構成をすべて削除し、EMSイベントマッピングを最初から最初から開始するには、次の手順を実行します。

::> event route remove-destinations -message-name !callhome.* -destinations *

::> event route modify -message-name callhome.* -destinations asup

clustered Data ONTAP（8.X）

•  clustered Data ONTAPでは、/etc/syslog.confファイルの廃止
• このため、リモートsyslogホストに送信される内容は、設定によって制御されます。
• syslogは、event routeコマンドとevent destinationコマンドを使用して設定できます。

7-Mode

• Data ONTAP 7-Modeでは、syslogdデーモンがシステムメッセージをコンソール、ログファイル、および構成ファイル/etc/syslog.confで指定されているその他のリモートシステムに記録します。
• syslogdデーモンは、ブート手順中、または/etc/syslog.confファイルが変更されてから30秒以内に自身の構成ファイルを読み取ります。
• 構成ファイルの形式については、 na_syslog.conf（5）を参照してください。
  • 7-Modeの構成ファイルの例

 # Log all kernel messages, and anything of level err or # higher to the console. *.err;kern.* /dev/console # Log anything of level info or higher to /etc/messages. *.info /etc/messages # Also log the messages that go to the console to a remote # loghost system called adminhost. *.err;kern.* @adminhost # Also log the messages that go to the console to the local7 # facility of another remote loghost system called adminhost2 # at level info. *.err;kern.* local7.info@adminhost2 # The /etc/secure.message file has restricted access. auth.notice /etc/secure.message

syslogサーバから接続（ネットワーク）の問題をテストするには、次の手順を実行します。

1. Wiresharkプログラムをダウンロードしてインストールします。
2. [キャプチャ]メニューを使用して、[キャプチャオプション]フォームを開きます。
3. ONTAPノードに接続するNICを選択し、UDPポート514（デフォルトのsyslogポート）に送信されるすべてのパケットを検索するキャプチャフィルタを定義します。
4. [Start]ボタンを押すと、パケットが送信されていることがわかります。
5. キャプチャを停止してデータを表示します。プロトコルがSyslogであるパケットが表示されます。
6. メッセージを受信していない場合は、pingコマンドとtracerouteコマンドを使用してsyslogサーバへの接続を確認します。

ONTAP 9

• ONTAP 9で 次のコマンドを実行して、EMSメッセージが作成されたかどうかを確認したり、syslogサーバへの接続を確認したりできます。

::> set diag

::*> event notification destination check -node {nodename>|local} -destination-name <dest>   

::*> event notification history show

• event notification destination checkコマンドは 、テストメッセージを送信して送信先への接続を確認します。
  • 送信先は、event notification destinationコマンドを使用して事前に設定しておく必要があります。
  • メッセージが送信先に正常に送信されたかどうかを示す結果が表示されます。
  • 障害が発生した場合は、notifyd.logファイルに詳細情報が記載されています。
    • 注：現時点では、このコマンドでチェックできるのはrest-apiタイプのデスティネーションへの接続のみです。
• event notification history showコマンドは、通知先に送信されたイベントメッセージのリストを表示します。
  • コマンドによって各イベントについて表示される情報は、event log showコマンドの情報と同じです。
  • このコマンドは通知先に送信されたイベントを表示しますが、event log showコマンドはログに記録されたすべてのイベントを表示します。