20150711 kishima
TRANSCRIPT
ログ管理のあれとこれと
杵島 正和( Masakazu Kishima) System Center User Group Japan Microsoft MVP for SystemCenter Cloud and DataCenter Management
氏名:杵島 正和(きしま まさかず)
仕事: Microsoft 製品の提案支援、検証支援、その他
System Center ユーザーグループの人
自己紹介
• ログ管理をどうしてますか?
今日のお題
「ログ」とはなんぞや
サーバーでの出来事(イベント)を記録したもの サービスの起動 / 停止 動作異常 リソースの追加 / 削除
…etc
ログを管理する
何かあったらログを見る 調査のためにログを回収する ログを蓄積して分析する
ログの種類
イベントログ セットアップログ デバックログ IIS ログ パフォーマンスログ… etc
イベントログ
Windows OS(NT/2000/XP/Vista/7/8/Server 2003/Server 2008/Server 2012) の標準機能
Windows システム全般の情報などを共通フォーマットで格納
OS( カーネル、デバイスドライバ、 Windowsサービス ) のログ
なにか起こると必ず確認するところ
イベントログの管理
基本はローテーション 最大サイズになったら上書き WS2008 からアーカイブも可能
WS2008 からはイベントログを他のサーバーに転送することも可能 Windows イベントコレクターとサブスクリプション
イベントログの設定プロパティ
Windows Server 2003 は来週サポート終了です
ログのアーカイブ
最大サイズになればアーカイブはされる 毎日にアーカイブしたい(セキュリティログ)
WMI を使ってイベントログを抽出してアーカイブ ログ量が多いと失敗する wevtutil.exe による置き換え
サンプルDim strDate Dim strDate2 strDate = Now
Set objShell = WScript.CreateObject("WScript.Shell") if Len(strDate) <= 10 Then ' VBScript Now() 関数の制限。 0 時ジャストの場合、時間が Drop されることに対する対策 strDate2 = strDate & " " & "_0 時 00 分 00 秒 " Else strDate2 = FormatDateTime (strDate,1) & "_" & Right("0" & Hour(strDate) , 2) & " 時 " & Right("0" & Minute(strDate) , 2) & " 分 " & Right("0" & Second(strDate) , 2)& " 秒 " End If ' *** Debug ' WScript.Echo strDate2 ' *** 引数の作成 teststr = "wevtutil epl Security" & " c:\logs\" & strDate2 & ".evtx" Set objExec = objShell.Exec(teststr) Do While objExec.Status = 0 WScript.Sleep 1000 ' <<< 処理終了まで待機。実際のシステム上での動作に合わせて調整ください Loopteststr2 = "wevtutil cl Security" Set objExec = objShell.Exec(teststr2)ret = objExec.ExitCode if ret = 0 Then WScript.Echo " 処理が成功しました " ElseIf ret = 1 Then WScript.Echo " 処理が失敗しました " Else WScript.Echo " 予期せぬエラーが発生しました : コード " & ret End If
それ以外のログ
*.log 形式で保存されている c:\windows c:\windows\log等々
テキスト形式だが、大変読みにくい 細かすぎる 時間表示が UTC とか
回収方法も様々
SCCM がもしあれば、 cmtrace が便利
Cmtrace を使う手もある(つかえるなら)
ログ管理の課題
集めただけでは、どうにもならない ディスクの肥やし 証拠能力としての機能しかない
「分析」をどうやるか? Operations Analytics
System Center Operation Manager
アラート
監査・パフォーマンスレポーティング
監査・監視データベース
管理パック
サービス指向型監視 マシンの稼動状態監視 イベント収集 セキュリティイベントログ収集 パフォーマンス収集 適切なアラート ナレッジを活用した対処法の提供
業務システム / ネットワーク機器 /独自開発アプリケーション( .Net, J2EE )
クライアントサーバー
OS, アプリケーション例外を監視 対処法の提供することで
ユーザーの自己解決を支援
応答・タスクの自動化PowerShellWeb ベースの管理レポート
冗長性拡張性信頼関係のない
ドメインを越えた監視
サーバー / クライアント / ネットワーク機器 / アプリケーションの監視・管理
アプリケーションの例外監視
大規模環境への対応
管理の操作性、レポーティング
アプリケーション・ OS を運用管理するためのノウハウ
クラウド環境
SCOM ACS
各マシンに分散しているセキュリティログ情報をデータベースに一元管理することにより、組織内のセキュリティ監査を実現
ACS = Audit Collection Services Windows ベースのコンピュータからセキュリティログ情報を収集・管理す
る仕組みを提供する機能 収集したセキュリティログ情報を元にレポートを作成
Azure のサービスとして
Azure Operational Insights の発表 イベントログの集中管理と検索 OS の構成情報の管理と検索 パフォーマンスデータの収集と分析 サービスダッシュボードの提供 SCOM との連携
Tech Fielders × Cloud Samurai Roadshow 2015 年 2 月 ここで紹介してます https://technet.microsoft.com/ja-jp/windowsserver/mt204561
Microsoft Operations Management Suite
5月の Microsoft Ignite で発表 運用管理に必要な Azure サービスのスイート
ログ分析 自動化 可用性 セキュリティ
https://www.microsoft.com/ja-jp/server-cloud/operations-management-suite/overview.aspx
何ができるのか
イベントログの集中管理と検索 OS の構成情報の管理と検索 パフォーマンスデータの収集と分析 SCOM との連携 Automation Backup Azure Site Recovery
Windows Server 2012/Windows Server 2012 R2 Windows Server 2008 and Windows Server 2008 R2
Active Directory Hyper-V host Operating system
SQL Server 2012, SQL Server 2008 R2, SQL Server 2008 SQL Server Database Engine
Microsoft SharePoint (予定) Microsoft Exchange Server (予定) Microsoft Lync Server (予定) System Center 2012 R2 – Virtual Machine Manager
対象となるプラットフォーム
Solution Gallery
現在提供されているもの Automation/Capacity Planning/Azure Site Recovery/AD
Assessment/Malware Assessment/Security and Audit/System Update Assessment/Backup/Configuration Assessment/Alert Management/Change Tracking/SQL Assessment
分析ロジックの定義 可視化するためのビュー データ取得ルールの定義 サービス定義
Solutions Gallery の導入
ポータルで” Solution Gallery ” をクリック 追加するソリューションを選択して” ADD” をクリック
データの流れ
Microsoft Operations Management Suite
agents mgmt server
オンプレミス環境
Azure Storage
証明書ベース認証 & SSL
データ圧縮
4
Azure ストレージへの格納(ワークスペースとして個別に確保が必要)
6証明書ベース認証 & SSL
組織のアカウントないしは Microsoft Account
7
サービスは認証されたユーザーのみ利用できる全てのアクティビティはログと監査がとられる
5
OpsMgr DBs
複数のマネジメントグループ1
2 SCOM からのデータ転送
proxy server
agents Op Insights への直接接続3
Portal
ログ管理設定 ポータルで“ Setting ” –“Logs” をクリック Event Logs に収集するログ名とレベルを設定
System ログ = “System” “Save” は忘れずに
My DashBoard を構成する
“My Dashboard” をクリック 画面の指示に従い、 Customize をクリックして 表示させる情報を選択
AD Assessment
AD をアセスメントし、ベストプラクティスに基づいて問題を報告
Security and Audit
セキュリティログからどのようなイベントが発生しているかを分析して表示
System Update Assessment
サーバーのパッチ適用状況の管理
Alert Management
SCOM と連携してアラートを収集
データ分析
収集されたデータを検索して分析する ソリューション内で定義されたクエリ ユーザーがクエリを定義
クエリサンプル
ログ管理 イベント IDごとのイベント数のカウント
Type=Event | Measure count() by EventID イベントソースごとのイベント数のカウント
Type=Event | Measure count() by Source 予期しないシャットダウンイベントの検索
Type=Event EventID=6008 Source=EventLog
クエリの結果
クエリサンプル
変更追跡 Windows のサービスのすべての変更
Type=ConfigurationChange ConfigChangeType=WindowsServices 停止状態の Windows サービスの一覧
Type=ConfigurationChange ConfigChangeType=WindowsServices SvcState=Stopped
コンピュータごとの変更履歴 Type=ConfigurationChange | measure count() by Computer
http://blogs.msdn.com/b/dmuscett/archive/2014/10/19/advisor-searches-collection.aspx
Demo
まとめ
ログ管理や分析が必要な時代に 障害時に見る、だけで終わらせない クラウドサービスの利点を生かす
より多くのサーバー / サービスを監視する必要性 グローバル対応 効率よく対応を進めること
シンプルに考える
参考情報 Microsoft Operations Management Suite
https://www.microsoft.com/ja-jp/server-cloud/operations-management-suite/pricing.aspx
オペレーション インサイトのドキュメント h
ttp://azure.microsoft.com/ja-jp/documentation/services/operational-insights/
musc@> $daniele.work.ToString() http://blogs.msdn.com/b/dmuscett/archive/tags/operational+insights/
管理者は見た!~ AD と ILM 一家の秘密~ ( WMI 関連の情報はここがわかりやすい) http://blogs.technet.com/b/jpilmblg/
Q&A
© 2013 Microsoft Corporation. All rights reserved. Microsoft, Windows, Windows Vista and other product names are or may be registered trademarks and/or trademarks in the U.S. and/or other countries.The information herein is for informational purposes only and represents the current view of Microsoft Corporation as of the date of this presentation. Because Microsoft must respond to changing market conditions, it should not be interpreted to be a commitment on the part of Microsoft, and Microsoft cannot guarantee the accuracy of any information provided after the date of this presentation. MICROSOFT MAKES NO WARRANTIES, EXPRESS, IMPLIED OR STATUTORY, AS TO THE INFORMATION IN THIS PRESENTATION.
Thank you!