サーバのログ監視ツールを使いこなそう:Linux管理者への道(4)(3/3 ページ)
ログを取得しても、監視していなければ意味がない。しかし、常時監視するのは現実的ではない。異常の発生をメールで通知させるなどの対策を行っておこう。(編集局)
Logwatchによるログの定期チェック
swatchは出力されるログを監視して、指定したパターンが現れたときにアクションを起こすツールでした。しかし、パターンの含まれる行がそのまま表示されるため、ログを見慣れていないと少し戸惑うかもしれません。これに対して、「Logwatch」は(デフォルトでは)毎日夜間に実行され、ログから特定のパターンを含む行を比較的見やすい状態に加工して表示させることが可能です。
Logwatchのインストール
最近のRed Hat LinuxはLogwatchがデフォルトでインストールされていますが、多くの場合バージョンが古いので、一度アンインストールします。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
2002年11月2日現在のLogwatchの最新バージョンは4.2.1です。http://www.logwatch.org/からlogwatch-4.2.1.tar.gzファイルをダウンロードします。
ダウンロードしたファイルを展開して設定を行います。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
以上で、Logwatchのデフォルト設定は完了です。cronにより、毎日実行されます。実行される時間は、/etc/crontabで確認できます。crontabファイルには毎月、毎週、毎日、毎時に実行する時刻などが定義されています。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
上記より、「/etc/cron.daily」ディレクトリにあるスクリプトは4時2分に実行されることが確認できます。
Logwatchの設定
Logwatchの設定ファイルは、「/etc/log.d/conf/logwatch.conf」です。このファイルの書式は以下のようになります。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
NameおよびValueに指定する設定は、表4のとおりです。
| Name | Value | 内容 |
|---|---|---|
| LogDir | パス | チェックするログのあるディレクトリのパスを指定 |
| MailTo | アドレス | メールの送信先を指定 |
| Yes | メール送信の代わりにコンソールに表示 | |
| No | メールを送信 | |
| UseMkTemp | Yes | mktempコマンドを利用して、一時ファイルを作成 |
| No | 「-d」オプションに対応していないmktempコマンドの場合に指定 | |
| Save | ファイル | レポートの保存先を指定 |
| Archives | Yes | アーカイブされたログをチェックする |
| No | アーカイブされたログをチェックしない | |
| Range | All | 指定したログディレクトリのすべてのファイルを対象 |
| Today | 当日のログのみを対象 | |
| Yesterday | 昨日のログのみを対象 | |
| Detail | High | レポートの詳細度を指定。0?10の数字で指定することも可能。0=Low、5=Med、10=Highに対応 |
| Med | ||
| Low | ||
| Service | ファイル | 特定のサービスのみチェックする。/etc/log.d/scripts/services/のファイル名で指定 |
| LogFile | ファイル | 特定のログファイルのみチェックする |
| Mailer | ファイル | メールを送信する際のコマンド指定 |
| HostLimit | Yes | ローカルサーバのログのみを対象 |
| No | 転送されたログを含むすべてのログを対象 | |
| 表4 NameとValue | ||
/etc/log.d/conf/logwatch.confのデフォルト設定は、以下のようになっています。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
メール送信先のみの変更で問題なく使用可能です。デフォルトでコメントアウトされている設定はチェックする項目に制限をかけるためのものなので、特に使用する必要はありません。
具体的にどのような内容のログをチェックできるのかは、「/etc/log.d/scripts/services/」ディレクトリのファイルで確認できます。例えば、「init」ファイルには次のような行があります。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
これは、もしログに「Entering runlevel」の記述があればそれをチェックするという意味です。
以下は、ランレベル3で起動した場合に出力されるログの一部です。
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
例えば、initに関係するログが上記1行のみの場合は、
*** 一部省略されたコンテンツがあります。PC版でご覧ください。 ***
のように出力してくれます。また、デフォルトでディスクの空き容量なども出力するので、容量不足のチェックにも利用できます。
サーバの用途に合ったツール選択を
今回はログ関連ツールとして、リアルタイムに重要なログをそのまま確認できるswatchと、1日に1度ログをチェックして見やすく出力するLogwatchを紹介しました。サーバの使用目的に応じて、どちらかあるいは両方のツールを使用するとよいでしょう。このほかにもログに関するツールはいろいろありますが、一長一短を見極めて適切に使用しましょう。
Copyright © ITmedia, Inc. All Rights Reserved.