Version 2

    【モニタリング101コース ― ITモニタリングの基礎講座】

    レッスン3: 監視技術(前編)

     

    『モニタリング101コースのレッスン3にようこそ。今回と次回に渡って、監視技術について学習します。

     

    モニタリングの概念化と構成要素について説明してきたので、本レッスンから本題に入っていきます。

    ただし、本レッスンで説明する監視技術は概略ですので、詳しい内容については、Google®検索等を利用してみてください。

     

     

    <Ping>

    誰もが知っているPing このPingこそ、まさしくすべての監視の偉大なる始祖と言えるでしょう。Pingは、パケットを対象デバイスに送ります。

    そのデバイスが、起動され、動作していれば応答を返し、「ここにいるよ!」とユーザーに知らせてくれます。

    Pingの結果によって、デバイスがそもそも応答しているかどうかを確認できるだけでなく、そのリアクションが戻ってくるまでの時間をも把握できます。

     

    Pingによる監視は、通常、複数のパケットを送信し、肯定応答が戻ってくる数に基づいて、アップ/ダウンを判断します。

    1つのPing1回しか打たないツールもあれば、1つのPingを打って、リアクションがない場合は、追加のPingを打ち、

    デバイスが本当にダウンしているのか、単に応答が遅いだけなのかを確認するツールもあります。

     

     

    <SNMP>

    SNMP (Simple Network Management Protocol) は、いくつかの要素を組み合わせることで強力な監視ソリューションを提供します。

     

    まず第1に、SNMPは、特定のデバイスデータを戻すエレメントのリストから成り立っています。

    エレメントとは、たとえば、CPU、直近の5分間に伝送された平均ビットレート (bps)、またはエラーフレームの数があります。

    そのような各エレメントは、数値のID (オブジェクトIDまたはOID) が割り当てられており、階層的にグループ化されています。

    OIDの集合全体は、MIB (Management Information Base) の中に保持されています。

     

    2に、SNMPサービス (エージェントとも呼ばれます) が対象デバイス上で動作しており、各エレメントを追跡し、最新の値を記録します。

    データの量が多くなるように思えますが、エージェントはローカルで動作しており、データ ポイントも小さいので、容易に管理できます。

    しかも、エージェントは最新のデータのみ保持し、継続的に保存することはありません。

     

    最後に、エージェントは、SNMPトラップ トリガーとSNMPポーリング要求のどちらかに基づいて、データを提供します。

    及び、所定の収集インターバルで (ポーリング)、若しくは特定のしきい値を超過したときにのみ (トラップ)、デバイスに関する情報の収集ができます。

     

    SNMPトラップ

    トラップが発生するのは、内部のデータ ポイントの1つがしきい値を超えたときです (このしきい値はMIBの中でも表示されます)

    そのトリガーが発生すると、対象デバイス上のSNMPが、該当のOIDに関する情報を自発的に送信します。

    SNMPエージェントは、その情報をトラップ デスティネーションに送信するように設定されています。

     

    SNMPポーリング

    外部に対象デバイスが存在していても、ポーリングを実行することで、OIDに関するデータを任意の時点で要求することができます。

    これは、SNMP GETリクエストとも呼ばれます。

     

     

    <Syslog>

    Syslogメッセージは、SNMPトラップと似ています。Syslogサービス (これもエージェントです) は、デバイス上で発生したイベントを検出して、

    それをリモートのメッセージ待機システム (Syslog宛先サーバー) に送信します。

    SyslogSNMPトラップと異なる点は、Syslogメッセージは比較的自由な形式であり、SNMPが必要とするMIB-OID構造に依存しないことです。

     

    Syslogは、従来のログファイルによる監視に代わる手法として使用できます。メ

    ッセージは、ログに送られる代わりに、Syslogプロトコルを通じて外部のデバイスに送られます。

    この外部デバイスは、通常、Syslogを複数のデバイスから収集し、それらのトリガーに応じて所定の処理を実行します。

     

    Syslogは、ファイアウォールやIPSシステムなどのセキュリティ デバイスで採用されることが多い監視方式です。

     

    形式の自由度の高さに加えて、SyslogSNMPトラップより「チャット形式」の (つまり、幅広い情報を伝達できる) 傾向があります。

    ただし、Syslogの柔軟性が高いのは、多くのアプリケーションが、Syslogメッセージを送るように設定できるためですが、

    開発側による多大な事前作業なくして実現できるアプリケーションはほとんどありません。

     

     

    <ログファイル>

    ログファイルを利用した監視は、かなり単純です。アプリケーションまたはプロセスによってメッセージをデバイス上のテキストファイルに書き込みます。

    そのテキストファイルを読み取り、トリガー発生を示唆する語句を探すことで、モニタリング機能が実現されます。

     

    たとえば、トリガーを示す語の例は、"ERROR" です。もちろん、"NO ERROR FOUND"中にあるERRORはトリガーにはなりません。

     

    <イベント ログ>

    イベント ログ監視は、Windowsに固有の機能です。

    デフォルト (既定) では、システム、セキュリティ、および標準Windows®アプリケーション イベントに関するほとんどのメッセージがここに書き込まれます。

    イベントが書き込まれるときの標準的なデータ要素は次のとおりです。

     

    • メッセージアプリケーションによって制御されるイベント メッセージです
    • カテゴリーイベントをどこのログに記録するかを指示するために使用されます
    • 優先度イベントをログに記録するかどうかを判断するために使用されます
    • イベントID: イベントを分類するために使用されます
    • 重大度イベントを通知するかどうかを判断するために使用されます
    • タイトルイベントを更に識別する手段となります

     

    イベント ログ モニターは、Windowsイベント ログを監視してイベントID、カテゴリーなどの一定の組み合わせを探索し、

    一致するものが見つかると特定の処理を実行します。

     

     

    <パフォーマンス モニターのカウンター>

    パフォーマンス モニター (PerfMon) のカウンターは、もう1つのWindows固有の監視オプションであり、

    システム上のエラーと継続的なパフォーマンス関する多くの情報を明らかにしてくれます。

    PerfMonカウンターには、以下のような特徴があります。

     

    ログの監視は、Windowsに固有の機能です。

    デフォルト (既定) では、システム、セキュリティ、および標準Windowsアプリケーション イベントに関するほとんどのメッセージがここに書き込まれます。

    イベントが書き込まれるときの標準的なデータ要素は次のとおりです。

     

    • マシンの名前
    • カウンターのカテゴリープロセッサ)
    • カウンターの名前プロセッサ時間比率
    • カウンターのインスタンス: _total)

     

    PerfMonカウンターは、監視対象サーバーに対して権限を持つマシンによって、リモートで収集できます。

    デフォルトで組み込まれているハードウェア情報とオペレーティング システム情報に加えて、

    多くのアプリケーションは、それぞれに固有のPerfMonカウンターを標準装備しています。

     

     

    <WMI>

    WMI (Windows Management Instrumentation) は、Windowsオペレーティング システムに組み込まれているスクリプト記述言語です。

    WMIによって多種多様な多くの処理を実行することができますが、監視に関しては、監視対象システムに関する情報を収集して報告することが中心となります。

     

    WMIの利点は、PerfMonカウンターと同様に、権限をもつリモート システムであれば、ローカル エージェントを使用して、

    その場に存在する必要なしにWMIスクリプトを実行できることです。

     

    WMIは、対象デバイスとの対話面において、PerfMonカウンターより優れています。

    WMI経由でスクリプトを実行することで、ディレクトリを読み出したり、接続されたディスクの数を検知したり、

    誰がユーザーとしてログインしているかを見つけ出すことなどが可能です。

     

    次回も、引き続き監視技術について学習します。それまでの間に、以下のちょっとした質問について考えてみてください。

     

    • PerfMonという略語は何を意味しているでしょうか?

     

    レオン・アダト(Leon Adato

    ソーラーウインズ認定ヘッドギーク

     

    Lesson1FCAPSモデル https://thwack.solarwinds.com/docs/DOC-191361

    Lesson4監視技術 (後編【モニタリング101コース】ITモニタリングの基礎講座: Lesson 4 - 監視技術 (後編)