您可以使用 Log Insight 或 Splunk 监控 NSX-T Data Center 环境。

您可以在 https://splunkbase.splunk.com/app/4241 找到 NSX-T Data Center Splunk 应用程序。

Log Insight 内容包具有以下警示:

警示名称 说明
SysCpuUsage CPU 使用率高于 95% 的时间超过 10 分钟。
SysMemUsage 内存使用率高于 95% 的时间超过 10 分钟。
SysDiskUsage 一个或多个分区的磁盘使用率高于 89% 的时间超过 10 分钟。
PasswordExpiry 设备用户帐户的密码即将过期或已过期。
CertificateExpiry 一个或多个 CA 签名证书已过期。
ClusterNodeStatus 本地 Edge 集群节点已关闭。
BackupFailure NSX-T Data Center 计划的备份操作失败。
VipLeadership NSX-T Data Center 管理集群 VIP 已关闭。
ApiRateLimit 客户端 API 已达到配置的阈值。
CorfuQuorumLost 集群中有两个节点已关闭,并丢失了 corfu 仲裁。
DfwHeapMem DFW 堆内存已超出配置的阈值。
ProcessStatus 关键流程状态已更改。
ClusterFailoverStatus SR 高可用性状态已更改或活动/备用服务进行故障切换。
DhcpPoolUsageOverloadedEvent DHCP 池已达到配置的使用量阈值。
FabricCryptoStatus 由于未通过 Known_Answer_Tests (KAT),Edge 加密 mux 驱动程序已关闭。
VpnTunnelState VPN 隧道已关闭。
BfdTunnelStatus BFD 隧道状态已更改。
RoutingBgpNeighborStatus BGP 邻居处于关闭状态。
VpnL2SessionStatus L2 VPN 会话已关闭。
VpnIkeSessionStatus IKE 会话已关闭。
RoutingStatus 路由 (BGP/BFD) 已关闭。
DnsForwarderStatus DNS 转发器运行状态为“已关闭”。
TnConnDown_15min 传输节点与控制器/管理器的连接已断开至少 15 分钟。
TnConnDown_5min 传输节点与控制器/管理器的连接已断开至少 5 分钟。
ServiceDown 一个或多个服务已关闭。
IpNotAvailableInPool 池中没有可用的 IP 或已达到配置的阈值。
LoadBalancerError NSX-T Data Center 负载均衡器服务处于错误状态。
LoadBalancerDown NSX-T Data Center 负载均衡器服务处于关闭状态。
LoadBalancerVsDown VS 状态:所有池成员均已关闭。
LoadBalancerPoolDown 池状态:所有池成员均已关闭。
ProcessCrash 进程或守护进程在数据路径或其他 LB 进程(如 Dispatcher 等)中崩溃。

仪表板

Splunk 应用程序和 Log Insight 内容包都具有以下仪表板。

表 1. NSX - 基础架构
小组件名称 备注
NSX Manager:通信错误 这些是 NSX Manager 上的所有通信日志错误。这些错误按主机名进行分组。
传输节点 - NSX Manager:通信错误 NSX 传输节点(vSphere 主机、KVM 主机和 NSX Edge)和 NSX Manager 之间的通信错误。建议对返回值最高的主机名进行分析以查找潜在问题。
传输节点 - 控制器:通信错误 NSX 传输节点(vSphere 主机、KVM 主机和 NSX Edge)和 NSX Controller 之间的通信错误。建议对返回值最高的主机名进行分析以查找潜在问题。
控制器:通信错误 集群中控制器之间的通信错误。建议对返回值最高的主机名进行分析以查找潜在问题。
配置错误 此小组件基于从创建 NSX 基础架构的各种组件生成的已知错误模式。建议对返回值最高的主机名进行分析以查找潜在问题。
其他错误 所有 NSX 组件中的其他错误。建议对返回值最高的主机名进行分析以查找潜在问题。主机代理故障(如 netcpa 关闭或 MPA 关闭)可能需要立即采取措施。
表 2. NSX - 审核
小组件名称 备注
逻辑交换机审核

从捕获任何创建、更新或删除事件的 NSX 审核日志中摘录的逻辑交换机消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机审核事件的常规计数。

逻辑交换机审核详细信息 所有逻辑交换机审核事件。此小组件基于从创建 NSX 逻辑交换机基础架构的各种组件生成的已知错误模式。
逻辑交换机端口审核

从捕获任何创建、更新或删除事件的 NSX 审核日志中摘录的逻辑交换机端口消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机端口审核事件的常规计数。

逻辑交换机端口审核详细信息 所有逻辑交换机端口审核事件。此小组件基于从创建 NSX 逻辑交换机基础架构的各种组件生成的已知错误模式。
逻辑路由器审核

从捕获任何创建、更新或删除事件的 NSX 审核日志中摘录的逻辑路由器消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器审核事件的常规计数。

逻辑路由器审核详细信息 所有逻辑路由器审核事件。此小组件基于从创建 NSX 逻辑路由基础架构的各种组件生成的已知错误模式。
逻辑路由器端口审核

从捕获任何创建、更新或删除事件的 NSX 审核日志中摘录的逻辑路由器端口消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器端口审核事件的常规计数。

逻辑路由器端口审核详细信息 所有逻辑交换机端口审核事件。此小组件基于从创建 NSX 逻辑路由器基础架构的各种组件生成的已知错误模式。
防火墙审核

从捕获任何使用新规则添加区域、更新区域或删除区域事件的 NSX 审核日志中摘录的防火墙消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙审核事件的常规计数。

逻辑防火墙审核详细信息 所有防火墙审核事件。此小组件基于从 NSX 防火墙生成的已知错误模式。
表 3.
MSX - 逻辑交换机 备注
已创建逻辑交换机

从捕获任何创建事件的 NSX 审核日志中摘录的逻辑交换机消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机审核事件的常规计数。

逻辑交换机更新

从捕获任何更新事件的 NSX 审核日志中摘录的逻辑交换机消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机审核事件的常规计数。

已删除逻辑交换机

从捕获任何删除事件的 NSX 审核日志中摘录的逻辑交换机消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机审核事件的常规计数。

逻辑交换机审核详细信息 所有逻辑交换机审核事件。
逻辑交换机 - 管理器错误 向 NSX Manager 报告的逻辑交换机日志错误。这些错误按主机名进行分组。
逻辑交换机 - 控制器错误 从 NSX Controller 视图中报告的逻辑交换机日志错误。这些错误按主机名进行分组。
逻辑交换机 - 传输节点错误 所有 NSX 传输节点(vSphere 主机、KVM 主机和 Edge 服务网关)报告的逻辑交换机日志错误。这些错误按节点进行分组。
表 4. NSX - 逻辑路由器
小组件名称 备注
逻辑路由器创建审核事件

从捕获任何创建事件的 NSX 审核日志中摘录的逻辑路由器消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器审核事件的常规计数。

逻辑路由器更新审核事件

从捕获任何更新事件的 NSX 审核日志中摘录的逻辑路由器消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器审核事件的常规计数。

逻辑路由器删除审核事件

从捕获任何删除事件的 NSX 审核日志中摘录的逻辑路由器消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器审核事件的常规计数。

逻辑路由器审核详细信息 所有逻辑路由器审核事件。
逻辑路由器 - 管理器错误 向 NSX Manager 报告了逻辑路由器日志错误。这些错误按主机名进行分组。
逻辑路由器 - 控制器错误 NSX Controller 检测到的逻辑路由器日志错误。这些错误按主机名进行分组。
逻辑路由器 - 传输节点错误 NSX 传输节点(vSphere 主机、KVM 主机和 Edge 服务网关)的逻辑路由器日志错误。这些错误按节点进行分组。
表 5. NSX - 分布式防火墙概览
小组件名称 备注
区域创建事件

所有防火墙区域创建审核事件。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

区域更新事件

所有防火墙区域更新审核事件。

注意 - 对规则执行的任何创建、更新和删除活动都会引发区域更新事件。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

区域删除事件

所有防火墙区域删除审核事件。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

区域审核详细信息

显示所有防火墙审核事件(谁更改了什么)。

注意 - 对规则执行的任何创建、更新和删除活动都会引发区域更新事件。

防火墙 - 管理器错误 向 NSX Manager 报告了防火墙日志错误。这些错误按主机名进行分组。
防火墙 - 控制器错误 向 NSX Controller 报告的防火墙日志错误。这些错误按主机名进行分组。
防火墙 - 传输节点错误 NSX 传输节点(vSphere 主机和 KVM 主机)上的防火墙日志错误。这些错误按节点进行分组。
表 6. NSX - 分布式防火墙流量
小组件名称 备注
排名靠前的防火墙源 所有正在记录数据的防火墙规则中排名靠前的源 IP 地址。
排名靠前的防火墙目标 所有正在记录数据的防火墙规则中排名靠前的目标 IP 地址。
允许的应用程序端口 按目标端口衡量 NSX-T 环境中允许的所有入站/出站连接数。该数据是指定的时间范围的总和。
被拒绝的应用程序端口 防火墙规则定义的所有流量。此数据按应用程序(或目标)端口号进行分组。此小组件仅显示与端口关联的数据。不会显示不含关联端口的流量类型,例如 ICMP。
按字节数排名靠前的防火墙源 - 客户端到服务器 按源 IP 地址划分的从客户端到服务器的所有防火墙流量(以字节为单位)。仅当防火墙正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的防火墙目标 - 客户端到服务器 按目标 IP 地址划分的从客户端到服务器的所有防火墙流量(以字节为单位)。仅当防火墙正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的防火墙源 - 服务器到客户端 按源 IP 地址划分的从服务器到客户端的所有防火墙流量(以字节为单位)。仅当防火墙正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的防火墙目标 - 服务器到客户端 按目标 IP 地址划分的从服务器到客户端的所有防火墙流量(以字节为单位)。仅当防火墙正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
表 7. NSX - DHCP
小组件名称 备注
DHCP 创建审核事件

所有 DHCP 都会创建审核事件,包括新的 DHCP 配置文件、静态绑定或 IP 池。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

DHCP 更新审核事件

所有 DHCP 更新审核事件,包括更新的 DHCP 配置文件、静态绑定和 IP 池。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

DHCP 删除审核事件

所有 DHCP 删除审核事件,包括已删除的 DHCP 配置文件、静态绑定或 IP 池。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

DHCP 审核详细信息 所有 DHCP 审核事件。
DHCP - 管理器错误 NSX Manager 报告的 DHCP 日志错误。
DHCP - 控制器错误 NSX Controller 报告的 DHCP 日志错误。
DHCP - 传输节点错误 NSX 传输节点(vSphere 主机、KVM 主机和 Edge 服务网关)报告的 DHCP 日志错误。
表 8. NSX - 备份
小组件名称 备注
备份配置更新 对备份配置进行更新的总次数。
备份故障 一段时间的所有备份故障计数按错误代码进行分组。
成功的集群备份 已成功完成的集群和节点备份的总数。
失败的集群备份 失败的集群和节点备份的总数。
成功的清单备份 已成功完成的清单备份的总数。
失败的清单备份 失败的清单备份的总数。
表 9. NSX - IPAM
小组件名称 备注
IPAM 创建事件

从捕获任何创建事件的 NSX 审核日志中摘录的 IPAM 消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供 IPAM 审核事件的常规计数。

IPAM 更新事件

从捕获任何更新事件的 NSX 审核日志中摘录的 IPAM 消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供 IPAM 审核事件的常规计数。

IPAM 删除事件

从捕获任何删除事件的 NSX 审核日志中摘录的 IPAM 消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供 IPAM 审核事件的常规计数。

IPAM 审核详细信息 所有 IPAM 审核事件。
IPAM - 管理器错误 NSX Manager 报告的 IPAM 日志错误。
表 10. NSX - 统一安全流日志
小组件名称 备注
排名靠前的安全垂直来源 所有正在记录数据的安全垂直项中排名靠前的源 IP 地址。
排名靠前的安全垂直目标 所有正在记录数据的安全垂直项中排名靠前的目标 IP 地址。
允许的应用程序端口 按目标端口衡量 NSX-T 环境中允许的所有入站/出站连接数。该数据是指定的时间范围的总和。
被拒绝的应用程序端口 安全垂直规则拒绝的所有安全流。此数据按应用程序(或目标)端口号进行分组。此小组件仅显示与端口关联的数据。不会显示不含关联端口的流量类型,例如 ICMP。
按字节数排名靠前的安全垂直源 - 客户端到服务器 按源 IP 地址划分的从客户端到服务器的所有安全流量(以字节为单位)。仅当垂直项正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的安全垂直目标 - 客户端到服务器 按目标 IP 地址划分的从客户端到服务器的所有安全流量(以字节为单位)。仅当垂直项正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的安全垂直源 - 服务器到客户端 按源 IP 地址划分的从服务器到客户端的所有安全流量(以字节为单位)。仅当垂直项正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的安全垂直目标 - 服务器到客户端 按目标 IP 地址划分的从服务器到客户端的所有安全流量(以字节为单位)。仅当垂直项正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。