TWSNMP FCのポーリング辞典：syslog PRIをAI分析する

復刻版のTWSNMPにAI分析を搭載するきっかけになったsyslog PRIのポーリングについての説明です。TWSNMP FCにも搭載しました。

syslog PRIについて

syslogについては、

syslogとは

とかを見てください。syslogはネットワーク管理、システム管理には欠かせないものになっていると思います。

syslog　PRI(Priority)についての定義は、

RFC 3164: The BSD Syslog Protocol

の4.1.1 PRI Partをみてください。簡単にいうと機能（Facility）と重要度（Severity）を数値で表したものです。

PRI = Facility * 8 + Severity

FacilityとSeverityは、

Syslogメッセージのプライオリティ対応表 – ジュピターテクノロジー株式会社

の表が見やすいです。

ポーリングの動作

このポーリングは、受信したsyslogのPRI毎の数を１時間毎に集計するものです。通常の運用状態だと特定の機能の特定の重要度のsyslogが同じようなペースで記録されるだろうという予測に基づいています。平日や休日の違いも記録してAIで分析すれば異常な状態（いつもと違うログが記録されている）を発見できるだろうというアイデアです。わりと上手く動いています。

ポーリングの設定

このポーリングは、

のように種別のSYSLOG PRIを選択して、モードにpriを指定します。対象のsyslogを検索するフィルターを設定します。このポーリングのログモードはAI分析を選択します。

ポーリング結果

フィルターの設定を間違えなければ、このポーリングはすべて正常の結果になります。データを取得するだけだからです。設定を間違えると不明の状態になります。

うまく結果が取得できていれば、ポーリング間隔に関係なく１時間毎に集計データが記録されます。

のようなログを集計します。
結果のデータは、

{"pri_19":"21","pri_22":"90","pri_27":"66","pri_30":"1722","pri_38":"360","pri_78":"1","pri_86":"242"}

のような形式で保存されています。PRIが19のデータが１時間に21件あったというようなデータです。Facilityが２とSeverityが３です。
何日か取得すれば、AI分析できるようになります。

※この記事を書いた時は準備不足なのでAI分析の結果は何日か後に、書きます。

ちなみに、何日か分析すると

のような結果が見られます。赤いところが異常です。

AI分析のアルゴリズム

システム設定のマップに、アルゴリズムの選択があります。

今は、
Local Outiler Factor

局所外れ値因子法 - Wikipedia

と
Isolation Forest

【Isolation Forest】決定木で説明性・解釈性を考慮した異常検知｜はやぶさの技術ノート【Isolation Forest】決定木で説明性・解釈性を考慮した異常検知

を搭載しています。

ポーリングテンプレート

この記事で説明したポーリングのテンプレートは

  {
    "Name": "SYSLOG PRI監視",
    "Type": "syslog",
    "Mode": "pri",
    "Filter": "フィルター条件",
    "Level": "off",
    "Descr": "SYSLOG PRI監視",
    "AutoMode": "disable"
  },

 です。フィルター条件を必要に応じて変えてください。