- ベストアンサー
NTSyslogのfacility値とは?Windows Serverのイベントログとの関係を調査
- NTSyslogを使ってWindows Server 2003 R2 Stdのイベントログを運用管理サーバへ転送する方法について調査しました。
- NTSyslogとsyslog-ngを使用した設定についてはマニュアルや参考情報を確認しましたが、NTSyslogのfacility設定とPriority設定については詳しい説明が見当たりませんでした。
- Windows Serverのイベントログのfacility値とはどのような対応関係にあるのかについて、Microsoftのサポートページなどを参考にしながら調査しました。しかし、具体的な根拠や説明が不足しているため、さらなる調査が必要です。
- ネットワーク
- 回答数2
- ありがとう数2
- みんなの回答 (2)
- 専門家の回答
質問者が選んだベストアンサー
- ベストアンサー
NTSyslogで転送するsyslogとイベントログの内容は次のような 割り当てになってますので、何を監視したいかが判ります。 NTsyslog <--> Windowsイベントログ ---------------------------------------------- user --> イベントログ[アプリケーション] daemon --> イベントログ[システム] local0,syslog,auth,Logaudit -->イベントログ[セキュリティ] ほかのファシリティは、使っていないようです。 というのもNTSyslogが今まで投げてくれているのが、これらだけですので、NTSyslogの仕様が判らないので、他にもある可能性があります。 syslogに割り当てられているプライオリティは、割り当て名称が異なる。 エラー-->Alert(アプリケーションの場合Error) 警告-->notice(アプリケーションの場合:Warning) 情報-->infomation 後のプライオリティは、(debugは除く)使われていない。
その他の回答 (1)
- ts244
- ベストアンサー率41% (53/127)
syslog 自体はメッセージフォーマットしか規定されていないためfacility値の割り当てに「こうしなければならない」という決まりはありません。 「Filterして記録するファイルを変える」などの管理する際の都合で適当にポリシーを決め、それを割り当てれば問題ありません。 が、大抵の管理ツールで伝統的に以下の名前に括りつけられているので あまりに関係なさそうな、割り当てポリシーは避けた方が良いでしょう。 RFC5424 The Syslog Protocolより(一部見た目を修正) Numerical Facility Code 0 = kernel messages 1 = user-level messages 2 = mail system 3 = system daemons 4 = security/authorization messages 5 = messages generated internally by syslogd 6 = line printer subsystem 7 = network news subsystem 8 = UUCP subsystem 9 = clock daemon 10 = security/authorization messages 11 = FTP daemon 12 = NTP subsystem 13 = log audit 14 = log alert 15 = clock daemon (note 2) 16 = local use 0 (local0) 17 = local use 1 (local1) 18 = local use 2 (local2) 19 = local use 3 (local3) 20 = local use 4 (local4) 21 = local use 5 (local5) 22 = local use 6 (local6) 23 = local use 7 (local7) Table 1. Syslog Message Facilities 因みに実際のメッセージでのPRI値は ”PRI値=Facility値 * 8 + Severity値”の10進表記になります
補足
回答ありがとうございます。 イベントビューアの ・アプリケーション ログ ・セキュリティ ログ ・システム ログ などがfacilityと同意であろうかと考えておりました。 NTSyslogでは転送するイベントログとして選択され ますが、その中でさらにfacilityを選択するようにな っております。 私の考えでは、アプリケーション(ログ)etc=facilityと 捉えていたところが、誤解の元だったと思います。 アプリケーション ログなどとFacilityは別物と 捉え直してみた場合に、たとえばアプリケーション ログの何かの項目をフィルタして抽出するための物 として捉える事が正しいとという解説で宜しいでし ょうか? そうであるならば、そのフィルタする対象はFacility 値が何を対象としているのか? Priority値は、それが判ればテストすることで判明 するかと思いますが、Facility値だけは今のところ曖昧 な部分が多くて理解が進んでいません。