すべてのプロダクト
Search
ドキュメントセンター

Simple Log Service:BeatsとLogstashからデータを収集する

最終更新日:Aug 07, 2024

このトピックでは、Simple Log ServiceコンソールでLogtailを設定してBeatsおよびLogstashからデータを収集する方法について説明します。

前提条件

  • Logtailは、BeatsおよびLogstashからデータを収集するために使用するサーバーにインストールされます。 Linuxを実行するサーバーは、Logtail 0.16.9以降をサポートします。 Windowsを実行するサーバーは、Logtail 1.0.0.8以降をサポートします。 詳細については、「LinuxサーバーにLogtailをインストールする」または「WindowsサーバーにLogtailをインストールする」をご参照ください。

  • データはLogstashまたはBeatsを使用して収集されます。

    • Logstashからデータを収集する方法の詳細については、「Logstash-Lumberjack-Output」をご参照ください。

    • Beatsからデータを収集する方法の詳細については、「Beats-Lumberjack-Output」をご参照ください。

      このトピックの手順では、Packetbeatを使用してローカルネットワークで送信されたデータを収集し、Logtail Lumberjackプラグインを使用してデータをSimple Log Serviceにアップロードする方法について説明します。 Packetbeatを使用して収集されたデータは、次のサンプルスクリプトに示すように、Logstashに送信されます。

      output.logstash:
        hosts: ["127.0.0.1:5044"] 

背景情報

LogstashとBeats (MetricBeat、PacketBeat、Winlogbeat、Auditbeat、Filebeat、Heartbeatなど) は、Lumberjackプロトコルをサポートしています。 したがって、Logtailはプロトコルを使用して、BeatsおよびLogstashによって収集されたデータをSimple Log Serviceにアップロードできます。

説明
  • 複数のLumberjackプラグインを設定できますが、これらのプラグインは同じポートでリッスンできません。

  • LumberjackプラグインはSSLをサポートしています。 LogstashからSimple Log Serviceにアップロードされるデータは、SSLを使用して暗号化する必要があります。

手順

  1. Simple Log Serviceコンソール にログインします。

  2. データのインポートセクションで、カスタムデータプラグインを選択します。

  3. プロジェクトとLogstoreを選択します。 そして、[次へ] をクリックします。

  4. マシングループの設定ステップで、マシングループを設定します。

    1. ビジネス要件に基づいて、シナリオとインストール環境のパラメーターを設定します。

      重要

      マシングループが使用可能かどうかに関係なく、シナリオパラメーターとインストール環境パラメーターを設定する必要があります。 パラメーター設定は、以降の設定に影響します。

    2. [応用サーバーグループ] セクションにマシングループが表示されていることを確認し、[次へ] をクリックします。

      マシングループ利用可能

      [ソースマシングループ] セクションからマシングループを選択します。

      image

      マシングループがありません

      [マシングループの作成] をクリックします。 マシングループの作成パネルで、パラメーターを設定します。 マシングループ識別子パラメーターをIPアドレスまたはカスタム識別子に設定できます。 詳細については、「カスタム識別子ベースのマシングループの作成」または「IPアドレスベースのマシングループの作成」をご参照ください。

      重要

      マシングループを作成した直後にマシングループを適用すると、マシングループのハートビートステータスがFAILになる可能性があります。 この問題は、マシングループがSimple Log Serviceに接続されていないために発生します。 この問題を解決するには、[再試行] をクリックします。 問題が解決しない場合は、Logtailでハートビート接続が検出されない場合はどうすればよいですか?

  5. データソースの設定ステップで、セット設定名プラグインの設定をクリックし、次へをクリックします。

    • 入力は必須であり、Logtail構成のデータソース設定を構成するために使用されます。

      重要

      inputsに指定できるデータソースの種類は1つだけです。

    • processorsはオプションで、データを解析するLogtail設定のデータ処理設定を設定するために使用されます。 1つ以上の処理方法を指定できます。

      入力の設定のみに基づいてログを解析できない場合は、[プラグイン設定] フィールドでプロセッサを設定して、データ処理用のプラグインを追加できます。 たとえば、フィールドの抽出、ログ時間の抽出、データのマスク、ログのフィルタリングができます。 詳細については、「Logtailプラグインを使用したデータ処理」をご参照ください。

    BeatsとLogstashのデータはJSON形式です。 processor_anchorは、JSON形式のデータを展開するように設定されています。

    {
      "inputs": [
        {
          "detail": {
            "BindAddress": "0.0.0.0:5044"
          },
          "type": "service_lumberjack"
        }
      ],
      "processors": [
        {
          "detail": {
            "Anchors": [
              {
                "ExpondJson": true,
                "FieldType": "json",
                "Start": "",
                "Stop": ""
              }
            ],
            "SourceKey": "content"
          },
          "type": "processor_anchor"
        }
      ]
    }
                            

    パラメーター

    データ型

    必須

    説明

    タイプ

    String

    はい

    データソースのタイプ。 値をservice_lumberjackに設定します。

    BindAddress

    String

    いいえ

    Lumberjackプロトコルを使用してデータを送信できるサーバーのIPアドレスとポート。 デフォルト値: 127.0.0.1:5044 Lumberjackプロトコルを使用してLAN内の他のホストからのアクセスを有効にするには、値を0.0.0.0:5044に設定します。

    V1

    ブール値

    いいえ

    Lumberjackプロトコルv1を使用するかどうかを指定します。 デフォルト値: "false" LogstashはLumberjackプロトコルv1をサポートしています。

    V2

    ブール値

    いいえ

    Lumberjackプロトコルv2を使用するかどうかを指定します。 デフォルト値: true。 BeatsはLumberjackプロトコルv2をサポートします。

    SSLCA

    String

    いいえ

    署名証明書を発行する認証局のパス。 デフォルト値:null 自己署名証明書を使用する場合、パラメーターを指定する必要はありません。

    SSLCert

    String

    いいえ

    証明書のパス。 デフォルト値:null

    SSLKey

    String

    いいえ

    証明書に対応する秘密鍵のパス。 デフォルト値:null

    InsecureSkipVerify

    ブール値

    いいえ

    SSLセキュリティチェックをスキップするかどうかを指定します。 デフォルト値: "false" この値は、SSLセキュリティチェックが実行されたことを示します。

  6. インデックスの作成プレビュー 次に、[次へ] をクリックします。 デフォルトでは、Simple Log Serviceでフルテキストインデックスが有効になっています。 収集したログのフィールドインデックスを手動で作成するか、[自動インデックス生成] をクリックすることもできます。 その後、Simple Log Serviceはフィールドインデックスを生成します。 詳細については、「インデックスの作成」をご参照ください。

    重要

    ログのすべてのフィールドをクエリする場合は、フルテキストインデックスを使用することを推奨します。 特定のフィールドのみをクエリする場合は、フィールドインデックスを使用することを推奨します。 これは、インデックストラフィックを減らすのに役立ちます。 フィールドを分析する場合は、フィールドインデックスを作成する必要があります。 分析のために、クエリ文にSELECT文を含める必要があります。

  7. [ログクエリ] をクリックします。 Logstoreのクエリと分析ページにリダイレクトされます。

    インデックスが有効になるまで約1分待つ必要があります。 次に、収集したログを [生ログ] タブで表示できます。 詳細については、「ログの照会と分析」をご参照ください。

トラブルシューティング

Logtailを使用してログを収集した後、プレビューページまたはクエリページにデータが表示されない場合は、Logtailを使用してログを収集するときにエラーが発生した場合はどうすればよいですか?

次のステップ

LogtailがSimple Log Serviceにデータをアップロードした後、Simple Log Serviceコンソールでデータを表示できます。 以下の内容は、Simple Log Serviceにアップロードされたサンプルデータです。

_@metadata_beat:  packetbeat
_@metadata_type:  doc
_@metadata_version:  6.2.4
_@timestamp:  2018-06-05T03:58:42.470Z
__source__:  **. **. **.**
__tag__:__hostname__:  *******
__topic__:  
_beat_hostname:  bdbe0b8d53a4
_beat_name:  bdbe0b8d53a4
_beat_version:  6.2.4
_bytes_in:  56
_bytes_out:  56
_client_ip:  192.168.5.2
_icmp_request_code:  0
_icmp_request_message:  EchoRequest(0)
_icmp_request_type:  8
_icmp_response_code:  0
_icmp_response_message:  EchoReply(0)
_icmp_response_type:  0
_icmp_version:  4
_ip:  127.0.0.1
_path:  127.0.0.1
_responsetime:  0
_status:  OK
_type:  icmp