MENU

Syslog/SNMP Trap 活用による異常検知の仕組みと設定例

NW(CCNA)
  • URLをコピーしました!

サーバやネットワーク機器の異常を早期に検知するためには、Syslog と SNMP Trap の活用が重要です。
本記事では、両者の仕組み、違い、監視設計、具体的な設定例まで、実務ベースでわかりやすくまとめています。

目次

1. Syslog と SNMP Trap の全体像

まずは両者の位置づけのイメージです。

【Syslog/SNMP Trap の構成イメージ】

   +---------------------+
   |  NW機器 / サーバ     |
   |  Firewall / Router  |
   +----------+----------+
              |
      (Syslog 514 / Trap 162)
              |
   +---------------------+
   |   監視サーバ        |
   | (Syslog・Trap受信)  |
   +---------------------+

Syslog → 通常ログを継続的に送信
Trap    → 障害発生の瞬間を通知

Syslogとは

  • 機器が出力するログを Syslog サーバへ送信する仕組み
  • info / warning / error などレベル分けされたログを収集できる
  • 事後分析・予兆検知に強い
あわせて読みたい
ネットワーク監視設計【SNMP・Syslog・NetFlow の使い分け】 ネットワーク運用において、障害の早期発見やパフォーマンス分析を行うためには、適切な監視設計が欠かせません。特に、SNMP・Syslog・NetFlowは多くの企業ネットワーク…

SNMP Trapとは

  • 機器側が「異常を検知した瞬間」に送る即時通知
  • ログではなくイベント単位の通知
  • リアルタイム警告に強い

Syslog と SNMP Trap の違い

項目SyslogSNMP Trap
目的時系列ログ収集・調査・予兆検知即時異常通知
情報量多い(詳細)少ない(イベントのみ)
通信ポートUDP/TCP 514UDP 162
想定用途ログ監視・不具合調査アラート通知・障害検知

2. 異常検知の仕組み

Syslogを使った異常検知

  • 機器がログ生成 → Syslog サーバに送信
  • 監視サーバがログを取り込み
  • 「エラー/警告ログ」や「特定キーワード」を監視

例) ・“link down” ・“authentication failed” ・“disk full”

SNMP Trap を使った異常検知

Trap は「異常発生時のみ」送られる点が特徴です。

【SNMP Trap の流れ】

 ① 機器で異常発生
 ② Trap(OID)を監視サーバに送信
 ③ 監視サーバが OID を解析
 ④ アラート通知(メール/Slack 等)
  • リンクダウン
  • 温度異常
  • ファン停止
  • 電源障害

3. 実運用における最適な監視設計

Syslog:詳細ログ・予兆検知向け

  • エラー/警告ログの収集
  • ログ量の増加による予兆検知
  • 障害後の調査

SNMP Trap:瞬時の異常検知向け

  • リンクダウンの瞬間を捉える
  • ハードウェア障害を即時把握

Syslog + Trap の併用が最強

    【併用監視モデル】

      ① Syslog … 詳細ログ・予兆・原因分析
      ② Trap    … 障害の瞬間をリアルタイム検知

→ 障害対応力が大幅に向上

4. Cisco / Linux の設定例

4-1. Cisco:Syslog設定


logging host 192.168.1.50
logging trap informational
logging facility local7

4-2. Cisco:SNMP Trap設定


snmp-server community public RO
snmp-server enable traps
snmp-server host 192.168.1.50 version 2c public

4-3. Linux:Syslog送信設定(rsyslog)


# /etc/rsyslog.conf
*.*  @192.168.1.50:514     # UDP
*.*  @@192.168.1.50:514    # TCP

4-4. Linux:SNMP Trap送信設定


# /etc/snmp/snmpd.conf
trapsink 192.168.1.50 public

5. 監視サーバ側の処理(例:Zabbix)

Syslog監視(rsyslog → Zabbix)

  • rsyslog でログを整形して Zabbix に送信
  • キーワードでトリガー発火

SNMP Trap監視(snmptrapd → snmptt)

  • snmptrapd が Trap 受信
  • snmptt が OID を解析し Zabbix に送信

6. 注意点とベストプラクティス

1. Syslog はログ量が膨大になる

  • フィルタ設定を必ず行う
  • 保存期間を決める

2. SNMP Trap は取りこぼしが起こる可能性

重要箇所は「定期監視(Polling)」と併用するべきです。

3. Trap Storm に注意

多数のTrapが一度に送られて監視サーバが飽和することがあります。

4. OID 管理台帳を用意する

「どの Trap が何のイベントか」把握するため必須。

7. まとめ

Syslog は詳細情報・予兆検知に、SNMP Trap は瞬時の異常検知に強みがあります。 双方を適切に組み合わせることで、障害検知の精度と速度を大幅に向上できます。

監視設計や設定はどれも実務で使われている内容なので、ぜひ参考にしてみてください。

NW(CCNA)
目次