この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。
結論
Collector インストール時に 同じSource の構成情報を持った JSON ファイルを読み込ませて、SourceCategory を揃えることが出来ます。
これにより、複数台あるクライアント端末のログが同じ _sourceCategory に属するため、各端末のログを一括で検索出来るようになります。
今回ご紹介する方法でご準備いただき、複数端末に Collector のインストーラ + Source の構成ファイルをコンテンツ配信ツールなどで配信 → 各端末にスタートアップなどで、Collector をインストールするように指定いただければと思います。
なお、※ Windows 64bit 版を例に書いてあります。
対象とする読者
- Source 情報を揃えて、Collector を複数の端末に効率よくインストールしたい
- なおかつ、Collector はまだインストールしてない
全体のフロー
- Collector のダウンロード
- Source 構成の JSON ファイル作成
- Token 取得
- コマンドの作成
- Collector のインストール
Collector のダウンロード
- Collector のインストーラが置かれている場所
Manage Data > Collection > Collection > Add Collector
Installed Collector を選択
今回は、Windows 64bit 版を使用します。クリックしてダウンロードしておきます。
Source 構成の JSON ファイル作成
ファイルの作成には、2通りの方法があります。 下記いずれにしても、○○.json 形式で保存してください。
既存の Source 構成を使用する
PoC 段階で、作成した Source 情報があれば、そちらを使いまわすことも出来ます。
Manage Data > Collection > Collection > Source 名の一番右にある i マークを選択
ポップ画面の Copy を選択して、JSON データを ○○.json 形式で保存する
Source 情報の新規作成
JSON 形式で Source を構成します。
パラメータは、すべての Source 共通のものと、Source のファイルタイプごとに異なるものがあります。詳細は下記をご参照ください。
Source の共通パラメータ | Sumo Logic
Installed Collector のログソース | Sumo Logic
例として、Source 名や、SourceCategory 名は、下記のパラメータ値で決まります。
- 共通
- Local Windows Event Log Source
・name
Source 名
・Category
SourceCategory 名
・sourceType
ここで、Source の種類を決めます。
Windows のローカルイベントログを取得する場合は、LocalWindowsEventLog が入ります。
Token の取得
Sumo Logic アカウントごとに下記の場所に Token が保管されています。ない場合は、Add Token で新規作成できます。
Administration > Security > Installation Tokens
Token をメモ帳などに貼り付ける
コマンドの作成
- Token を使用して、Windows の Collector をインストールするコマンド
SumoCollector.exe -console -q "-Vsumo.token_and_url=" "-Vsources="オプション
- -console
- -q
インストールの進行状況を画面に表示させるものです。
サイレントインストールさせる際には不要なので、必要であれば外してください。
-console オプションは、-q コマンドと併用しなければ使用できません。
インストーラーをサイレントモードで実行します。
Token と Source.json
- -Vsumo.token_and_url=
- -Vsources=
先ほど取得した Token を入れます。
先ほど作成した ○○.json のファイルパスを入れます。
完成系の例)
\Users\Administrator\Desktop\SumoLogic\SumoCollector_windows-x64_19_418-5.exe -q "-Vsumo.token_and_url= 取得した Token" "-Vsources=\Users\Administrator\Desktop\SumoLogic\TestSource.json"<br />OS ごとのインストールコマンド
OS ごとに Collector のインストールコマンドが異なります。下記でコマンドをご確認ください。
- コマンドラインでのインストール方法
- コマンドラインインストーラーのパラメータ
Collector のインストール後
コマンドを実行して、Finishing installation... が出力されれば完了です。
Sumo Logic の Collection 画面を確認して、Collector + Source が存在していることと、Source の Health に緑のチェックがついていることを確認してください。
ログ検索
Q.複数端末のログを一括検索できるのはいいが、特定の端末のログを検索したいときはどうしたらよいのか?
A._sourceCategory="hoge" and _collector="huga" で検索していただければ、ホストにインストールされた Collector 単位で検索可能です。
まとめ
今回ご紹介させていただいた方法で Collector をインストールしていただくと、非常に効率よく複数端末のログを一括検索できる Source 構成が取れます。 ちなみに複数端末のログを一括検索する方法としてパーティションを分けたり、クエリの際に and を使うのも手ですが、端末の数が数百と多い場合は、同じ Source 構成を保持させる方が工数を削減しつつ「複数端末のログを一括検索」出来ます。
16
