Kaseya 2 Configuring Log Parsers Step-by-Step Guide de démarrage rapide pour VSA 6,0 June 10, 2010
About Kaseya Kaseya is a global provider of IT automation software for IT Solution Providers and Public and Private Sector IT organizations. Kaseya's IT Automation Framework allows IT Professionals to proactively monitor, manage and maintain distributed IT infrastructure remotely, easily and efficiently with one integrated Web based platform. Kaseya's technology is licensed on over three million machines worldwide. Copyright 2000-2009 Kaseya International Limited. All Rights Reserved.
Contents Introduction 3 Étape 1 : créez une nouvelle définition d'analyseur de journal. 4 Étape 2 : saisissez le nom de l'analyseur et le chemin du fichier journal. 5 Étape 3 : spécifiez les modèles et définissez les paramètres 6 Étape 4 : affectez la définition de l'analyseur de journal 12 Étape 5 : définissez les conditions d'alerte et de collecte 13 Étape 6 : affectez les jeux d'analyse 15 Étape 7 : affichez le journal de surveillance des journaux 16 i
Introduction Introduction Le serveur VSA peut surveiller les données collectées de plusieurs fichiers journaux standard. La surveillance des journaux consolide cette fonctionnalité en récupérant des données de la sortie de tout fichier journal de type textuel. On compte notamment les fichiers journaux d'application, les fichiers syslog créés pour les systèmes d'exploitation Unix, Linux et Macintosh, et les périphériques réseau, tels que les routeurs Cisco. Pour vous éviter de télécharger toutes les données contenues dans ces fichiers journaux vers la base de données de KServer, la surveillance des journaux utilise des définitions de l'analyseur et des jeux d'analyse pour analyser chaque fichier journal et sélectionner uniquement les données qui vous intéressent. Les messages analysés s'affichent dans la fenêtre Surveillance des journaux, qui est accessible depuis l'onglet Journaux des agents de la page Connexion live > Données des agents ou Récapitulatif d'ordinateur. Vous pouvez également y accéder lorsque vous générez un rapport dans la page Agent > Journaux - Surveillance des journaux. Les utilisateurs peuvent éventuellement déclencher des alertes en générant un enregistrement de surveillance des journaux, comme défini dans Affecter les jeux d'analyse ou Récapitulatif de l'analyseur. Définitions de l'analyseur et jeux d'analyse Pour configurer Surveillance des journaux, il convient de distinguer deux types de configurations : les définitions de l'analyseur et les jeux d'analyse. Une définition de l'analyseur sert à : Localiser le fichier journal analysé. Sélectionner les données du journal en fonction du format, spécifié par un modèle. Remplir les paramètres avec les valeurs des données du journal. Éventuellement, formater l'entrée de journal dans Surveillance des journaux. Un jeu d'analyse filtre ensuite les données sélectionnées. Selon les valeurs des paramètres et les critères que vous définissez, un jeu d'analyse peut générer des entrées de surveillance des journaux et, en option, déclencher des alertes. Sans le filtrage assuré par le jeu d'analyse, la base de données du KServer grandirait rapidement. Par exemple, le paramètre de fichier journal appelé $FileServerCapacity$ serait en permanence mis à jour selon le dernier pourcentage d'espace libre pour un serveur de fichiers. Jusqu'à ce que l'espace libre passe sous le seuil des 20 %, vous n'avez pas besoin de générer une entrée dans la Surveillance des journaux ni de déclencher une alerte sur ce seuil. Un jeu d'analyse s'applique uniquement à la définition de l'analyseur pour le filtrage de laquelle il a été créé. Vous pouvez créer plusieurs jeux d'analyse pour chaque définition de l'analyseur. Chaque jeu d'analyse peut déclencher une alerte distincte sur chaque ID d'ordinateur auquel il est affecté. 3
Étape 1 : créez une nouvelle définition d'analyseur de journal. Étape 1 : créez une nouvelle définition d'analyseur de journal. Accédez à l'onglet Surveillance du VSA. Sélectionnez Analyseur de journal sous Surveillance des journaux. Cliquez sur le bouton Nouveau pour créer une nouvelle définition d'analyseur de journal. 4
Étape 2 : saisissez le nom de l'analyseur et le chemin du fichier journal. Étape 2 : saisissez le nom de l'analyseur et le chemin du fichier journal. Renseignez les éléments suivants : Nom de l'analyseur : nom de la définition d'analyseur de journal. Chemin du fichier journal : chemin complet du fichier journal à traiter. L'agent doit pouvoir accéder à ce chemin. Le fichier journal doit contenir des entrées de journal formatées. Les fichiers Unicode ne sont pas encore pris en charge. Par exemple : c:\logs\message.log. Remarque : vous pouvez utiliser l'astérisque (*) comme caractère générique dans le nom de fichier. Dans ce cas, le fichier le plus récent sera traité. Par exemple : c:\logs\message*.log. Lorsque vous avez saisi le nom de l'analyseur et le chemin du fichier journal, cliquez sur le bouton Enregistrer. La fenêtre s'agrandit pour inclure les définitions de paramètres. Information optionnelle Chemin d'accès au fichier journal d'archive : l'analyseur de journaux vérifie périodiquement les modifications apportées au fichier journal cible. Les entrées de journaux peuvent être archivées dans différents fichiers d'archive avant que l'analyseur de journaux puisse traiter ces entrées. Vous pouvez donc spécifier le chemin d'accès au fichier d'archive dans le champ Chemin d'accès au fichier journal d'archive. Par exemple : si message.log est archivé quotidiennement dans un fichier au format messageaaaammjj.log, vous pouvez spécifier c:\logs\message*.log dans le champ Chemin d'accès au fichier journal d'archive. L'analyseur de journal peut localiser le dernier fichier qu'il a traité car il conserve un signet correspondant. Description : description détaillée de l'analyseur de journal. 5
Étape 3 : spécifiez les modèles et définissez les paramètres Étape 3 : spécifiez les modèles et définissez les paramètres Modèle Le modèle sert à comparer avec l'entrée de journal dans le fichier journal pour extraire les données requises sous forme de paramètres. Dans le modèle, les paramètres sont encadrés du caractère $. Cela permet de distinguer clairement les paramètres par rapport au texte qui se trouve autour. Les caractères de l'entrée de journal sont comparés au modèle en respectant la casse. Modèle à une ligne pour analyser une entrée de journal à une ligne : le modèle contient une entrée d'une ligne et le fichier journal est traité ligne par ligne. Modèle multiligne pour analyser une entrée de journal multiligne : le modèle contient des entrées multiligne et le fichier journal est traité par blocs de lignes délimités. Remarque : la chaîne de caractères {tab} peut servir de caractère de tabulation et {nl} peut servir de retour à la ligne. {nl} ne peut pas être utilisé dans un modèle à une ligne. % peut être utilisé comme caractère générique. Astuce : il est plus facile de copier et de coller l'entrée de journal dans la zone d'édition Modèle, puis de remplacer les données nécessaires par les noms des paramètres, plutôt que d'essayer de créer un modèle d'entrée de journal en effectuant toute la saisie. Modèle de sortie Ce champ est facultatif. Il peut être utilisé pour formater le message lors de l'enregistrement de l'entrée de journal dans la base de données, sinon l'entrée de journal en elle-même est enregistrée en tant que message dans la base de données. Paramètres du fichier journal Une fois le modèle créé, vous devez définir la liste des paramètres utilisés par le modèle. Tous les paramètres du modèle doivent être définis, sinon l'analyseur renvoie une erreur. Les paramètres disponibles sont integer, unsigned integer, long, unsigned long, float, double, datetime, string. La longueur du nom de paramètre est limitée à 32 caractères. Chaîne de format de la date et de l'heure Un modèle de chaîne peut contenir un format de date et d'heure qui est utilisé pour analyser les informations de date et d'heure des entrées de journaux. Par exemple : AAAA-MM-JJ hh:mm:ss Formats : aa, aaaa, AA, AAAA : année à deux ou quatre chiffres M : mois à un ou deux chiffres MM : mois à deux chiffres MMM : mois abrégé, p. ex. «Jan» MMMM : mois écrit en entier, p. ex. «janvier» J, j : jour à un ou deux chiffres 6
Étape 3 : spécifiez les modèles et définissez les paramètres JJ, jj : jour à deux chiffres JJJ, jjj : jour de la semaine abrégé, p. ex. «lun» JJJJ, jjjj : jour de la semaine écrit en entier, p. ex. «lundi» H, h : heure à un ou deux chiffres HH, hh : heure à deux chiffres m : minute à un ou deux chiffres mm : minute à deux chiffres s : seconde à un ou deux chiffres ss : seconde à deux chiffres f : fraction de seconde à un ou plusieurs chiffres ff - fffffffff : fraction de seconde entre deux et neuf chiffres t : marque de temps à un caractère, p. ex. «a» tt : marque de temps à deux caractères, p. ex. «am» Remarque : chaque paramètre de date et d'heure doit contenir au moins le mois, le jour, l'heure et les secondes. La valeur du paramètre $Time$ définit l'heure de l'événement, si elle est spécifiée. Sinon, l'heure à laquelle l'entrée est traitée est considérée comme l'heure de l'événement dans la base de données. Exemple 1 : entrée de journal à une ligne Commencez par une entrée de journal classique du fichier journal que vous souhaitez surveiller : <189> 2009 Aug 31 06:57:48 (FVS114-ba-b3-d2) 71.121.128.42 ICMP Packet[Destination Unreachable] - Source:192.168.0.186 - Destination:192.168.0.1 - [Receive] Identifiez les sections de l'entrée de journal dans lesquelles vous souhaitez renseigner des paramètres : <189> 2009 Aug 31 06:57:48 (FVS114-ba-b3-d2) 71.121.128.42 ICMP Packet[Destination Unreachable] - Source:192.168.0.186 - Destination:192.168.0.1 - [Receive] Dans le modèle, remplacez le texte souligné par les paramètres : <$code$> $Time$ ($device$) $HostName$ $PackType$ Packet[$Action$] - Source:$SrcAddr$ - Destination:$DestAddr$ - $Msg$ Paramètres du fichier journal Remarque : vous devez cliquer au moins une fois sur le bouton Enregistrer pour afficher la section Paramètres du fichier journal de la boîte de dialogue. Le texte qui n'est pas utilisé pour renseigner les paramètres doit correspondre au texte de l'entrée de journal. Par exemple : la chaîne '] - Source:' doit correspondre au texte de l'entrée de journal, y compris l'espace juste devant le tiret. Définissez les paramètres : Nom du paramètre Type de paramètre Résultat de l'analyse code Entier 189 Heure Date et heure au format «AAAA MMM JJ hh:mm:ss», non UTC 2006-11-08 11:57:48 device Chaîne FVS114-ba-b3-d2 HostName Chaîne 71.121.128.42 7
Étape 3 : spécifiez les modèles et définissez les paramètres PackType Chaîne ICMP Action Chaîne Destination Unreachable SrcAddr Chaîne 192.168.0.186 DestAddr Chaîne 192.168.0.1 Msg Chaîne [Receive] Exemple 2 : ajout du symbole % (caractère générique) Commencez par une entrée de journal classique du fichier journal que vous souhaitez surveiller : <189> 2009 Aug 31 06:57:48 (FVS114-ba-b3-d2) 71.121.128.42 ICMP Packet[Destination Unreachable] - Source:192.168.0.186 - Destination:192.168.0.1 - [Receive] Identifiez le texte inutile dans le fichier journal que vous souhaitez surveiller : <189> 2009 Aug 31 06:57:48 (FVS114-ba-b3-d2) 71.121.128.42 ICMP Packet[Destination Unreachable] - Source:192.168.0.186 - Destination:192.168.0.1 - [Receive] Dans le modèle, remplacez le texte barré (inutile) ci-dessus par le caractère générique %. Remplacez le reste du texte par des paramètres : 8
Étape 3 : spécifiez les modèles et définissez les paramètres <$code$> $Time$ % $HostName$ $PackType$ Packet% Source:$SrcAddr$ - Destination:$DestAddr$ - Définissez les paramètres : Nom du paramètre Type de paramètre Résultat de l'analyse code Entier 189 Heure Date et heure au format AAAA MMM JJ hh:mm:ss 2006-11-08 11:57:48 HostName Chaîne 71.121.128.42 PackType Chaîne ICMP SrcAddr Chaîne 192.168.0.186 DestAddr Chaîne 192.168.0.1 Exemple 3 : entrées de journal multiligne Commencez par une entrée de journal multiligne classique du fichier journal que vous souhaitez surveiller : Summary Of This Scan»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:02:32.765 Objects scanned:91445 Objects identified:0 Objects ignored:0 New critical objects:0 Identifiez le texte qui doit être ignoré et le texte qui doit être renseigné par des paramètres. Summary Of This Scan»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:02:32.765 Objects scanned:91445 Objects identified:0 Objects ignored:0 New critical objects:0 Dans le modèle, remplacez le texte barré par le caractère générique %. Remplacez le texte souligné par des paramètres : Summary Of This Scan %scanning time:$scantime$ %scanned:$scanned$ %identified:$identified$ %ignored:$ignored$ %critical objects:$critical$ Définissez les paramètres : Nom du paramètre Type de paramètre Résultat de l'analyse ScanTime Chaîne 00:02:32.765 Scanned Entier 91445 Identified Entier 0 Ignored Entier 0 Critical Entier 0 9
Étape 3 : spécifiez les modèles et définissez les paramètres Exemple 4 : modèle de sortie Commencez par une entrée de journal multiligne classique du fichier journal que vous souhaitez récupérer : 10
Summary Of This Scan»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»»» Total scanning time:00:02:32.765 Objects scanned:91445 Objects identified:0 Objects ignored:0 New critical objects:0 Étape 3 : spécifiez les modèles et définissez les paramètres Si vous n'avez pas spécifié de modèle de sortie, toutes les données ci-dessus seront consignées dans le corps du message du journal de surveillance. Voici un exemple de sortie dans la surveillance des journaux sans modèle de sortie spécifié : Dans le modèle de sortie, spécifiez un modèle à l'aide des paramètres définis : Total $Scanned$ objects are scanned in $ScanTime$. Found object: $Identified$ identified, $Ignored$ ignored, and $Critical$ critical. Voici un exemple de sortie dans la surveillance des journaux après spécification d'un modèle de sortie : 11
Étape 4 : affectez la définition de l'analyseur de journal Étape 4 : affectez la définition de l'analyseur de journal Vous devez affecter une définition d'analyseur de fichier journal complète à un ou plusieurs ID d'ordinateur à l'aide de la fonction Analyseur de journal. Sélectionnez les ID d'ordinateur auxquels vous souhaitez appliquer la définition et cliquez sur le bouton Appliquer. La définition de l'analyseur peut donc être utilisée par les ordinateurs sélectionnés, mais avant d'effectuer l'analyse, vous devez sélectionner les critères de filtrage pour les données de journal collectées et affecter des conditions d'alerte, comme décrit dans les étapes 5 et 6. 12
Étape 5 : définissez les conditions d'alerte et de collecte Étape 5 : définissez les conditions d'alerte et de collecte Cliquez sur Affecter les jeux d'analyse sous Surveillance des journaux. Sélectionnez la définition d'analyseur de journal dans la liste déroulante Sélectionner l'analyseur de journal. Sélectionnez ensuite <Nouveau jeu d'analyse> dans la liste déroulante Définir les jeux d analyse. Un jeu d'analyse de journal est un ensemble de conditions d'analyse d'une entrée de journal qui doivent être vraies pour être incluses dans le journal de surveillance des journaux et créer une alerte correspondante. Ainsi, seules les entrées de journal pertinentes sont ajoutées au journal de surveillance des journaux. Remarque : un jeu d'analyse de journal est spécifique à un analyseur de journal. Vous pouvez définir plusieurs jeux d'analyse de journal pour le même analyseur de journal et déclencher un jeu d'alertes différent pour chaque jeu d'analyse de journal. 13
Étape 5 : définissez les conditions d'alerte et de collecte Définissez les conditions d'alerte. Dans l'exemple ci-dessous, une entrée est créée dans le journal de surveillance des journaux si l'analyse d'une entrée de journal indique que le paramètre Action contient le texte Unreachable. Opérateurs pour les paramètres Chaîne : begins with, does not begin with, contains, does not contain, ends with, does not end with, equals, does not equal Numérique : equal, not equal, over, under Temporel : - equal, not equal, over, under Le filtre de paramètre pour la date et l'heure peut présenter l'un des formats suivants. Une chaîne de filtrage qui se termine par Z indique une heure UTC. AAAA-MM-JJThh:mm.ss AAAA/MM/JJThh:mm.ss AAAA-MM-JJ hh:mm.ss AAAA/MM/JJ hh:mm.ss AAAA-MM-JJThh:mm.ssZ AAAA/MM/JJThh:mm.ssZ AAAA-MM-JJ hh:mm.ssz AAAA/MM/JJ hh:mm.ssz Par exemple : 2008-04-01 15:30:00.00 Jeux d'analyse et conditions Les conditions sont définies dans un jeu d'analyse. Vous pouvez affecter plusieurs conditions à un jeu d'analyse. Vous pouvez également affecter plusieurs jeux d'analyse à un analyseur de journal. Une entrée de journal doit répondre à toutes les conditions spécifiées dans un jeu d'analyse pour déclencher la collecte de données et/ou une alerte. Remarque : ce comportement diffère de celui des alertes de journaux des événements et des autres jeux de surveillance. Par exemple : Contenu du journal : 05/09/2008 12:21:34 192.168.0.1 error "lookup failed" 05/09/2008 12:21:35 192.168.0.1 error "syslog stopped" 05/09/2008 12:21:37 192.168.0.1 information "syslog starts" 05/09/2008 12:21:38 192.168.0.2 warning "ping failed" 05/09/2008 12:22:04 192.168.0.2 warning "unknown message" Modèle à une ligne : $Time$ $hostname$ $errortype$ $message$ Pour collecter des entrées qui répondent à l'une des conditions suivantes, vous devez définir deux jeux d'analyse et les affecter tous les deux à l'analyseur de journal : 14
$errortype$ is "error" $errortype$ is "warning" AND $message$ contains "failed" Voici les captures d'écran correspondantes pour ces deux jeux d'analyse : Étape 6 : affectez les jeux d'analyse Étape 6 : affectez les jeux d'analyse Sélectionnez un ID d'ordinateur, les options d'alarme et les types d'alertes, puis cliquez sur le bouton Appliquer pour affecter le jeu d'analyse de journal à un ID d'ordinateur. Lorsque l'id d'ordinateur a reçu la configuration de l'analyseur de journal, l'agent sur l'ordinateur géré lance l'analyse du fichier journal chaque fois que celui-ci est mis à jour. 15
Étape 7 : affichez le journal de surveillance des journaux Notification L'agent collecte les entrées de journal et crée une entrée dans le journal de surveillance des journaux sur la base des critères définis par le jeu d'analyse, que les méthodes de notification soient contrôlées ou pas. Vous n'êtes pas obligé de recevoir une notification chaque fois qu'une nouvelle entrée de surveillance des journaux est créée. Vous pouvez simplement consulter le journal de surveillance des journaux de temps en temps, à votre convenance. Étape 7 : affichez le journal de surveillance des journaux Les entrées de surveillance des journaux sont affichées dans Surveillance des journaux, accessible via : Agents > Journaux des agents > Surveillance des journaux > (définition de l'analyseur) 16
Étape 7 : affichez le journal de surveillance des journaux Connexion live > Données des agents > Journaux des agents > Surveillance des journaux > (définition de l'analyseur). Vous pouvez afficher Connexion live en cliquant sur l'icône du statut d'enregistrement d'un ID d'ordinateur sélectionné. Audit > Récapitulatif d'ordinateur > Onglet Journaux des agents > Surveillance des journaux > (définition de l'analyseur). Vous pouvez également afficher la page Récapitulatif d'ordinateur en cliquant sur l'icône du statut d'enregistrement d'un ID d'ordinateur sélectionné tout en maintenant la touche Alt enfoncée. Le rapport Centre d'information > Rapports > Surveillance - Journaux > Surveillance des journaux. Les exemples ci-dessous illustrent l'utilisation du paramètre $Time$ pour des entrées de surveillance des journaux. Le filtrage des dates et des heures dans les vues et les rapports dépend de l'heure d'entrée du journal. Si vous insérez un paramètre $Time$ à l'aide du type de données Date heure dans le modèle, la surveillance des journaux utilise l'heure stockée dans le paramètre $Time$ comme heure d'entrée du journal. Si un paramètre $Time$ n'est pas compris dans le modèle, l'heure à laquelle l'entrée a été ajoutée à la surveillance des journaux correspond à l'heure d'entrée du journal. Veillez à sélectionner une plage de dates qui corresponde aux dates des entrées de journaux. 17
Étape 7 : affichez le journal de surveillance des journaux À l'inverse, les dates des alarmes sont basées sur la date de création des alarmes, et non sur la date des entrées dans le journal de surveillance des journaux. 18