您可以配置 VMware Aria Operations for Logs 服务器以将传入日志事件转发到 syslog 或数据获取 API 目标。

使用日志转发可将筛选或标记的日志发送到一个或多个远程目标,例如 VMware Aria Operations for Logs 和/或 syslog。日志转发可用于支持现有的日志记录工具(例如 SIEM)以及整合不同网络(例如 DMZ 或 WAN)上的日志记录。

日志转发器可以是独立的,也可以是集群形式的,但日志转发器是与远程目标分离的实例。配置用于日志转发的实例也会在本地存储日志,并可用于查询数据。

在“日志转发”页面上用于创建筛选器的运算符与在“浏览日志”页面上用于创建筛选器的运算符不同。有关使用在“浏览日志”页面中运行菜单项预览日志筛选器结果的详细信息,请参见在“浏览日志”中使用日志管理筛选器

前提条件

确认您已经以超级管理员用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 VMware Aria Operations for Logs Web 用户界面。有关详细信息,请参见创建和修改角色。Web 用户界面的 URL 格式为 https://operations-for-logs-host,其中 operations-for-logs-hostVMware Aria Operations for Logs 虚拟设备的 IP 地址或主机名。

确认目标可以处理转发的日志数。如果目标集群比转发实例小很多,可能会丢弃某些日志。

过程

  1. 展开主菜单,单击日志管理,然后单击日志转发
  2. 单击 "" 新建目标,然后提供以下信息。
    选项 描述
    名称 新目标的唯一名称。
    主机 IP 地址或完全限定域名。
    小心: 转发循环是一种配置,在这种配置中, VMware Aria Operations for Logs 集群会向其自身或其他集群转发日志,之后又会将日志转发回原始集群。此类循环可能会为每个转发的日志创建无数个副本。 VMware Aria Operations for Logs Web 界面不允许将日志配置为转发给自身。但是, VMware Aria Operations for Logs 无法阻止间接转发循环,例如 VMware Aria Operations for Logs 集群 A 将日志转发给集群 B,集群 B 又将相同的日志转发回集群 A。在创建转发目标时,请注意不要创建间接转发循环。
    协议

    数据获取 API、syslog 或 RAW。默认值为数据获取 API (CFAPI)。

    当使用数据获取 API 转发日志时,日志的原始源会保留在源字段中。当使用 syslog 转发日志时,日志的原始源会丢失且接收方可以将消息源记录为 VMware Aria Operations for Logs 转发器的 IP 地址或主机名。使用 RAW 转发日志时,行为与 syslog 类似,但无法确保 syslog RFC 合规性。RAW 将完全按照接收日志的方式来转发日志,VMware Aria Operations for Logs 不会添加自定义 syslog 标头。此协议对于第三方目标非常有用,因为它们需要原始格式的 syslog 事件。

    注:
    根据在日志转发器上选定的协议,源字段的值可能有所不同:
    1. 对于数据获取 API,源是最初发送方(日志发生器)的 IP 地址。
    2. 对于 syslog 和 RAW,源是日志转发器的 VMware Aria Operations for Logs 实例 IP 地址。
    使用 SSL 您可以选择使用 SSL 保护数据获取 API 或 syslog 的连接。如果转发目标提供的 SSL 证书不受信任,您可以在测试或保存此配置时接受该证书。
    标记 您可以选择添加带有预定义值的标记对。标记可使您更方便地查询日志。您可以采用逗号分隔的形式添加多个标记。
    转发补充标记 您可以选择是否要转发 syslog 的补充标记。

    补充标记是集群本身添加的标记,例如,“vc_username”或“vc_vmname”。可以将其与直接来自源的标记一起转发。在使用数据获取 API 时,将始终转发补充标记。

    传输 选择 syslog 的传输协议。您可以选择“UDP”或“TCP”。
  3. 要控制转发的日志,请单击 "" 添加筛选器
    选择字段和限制以定义所需的日志。只能将静态字段作为筛选器。如果不选择筛选器,将转发所有日志。通过单击 在“浏览日志”页面中运行,可以查看所构建的筛选器的结果。
    运算符 描述
    匹配 查找匹配字符串和通配符规范的字符串,其中 * 表示零个或多个字符,? 表示零个或任意单个字符。支持前缀和后缀通配。

    例如,*test*test123my-test-run 等字符串匹配。

    不匹配 排除匹配字符串和通配符规范的字符串,其中 * 表示零个或多个字符,? 表示零个或任意单个字符。支持前缀和后缀通配。

    例如,test* 会排除 test123,但不会排除 mytest123?test* 会排除 test123xtest123,但不会排除 mytest123
    开头为 查找以指定字符串开头的字符串。

    例如,test 找到 test123test,但不会找到 my-test123
    不以下列字符开头 排除以指定字符串开头的字符串。

    例如,test 筛选掉 test123,但不会排除 my-test123。

  4. (可选) 要修改以下转发信息,请单击显示高级设置
    选项 描述
    端口 远程目标上向其发送日志的端口。将基于协议设置默认值。请勿更改,除非远程目标侦听其他端口。
    工作线程数 要使用的同步出站连接数。设置的工作线程数越高,转发目标的网络延迟就越长,每秒转发的日志数也就越多。默认值为 8。
  5. 要验证您的配置,请单击测试
  6. 如果转发目标提供了不受信任的 SSL 证书,则会显示一个对话框,其中显示有该证书的详细信息。单击接受将证书添加到 VMware Aria Operations for Logs 集群中所有节点的信任库。
    如果单击 取消,则不会将该证书添加到信任库中,并且与转发目标的连接将失败。您必须接受证书才能成功连接。
  7. 单击保存
    如果未测试配置,并且目标提供的证书不受信任,请按照第 7 步中的说明进行操作。

下一步做什么

您可以编辑或克隆日志转发目标。如果编辑目标以更改日志转发器名称,则会重置所有统计信息。