Sumo Logic – 同じ Source 構成で複数クライアントに Collector をインストールするには

Sumo Logic – 同じ Source 構成で複数クライアントに Collector をインストールするには

同じ Source 構成で複数クライアントに Collector をインストールするための前準備を記載してます。
#Sumo Logic
#SIEM
佐久間昇吾

佐久間昇吾

facebook logohatena logotwitter logo
Clock Icon2023.02.20

この記事は公開されてから1年以上経過しています。情報が古い可能性がありますので、ご注意ください。

結論

Collector インストール時に 同じSource の構成情報を持った JSON ファイルを読み込ませて、SourceCategory を揃えることが出来ます。
これにより、複数台あるクライアント端末のログが同じ _sourceCategory に属するため、各端末のログを一括で検索出来るようになります。

今回ご紹介する方法でご準備いただき、複数端末に Collector のインストーラ + Source の構成ファイルをコンテンツ配信ツールなどで配信 → 各端末にスタートアップなどで、Collector をインストールするように指定いただければと思います。

なお、※ Windows 64bit 版を例に書いてあります。

対象とする読者

  • Source 情報を揃えて、Collector を複数の端末に効率よくインストールしたい
  • なおかつ、Collector はまだインストールしてない

全体のフロー

  • Collector のダウンロード
  • Source 構成の JSON ファイル作成
  • Token 取得
  • コマンドの作成
  • Collector のインストール

Collector のダウンロード

  • Collector のインストーラが置かれている場所

    • Manage Data > Collection > Collection > Add Collector

Installed Collector を選択

今回は、Windows 64bit 版を使用します。クリックしてダウンロードしておきます。

Source 構成の JSON ファイル作成

ファイルの作成には、2通りの方法があります。 下記いずれにしても、○○.json 形式で保存してください。

既存の Source 構成を使用する

PoC 段階で、作成した Source 情報があれば、そちらを使いまわすことも出来ます。
Manage Data > Collection > Collection > Source 名の一番右にある i マークを選択

ポップ画面の Copy を選択して、JSON データを ○○.json 形式で保存する

Source 情報の新規作成

JSON 形式で Source を構成します。
パラメータは、すべての Source 共通のものと、Source のファイルタイプごとに異なるものがあります。詳細は下記をご参照ください。
Source の共通パラメータ | Sumo Logic
Installed Collector のログソース | Sumo Logic

例として、Source 名や、SourceCategory 名は、下記のパラメータ値で決まります。

  • 共通

    • name
     Source 名
    Category
     SourceCategory 名

  • Local Windows Event Log Source

    • sourceType
     ここで、Source の種類を決めます。
     Windows のローカルイベントログを取得する場合は、LocalWindowsEventLog が入ります。

Token の取得

Sumo Logic アカウントごとに下記の場所に Token が保管されています。ない場合は、Add Token で新規作成できます。
Administration > Security > Installation Tokens

Token をメモ帳などに貼り付ける

コマンドの作成

  • Token を使用して、Windows の Collector をインストールするコマンド
    • SumoCollector.exe -console -q "-Vsumo.token_and_url=" "-Vsources="

オプション

  • -console

    • インストールの進行状況を画面に表示させるものです。
    サイレントインストールさせる際には不要なので、必要であれば外してください。
    -console オプションは、-q コマンドと併用しなければ使用できません。

  • -q

    • インストーラーをサイレントモードで実行します。

Token と Source.json

  • -Vsumo.token_and_url=

    • 先ほど取得した Token を入れます。

  • -Vsources=

    • 先ほど作成した ○○.json のファイルパスを入れます。

完成系の例)

\Users\Administrator\Desktop\SumoLogic\SumoCollector_windows-x64_19_418-5.exe -q "-Vsumo.token_and_url= 取得した Token" "-Vsources=\Users\Administrator\Desktop\SumoLogic\TestSource.json"<br />


OS ごとのインストールコマンド

OS ごとに Collector のインストールコマンドが異なります。下記でコマンドをご確認ください。

Collector のインストール後

コマンドを実行して、Finishing installation... が出力されれば完了です。
Sumo Logic の Collection 画面を確認して、Collector + Source が存在していることと、Source の Health に緑のチェックがついていることを確認してください。

ログ検索

Q.複数端末のログを一括検索できるのはいいが、特定の端末のログを検索したいときはどうしたらよいのか?

A._sourceCategory="hoge" and _collector="huga" で検索していただければ、ホストにインストールされた Collector 単位で検索可能です。

まとめ

今回ご紹介させていただいた方法で Collector をインストールしていただくと、非常に効率よく複数端末のログを一括検索できる Source 構成が取れます。 ちなみに複数端末のログを一括検索する方法としてパーティションを分けたり、クエリの際に and を使うのも手ですが、端末の数が数百と多い場合は、同じ Source 構成を保持させる方が工数を削減しつつ「複数端末のログを一括検索」出来ます。

Share this article

facebook logohatena logotwitter logo

関連記事

Sumo Logic の Monitor 機能のクエリ実行間隔について

Sumo Logic の Monitor 機能のクエリ実行間隔について

User avatar
佐久間昇吾
2024.04.16
Unveiling Sumo Logic’s Flex Pricing: Empowering Partners with Unlimited Ingest and New AI Capabilities

Unveiling Sumo Logic’s Flex Pricing: Empowering Partners with Unlimited Ingest and New AI Capabilities

User avatar
HemanthKumar R
2024.03.26
Sumo Logic コンソールへの非ログイン日数が90日を超えるユーザを検出してアラートを発報する方法

Sumo Logic コンソールへの非ログイン日数が90日を超えるユーザを検出してアラートを発報する方法

User avatar
佐久間昇吾
2024.03.26
Elevating Security Operations: Expert Insights into Sumo Logic and Gigamon’s Key Use Cases a Sumo Logic Webinar

Elevating Security Operations: Expert Insights into Sumo Logic and Gigamon’s Key Use Cases a Sumo Logic Webinar

User avatar
HemanthKumar R
2024.02.29
Classmethod's white logo
Facebook's logo
X's logo
YouTube's logo

© Classmethod, Inc. All rights reserved.