Syslog レシーバー

Syslogレシーバーは、TCPまたはUDPで受信したSyslogを解析します。

Syslogレシーバーは、TCPまたはUDPで受信したSyslogを解析します。サポートされているパイプラインのタイプは logs です。詳細については「パイプラインでデータを処理する」を参照してください。

はじめに

以下の手順に従って、コンポーネントの設定とアクティベーションを行ってください：

Splunk Distribution of the OpenTelemetry Collector をホストまたはコンテナプラットフォームにデプロイします：
次のセクションで説明するように、Syslogレシーバーを設定します。
Collector を再起動します。

サンプル構成

Syslog レシーバーを有効化するには、以下の設定サンプルのように、構成ファイルの receivers セクションに syslog を追加します。詳細については、「設定」を参照してください。

receivers:
  syslog:

設定を完了するには、設定ファイルの service セクションの logs パイプラインに、レシーバーを含めます：

service:
  pipelines:
    logs:
      receivers: [syslog]

設定例

この例では、TCPを使用して受信したログを設定する方法を示します：

receivers:
  syslog:
    tcp:
      listen_address: "0.0.0.0:54526"
    protocol: rfc5424

この例では、UDPを使用して受信したログを設定する方法を示します：

receivers:
  syslog:
    udp:
      listen_address: "0.0.0.0:54526"
    protocol: rfc3164
    location: UTC

高度な設定

その他の例は GitHub リポジトリ splunk-otel-collextor/examples にあります。

ユースケース

接続を設定する

以下のフィールドを使用して接続を設定します。詳細は「設定」セクションを参照してください。

TCP を設定する

以下のフィールドを使用して、TCP接続でSyslogレシーバーを構成できます：

listen_addressします。必須。<ip>:<port> 形式のリスニングアドレス。
max_buffer_sizeします。TCP 入力の読み込み中に割り当てることができるバッファの最大サイズ。デフォルトでは 1024kib。
tlsします。tcp_input 演算子用のオプションの TLS 設定。
- cert_fileします。TLS が必要な接続に使用する TLS 証明書へのパス。
- key_fileします。TLS が必要な接続に使用する TLS キーへのパス。
- ca_fileします。CA 証明書へのパス。クライアントの場合は、これによりサーバー証明書を検証します。サーバーの場合、これはクライアント証明書を検証します。空の場合、システムのルート CA を使用します。
- client_ca_fileします。オプション。サーバーがクライアント証明書を検証するために使用する TLS 証明書へのパス。これにより、TLSConfig で ClientCAs と ClientAuth が RequireAndVerifyClientCert に設定されます。詳しくは https://godoc.org/crypto/tls#Config を参照してください。

UDPを設定する

以下のフィールドは必須です：

listen_address： <ip>:<port> 形式のリスニングアドレス。

演算子を使ってログをフォーマットする

Syslog レシーバーは演算子を使用して Syslog を目的の形式に解析します。各演算子は、ファイルからの行の読み取り、フィールドからの JSON の解析などの単一の責任を果たします。目的の結果を得るには、演算子をパイプラインでチェーン接続する必要があります。

すべてのオペレーターは、エントリーを作成、変更、または消費します。

エントリーは、パイプラインを通過するログデータの基本的な表現です。
フィールドは、エントリー内の値を参照するために使用されます。
一般的な式のシンタックスは複数の演算子で使用されます。たとえば、式を使用してエントリーをフィルタリングまたはルートできます。

利用可能な演算子

利用可能な演算子の完全なリストについては、GitHub の「What operators are available?」を参照してください。

以下はオペレーターに適用されます：

各オペレーターは type を持っています。
各オペレーターに一意の ID を与えることができます。
- パイプライン内で同じタイプの演算子を複数回使用する場合は、Idを指定する必要があります。
- そうでない場合、Idのデフォルト値は type となります。
演算子は、パイプラインの次の演算子に出力します。
- パイプラインの最後の演算子は、レシーバーから放出されます。
- オプションで、outputパラメータを使って別のオペレーターのIdを指定し、そこに直接ログを渡すこともできます。

操作を組み込んだパーサー

タイムスタンプや重要度の解析など、特定のフォローアップ操作を埋め込むために、多くの解析演算子を設定することができます。

詳しくは「Parsers」で複雑なパーサーに関する GitHub エントリを参照してください。

設定

次の表に、Syslogレシーバーの設定オプションを示します：

同梱

https://raw.githubusercontent.com/splunk/collector-config-tools/main/cfg-metadata/receiver/syslog.yaml

トラブルシューティング

__ ___ ___ _ ______ _____________ _____ ________ ___ ___ ___ ____ __ ___ ____ ____ __ ______ _____________ ______ ___ ___ ___ ____ __ ___ _________ _____

_________ __ ______ _____________ _____ _________

______ _ ____ __ ___ ______ _______ _______
_______ ______ ________

_________ __ ___________ _________ ___ ____ _____ _____

___ _ ________ ___ ___ _______ _______ _________ _______ __ ______ ________
____ ___ ______ ______________ ____ _____ _____ _______ __ ___________ ____ __________ _________ ___ ______ _________ __________ __ _____ ___ ____ _______