Syslog サーバへのイベント転送

一般に、syslog転送の設定は次の3つの手順で構成されます。

1. ONTAPでsyslogのデスティネーションサーバを作成します。
   • event notification destination create -name syslog-ems -syslog syslog-server-address
     • イベント通知の送信先の作成
2. 選択したデスティネーションサーバに転送するEMSイベントのリストを識別するイベントフィルタを作成します。
   • cluster-1::event*> event filter create -filter-name test_event
     • イベントフィルタの作成
   • cluster-1::event*> event filter rule add -filter-name test_events -type include -message-name raid.aggr.*
     • イベントフィルタルールの追加
   • cluster-1::event*> event filter show
     • event filter show
3. イベント通知を作成して、選択したイベントフィルタをsyslogサーバに転送します。
   • event notification create -filter-name important-events -destinations syslog-ems
     • イベント通知の作成

ONTAPでのシステムロギングに関するその他のガイド：

• Syslogエクスプレス/管理ガイド（9、 8.3エクスプレスガイド、8.3 システムアドミニストレーションガイド、8.2 7-Mode）
• 設定の詳細については、『Technical Guide - Logging in Clustered Data ONTAP』を参照してください。
  • 現在のところ、 syslogサーバに転送できるのはEMSイベントのみです。 

7-Mode

• Data ONTAP 7-Modeでは、syslogdデーモンがシステムメッセージをコンソール、ログファイル、および構成ファイル/etc/syslog.confで指定されているその他のリモートシステムに記録します。
• syslogdデーモンは、ブート手順中、または/etc/syslog.confファイルが変更されてから30秒以内に自身の構成ファイルを読み取ります。
• 構成ファイルの形式については、 na_syslog.conf（5）を参照してください。
  • 7-Modeの構成ファイルの例

 # Log all kernel messages, and anything of level err or # higher to the console. *.err;kern.* /dev/console # Log anything of level info or higher to /etc/messages. *.info /etc/messages # Also log the messages that go to the console to a remote # loghost system called adminhost. *.err;kern.* @adminhost # Also log the messages that go to the console to the local7 # facility of another remote loghost system called adminhost2 # at level info. *.err;kern.* local7.info@adminhost2 # The /etc/secure.message file has restricted access. auth.notice /etc/secure.message

clustered Data ONTAP（8.X）

•  clustered Data ONTAPでは、/etc/syslog.confファイルは廃止されました。
• したがって、リモートsyslogホストに送信される内容は、設定によって制御されます。
• syslogは、event routeコマンドとevent destinationコマンドを使用して設定できます。

ONTAP 9

• ONTAP 9.XでのEMS設定とイベント通知システムに対する変更
• EMS処理がONTAP 9.X向けに再設計されました。
• 「event notification」 コマンドを使用して通知を設定できるようになりました。
• 9.Xでは、「event route」コマンドファミリーと「event destination」コマンドファミリーは廃止されました。
• 廃止されたONTAPコマンドからEMSイベントマッピングを更新する
• 8.3.xからのアップグレード
  • ONTAP 9.Xにアップグレードしたら、ONTAPのドキュメントページ 「廃止されたONTAPコマンドからEMSイベントマッピングを更新」を使用し て、現在のイベント通知を変更します。
  • ONTAP 9.Xで古い8.3.x構成をすべて削除し、EMSイベントマッピングを最初から最初から開始するには、次の手順を実行します。

::>event route remove-destinations -message-name !callhome.* -destinations *
::>event route modify -message-name callhome.* -destinations asup

syslogサーバから接続（ネットワーク）の問題をテストするには、次の手順を実行します。

1. プログラム Wiresharkをダウンロードしてインストールします。
2. [キャプチャ]メニューを使用して、[キャプチャオプション]フォームを開きます。
3. ONTAPノードに接続するNICを選択し、UDPポート514（デフォルトのsyslogポート）に送信されるすべてのパケットを検索するキャプチャフィルタを定義します。
4. [Start]ボタンを押すと、パケットが送信されていることがわかります。
5. キャプチャを停止してデータを表示します。プロトコルがSyslogであるパケットが表示されます。
6. メッセージを受信していない場合は、pingコマンドとtracerouteコマンドを使用してsyslogサーバへの接続を確認します。

ONTAP 9

• ONTAP 9では、次のコマンドを実行してEMSメッセージが作成されたかどうかを確認したり、syslogサーバへの接続を確認したりできます。

::> set diag
::*> event notification destination check -node {nodename>|local} -destination-name <dest>   

::>event notification history show

• event notification destination checkコマンドは、テストメッセージを送信して送信先への接続を確認します。
  • 送信先は、event notification destinationコマンドを使用して事前に設定しておく必要があります。
  • メッセージが送信先に正常に送信されたかどうかを示す結果が表示されます。
  • 障害が発生した場合は、notifyd.logファイルに詳細情報が記載されています。
    • 注:現時点では、このコマンドはrest-apiタイプのデスティネーションへの接続のみをチェックできます。
• event notification historyshowコマンドを実行すると、通知先に送信されたイベントメッセージのリストが表示されます。
  • コマンドによって各イベントについて表示される情報は、event log showコマンドの情報と同じです。
  • このコマンドは通知先に送信されたイベントを表示し、event log showコマンドはログに記録されたすべてのイベントを表示します。