Simple Log Service (SLS) コンソールで Logtail 収集設定を作成し、Lumberjack プロトコルを使用して Beats と Logstash からデータを収集します。
前提条件
-
Logtail がサーバーにインストールされている必要があります。Linux の場合は Logtail 0.16.9 以降、Windows の場合は Logtail 1.0.0.8 以降が必要です。Linux サーバーへの Logtail のインストールまたはWindows サーバーへの Logtail のインストールをご参照ください。
-
Logstash または Beats を使用してデータが収集されていること。
-
Logstash を使用してデータを収集する方法については、「Logstash-Lumberjack-Output」をご参照ください。
-
Beats ソフトウェアを使用してデータを収集する方法については、「Beats-Lumberjack-Output」をご参照ください。
以下の例では、PacketBeat を使用してローカルネットワークパケットを収集し、Logtail Lumberjack プラグインを使用して SLS にデータをアップロードします。PacketBeat の出力は Logstash 用に設定されています:
output.logstash: hosts: ["127.0.0.1:5044"]
-
背景情報
Logstash および Beats ソフトウェア (MetricBeat、PacketBeat、Winlogbeat、Auditbeat、Filebeat、Heartbeat) は、Lumberjack プロトコルをサポートしています。Logtail はこのプロトコルを使用して、Logstash と Beats から SLS にデータをアップロードします。
-
同じ Logtail インスタンス上で複数の Lumberjack プラグインを実行できますが、それぞれが異なるポートでリッスンする必要があります。
-
Lumberjack プラグインは SSL をサポートしており、Logstash からデータをアップロードするために必要です。
手順
Log Serviceコンソールにログインします。
ページの右側にある [データのインポート] をクリックし、[カスタムデータプラグイン] を選択します。
プロジェクトとLogstoreを選択します。 そして、[次へ] をクリックします。
マシングループの設定ステップで、マシングループを設定します。
ビジネス要件に基づいて、シナリオとインストール環境のパラメーターを設定します。
重要マシングループが使用可能かどうかに関係なく、シナリオパラメーターとインストール環境パラメーターを設定する必要があります。 パラメーター設定は、以降の設定に影響します。
[応用サーバーグループ] セクションにマシングループが表示されていることを確認し、[次へ] をクリックします。
マシングループ利用可能
[ソースマシングループ] セクションからマシングループを選択します。

マシングループがありません
[マシングループの作成] をクリックします。 マシングループの作成パネルで、パラメーターを設定します。 マシングループ識別子パラメーターをIPアドレスまたはカスタム識別子に設定できます。 詳細については、「カスタム識別子ベースのマシングループの作成」または「IPアドレスベースのマシングループの作成」をご参照ください。
重要マシングループを作成した直後にマシングループを適用すると、マシングループのハートビートステータスがFAILになる可能性があります。 この問題は、マシングループがSimple Log Serviceに接続されていないために発生します。 この問題を解決するには、[再試行] をクリックします。 問題が解決しない場合は、Logtailでハートビート接続が検出されない場合はどうすればよいですか?
-
[データソース設定] タブで、[設定名] と [プラグイン設定] を設定し、[次へ] をクリックします。
入力は必須であり、Logtail構成のデータソース設定を構成するために使用されます。
重要inputsに指定できるデータソースの種類は1つだけです。
processorsはオプションで、データを解析するLogtail設定のデータ処理設定を設定するために使用されます。 1つ以上の処理方法を指定できます。
入力の設定のみに基づいてログを解析できない場合は、[プラグイン設定] フィールドでプロセッサを設定して、データ処理用のプラグインを追加できます。 たとえば、フィールドの抽出、ログ時間の抽出、データのマスク、ログのフィルタリングができます。 詳細については、「Logtailプラグインを使用したデータ処理」をご参照ください。
Beats と Logstash は JSON 形式でデータを出力します。
processor_anchorプラグインを使用して JSON データを解析します。{ "inputs": [ { "detail": { "BindAddress": "0.0.0.0:5044" }, "type": "service_lumberjack" } ], "processors": [ { "detail": { "Anchors": [ { "ExpandJson": true, "FieldType": "json", "Start": "", "Stop": "" } ], "SourceKey": "content" }, "type": "processor_anchor" } ] }パラメーター
タイプ
必須
説明
タイプ
string
はい
データソースタイプ。service_lumberjack に設定します。
BindAddress
string
いいえ
Lumberjack プロトコルのリッスンアドレス。 デフォルト: 127.0.0.1:5044。 他の LAN ホストからのアクセスを許可するには、0.0.0.0:5044 に設定します。
V1
boolean
いいえ
Lumberjack V1 プロトコルを使用するかどうか。デフォルト: false。Logstash は Lumberjack V1 を使用します。
V2
boolean
いいえ
Lumberjack V2 プロトコルを使用するかどうか。 デフォルト: true。 Beats は Lumberjack V2 を使用します。
SSLCA
string
いいえ
CA 発行の署名証明書のパス。デフォルト: 空。自己署名証明書には不要です。
SSL 証明書
string
いいえ
SSL 証明書のパス。デフォルト: 空。
SSLキー
string
いいえ
証明書の秘密鍵のパス。デフォルト: 空。
InsecureSkipVerify
boolean
いいえ
SSL 検証をスキップするかどうか。 デフォルト: false (SSL 検証が実行されます)。
インデックスの作成とプレビュー 次に、[次へ] をクリックします。 デフォルトでは、Simple Log Serviceでフルテキストインデックスが有効になっています。 収集したログのフィールドインデックスを手動で作成するか、[自動インデックス生成] をクリックすることもできます。 その後、Simple Log Serviceはフィールドインデックスを生成します。 詳細については、「インデックスの作成」をご参照ください。
重要ログのすべてのフィールドをクエリする場合は、フルテキストインデックスを使用することを推奨します。 特定のフィールドのみをクエリする場合は、フィールドインデックスを使用することを推奨します。 これは、インデックストラフィックを減らすのに役立ちます。 フィールドを分析する場合は、フィールドインデックスを作成する必要があります。 分析のために、クエリ文にSELECT文を含める必要があります。
[ログクエリ] をクリックします。 Logstoreのクエリと分析ページにリダイレクトされます。
インデックスが有効になるまで約1分待つ必要があります。 次に、収集したログを [生ログ] タブで表示できます。 詳細については、「ログの照会と分析」をご参照ください。
トラブルシューティング
Logtailを使用してログを収集した後、プレビューページまたはクエリページにデータが表示されない場合は、Logtailを使用してログを収集するときにエラーが発生した場合はどうすればよいですか?
次のステップ
Logtail がデータを収集して SLS に送信した後、コンソールでデータを表示できます。以下の例は、PacketBeat の出力を示しています:
_@metadata_beat: packetbeat
_@metadata_type: doc
_@metadata_version: 6.2.4
_@timestamp: 2018-06-05T03:58:42.470Z
__source__: **.**.**.**
__tag__:__hostname__: *******
__topic__:
_beat_hostname: bdbe0b8d53a4
_beat_name: bdbe0b8d53a4
_beat_version: 6.2.4
_bytes_in: 56
_bytes_out: 56
_client_ip: 192.168.5.2
_icmp_request_code: 0
_icmp_request_message: EchoRequest(0)
_icmp_request_type: 8
_icmp_response_code: 0
_icmp_response_message: EchoReply(0)
_icmp_response_type: 0
_icmp_version: 4
_ip: 127.0.0.1
_path: 127.0.0.1
_responsetime: 0
_status: OK
_type: icmp