Security Tips		Security Tips Indexへ
	syslogサーバの限界を確認する りょうわ あきら 2004/3/24

　UNIXやLinuxなどのログのリモート転送には、syslogを使用する方法が広く用いられている。しかしsyslogは、通常ログメッセージ転送にUDPを使用するため、転送中にパケットが失われたりサーバが高負荷状態に陥りパケットを破棄してしまうような事態が生じた場合、ログサーバに記録されるべきメッセージが残らないという状況が発生し得る。

　では、実際にはどの程度の量のログ転送が発生したときにメッセージ欠落が発生し得るのだろうか。大量のログメッセージが発生する状況をあらかじめテストするためには、syslogテストツールであるKiwi SyslogGenなどのテストツールを使用するとよいだろう。

　kiwi SyslogGenを使用すると、ターゲットサーバに対して10〜2000msの任意の間隔で連続的にメッセージを送出したり、10秒間に100あるいは500といった大量のメッセージを一度に送出するといった簡単な負荷テストを実行できる。kiwi SyslogGenはほかにも、任意の内容のテキストメッセージを送出したり、ランダムに不正なsyslogメッセージを送出するなど、syslogサーバの各種機能テストに有用なオプションを備えている。　

図1 Kiwi SyslogGenの設定画面

　しかしながら、kiwi SyslogGenでもメッセージ同時送出のタイミングなどを細かく設定できるわけではなく、syslogサーバのメッセージ受信能力もそのときどきのネットワークの混雑度合いやサーバの負荷状態などによって変化するため、syslogメッセージを漏れなく受信可能な正確な閾（しきい）値をはじき出すことまではできない。この点には注意が必要である。しかし、ログサーバを設置するに当たっては、こうしたテストツールを使用して、おおよその受信能力の限界を検証しておく必要があるだろう。

　取りこぼしを避けなければならない場合、信頼性を上げるためにTCPを使用したり、あるいは転送量を抑制するため転送対象としているメッセージを見直すなどの対策を考慮する必要がある。

　重要なログメッセージを取りこぼしていることに、後になってから気付くという事態は避けたいものだ。

Security Tips Index

＠ITメールマガジン　新着情報やスタッフのコラムがメールで届きます（無料）