您可以使用 Log Insight 或 Splunk 监控 NSX 环境。

您可以在 https://splunkbase.splunk.com/app/4241 找到 NSX Splunk 应用程序。

Log Insight 内容包具有以下警示:

警示名称 说明
SysCpuUsage CPU 使用率高于 95% 的时间超过 10 分钟。
SysMemUsage 内存使用率高于 95% 的时间超过 10 分钟。
SysDiskUsage 一个或多个分区的磁盘使用率高于 89% 的时间超过 10 分钟。
PasswordExpiry 设备用户帐户的密码即将过期或已过期。
CertificateExpiry 一个或多个 CA 签名证书已过期。
ClusterNodeStatus 本地 Edge 集群节点已关闭。
BackupFailure NSX 计划的备份操作失败。
VipLeadership NSX 管理集群 VIP 已关闭。
ApiRateLimit 客户端 API 已达到配置的阈值。
CorfuQuorumLost 集群中有两个节点已关闭,并丢失了 corfu 仲裁。
DfwHeapMem DFW 堆内存已超出配置的阈值。
ProcessStatus 关键流程状态已更改。
ClusterFailoverStatus SR 高可用性状态已更改或活动/备用服务进行故障切换。
DhcpPoolUsageOverloadedEvent DHCP 池已达到配置的使用量阈值。
FabricCryptoStatus 由于未通过 Known_Answer_Tests (KAT),Edge 加密 mux 驱动程序已关闭。
VpnTunnelState VPN 隧道已关闭。
BfdTunnelStatus BFD 隧道状态已更改。
RoutingBgpNeighborStatus BGP 邻居处于关闭状态。
VpnL2SessionStatus L2 VPN 会话已关闭。
VpnIkeSessionStatus IKE 会话已关闭。
RoutingStatus 路由 (BGP/BFD) 已关闭。
DnsForwarderStatus DNS 转发器运行状态为“已关闭”。
TnConnDown_15min 传输节点与控制器/管理器的连接已断开至少 15 分钟。
TnConnDown_5min 传输节点与控制器/管理器的连接已断开至少 5 分钟。
ServiceDown 一个或多个服务已关闭。
IpNotAvailableInPool 池中没有可用的 IP 或已达到配置的阈值。
LoadBalancerError NSX 负载均衡器服务处于错误状态。
LoadBalancerDown NSX 负载均衡器服务处于关闭状态。
LoadBalancerVsDown VS 状态:所有池成员均已关闭。
LoadBalancerPoolDown 池状态:所有池成员均已关闭。
ProcessCrash 进程或守护进程在数据路径或其他 LB 进程(如 Dispatcher 等)中崩溃。

仪表板

Splunk 应用程序和 Log Insight 内容包都具有以下仪表板。

表 1. NSX - 基础架构
小组件名称 备注
NSX Manager:通信错误 这些是 NSX Manager 上的所有通信日志错误。这些错误按主机名进行分组。
传输节点 - NSX Manager:通信错误 NSX 传输节点(vSphere 主机、KVM 主机和 NSX Edge)和 NSX Manager 之间的通信错误。建议对返回值最高的主机名进行分析以查找潜在问题。
传输节点 - 控制器:通信错误 NSX 传输节点(vSphere 主机、KVM 主机和 NSX Edge)和 NSX Controller 之间的通信错误。建议对返回值最高的主机名进行分析以查找潜在问题。
控制器:通信错误 集群中控制器之间的通信错误。建议对返回值最高的主机名进行分析以查找潜在问题。
配置错误 此小组件基于从创建 NSX 基础架构的各种组件生成的已知错误模式。建议对返回值最高的主机名进行分析以查找潜在问题。
其他错误 所有 NSX 组件中的其他错误。建议对返回值最高的主机名进行分析以查找潜在问题。主机代理故障(如 netcpa 关闭或 MPA 关闭)可能需要立即采取措施。
表 2. NSX - 审核
小组件名称 备注
逻辑交换机审核

从捕获任何创建、更新或删除事件的 NSX 审核日志中摘录的逻辑交换机消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机审核事件的常规计数。

逻辑交换机审核详细信息 所有逻辑交换机审核事件。此小组件基于从创建 NSX 逻辑交换机基础架构的各种组件生成的已知错误模式。
逻辑交换机端口审核

从捕获任何创建、更新或删除事件的 NSX 审核日志中摘录的逻辑交换机端口消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机端口审核事件的常规计数。

逻辑交换机端口审核详细信息 所有逻辑交换机端口审核事件。此小组件基于从创建 NSX 逻辑交换机基础架构的各种组件生成的已知错误模式。
逻辑路由器审核

从捕获任何创建、更新或删除事件的 NSX 审核日志中摘录的逻辑路由器消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器审核事件的常规计数。

逻辑路由器审核详细信息 所有逻辑路由器审核事件。此小组件基于从创建 NSX 逻辑路由基础架构的各种组件生成的已知错误模式。
逻辑路由器端口审核

从捕获任何创建、更新或删除事件的 NSX 审核日志中摘录的逻辑路由器端口消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器端口审核事件的常规计数。

逻辑路由器端口审核详细信息 所有逻辑交换机端口审核事件。此小组件基于从创建 NSX 逻辑路由器基础架构的各种组件生成的已知错误模式。
防火墙审核

从捕获任何使用新规则添加区域、更新区域或删除区域事件的 NSX 审核日志中摘录的防火墙消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙审核事件的常规计数。

逻辑防火墙审核详细信息 所有防火墙审核事件。此小组件基于从 NSX 防火墙生成的已知错误模式。
表 3.
MSX - 逻辑交换机 备注
已创建逻辑交换机

从捕获任何创建事件的 NSX 审核日志中摘录的逻辑交换机消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机审核事件的常规计数。

逻辑交换机更新

从捕获任何更新事件的 NSX 审核日志中摘录的逻辑交换机消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机审核事件的常规计数。

已删除逻辑交换机

从捕获任何删除事件的 NSX 审核日志中摘录的逻辑交换机消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑交换机审核事件的常规计数。

逻辑交换机审核详细信息 所有逻辑交换机审核事件。
逻辑交换机 - 管理器错误 向 NSX Manager 报告的逻辑交换机日志错误。这些错误按主机名进行分组。
逻辑交换机 - 控制器错误 从 NSX Controller 视图中报告的逻辑交换机日志错误。这些错误按主机名进行分组。
逻辑交换机 - 传输节点错误 所有 NSX 传输节点(vSphere 主机、KVM 主机和 Edge 服务网关)报告的逻辑交换机日志错误。这些错误按节点进行分组。
表 4. NSX - 逻辑路由器
小组件名称 备注
逻辑路由器创建审核事件

从捕获任何创建事件的 NSX 审核日志中摘录的逻辑路由器消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器审核事件的常规计数。

逻辑路由器更新审核事件

从捕获任何更新事件的 NSX 审核日志中摘录的逻辑路由器消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器审核事件的常规计数。

逻辑路由器删除审核事件

从捕获任何删除事件的 NSX 审核日志中摘录的逻辑路由器消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供逻辑路由器审核事件的常规计数。

逻辑路由器审核详细信息 所有逻辑路由器审核事件。
逻辑路由器 - 管理器错误 向 NSX Manager 报告了逻辑路由器日志错误。这些错误按主机名进行分组。
逻辑路由器 - 控制器错误 NSX Controller 检测到的逻辑路由器日志错误。这些错误按主机名进行分组。
逻辑路由器 - 传输节点错误 NSX 传输节点(vSphere 主机、KVM 主机和 Edge 服务网关)的逻辑路由器日志错误。这些错误按节点进行分组。
表 5. NSX - 分布式防火墙概览
小组件名称 备注
区域创建事件

所有防火墙区域创建审核事件。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

区域更新事件

所有防火墙区域更新审核事件。

注意 - 对规则执行的任何创建、更新和删除活动都会引发区域更新事件。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

区域删除事件

所有防火墙区域删除审核事件。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

区域审核详细信息

显示所有防火墙审核事件(谁更改了什么)。

注意 - 对规则执行的任何创建、更新和删除活动都会引发区域更新事件。

防火墙 - 管理器错误 向 NSX Manager 报告了防火墙日志错误。这些错误按主机名进行分组。
防火墙 - 控制器错误 向 NSX Controller 报告的防火墙日志错误。这些错误按主机名进行分组。
防火墙 - 传输节点错误 NSX 传输节点(vSphere 主机和 KVM 主机)上的防火墙日志错误。这些错误按节点进行分组。
表 6. NSX - 分布式防火墙流量
小组件名称 备注
排名靠前的防火墙源 所有正在记录数据的防火墙规则中排名靠前的源 IP 地址。
排名靠前的防火墙目标 所有正在记录数据的防火墙规则中排名靠前的目标 IP 地址。
允许的应用程序端口 按目标端口衡量 NSX-T 环境中允许的所有入站/出站连接数。该数据是指定的时间范围的总和。
被拒绝的应用程序端口 防火墙规则定义的所有流量。此数据按应用程序(或目标)端口号进行分组。此小组件仅显示与端口关联的数据。不会显示不含关联端口的流量类型,例如 ICMP。
按字节数排名靠前的防火墙源 - 客户端到服务器 按源 IP 地址划分的从客户端到服务器的所有防火墙流量(以字节为单位)。仅当防火墙正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的防火墙目标 - 客户端到服务器 按目标 IP 地址划分的从客户端到服务器的所有防火墙流量(以字节为单位)。仅当防火墙正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的防火墙源 - 服务器到客户端 按源 IP 地址划分的从服务器到客户端的所有防火墙流量(以字节为单位)。仅当防火墙正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的防火墙目标 - 服务器到客户端 按目标 IP 地址划分的从服务器到客户端的所有防火墙流量(以字节为单位)。仅当防火墙正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
表 7. NSX - DHCP
小组件名称 备注
DHCP 创建审核事件

所有 DHCP 都会创建审核事件,包括新的 DHCP 配置文件、静态绑定或 IP 池。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

DHCP 更新审核事件

所有 DHCP 更新审核事件,包括更新的 DHCP 配置文件、静态绑定和 IP 池。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

DHCP 删除审核事件

所有 DHCP 删除审核事件,包括已删除的 DHCP 配置文件、静态绑定或 IP 池。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供防火墙更改的常规计数。

DHCP 审核详细信息 所有 DHCP 审核事件。
DHCP - 管理器错误 NSX Manager 报告的 DHCP 日志错误。
DHCP - 控制器错误 NSX Controller 报告的 DHCP 日志错误。
DHCP - 传输节点错误 NSX 传输节点(vSphere 主机、KVM 主机和 Edge 服务网关)报告的 DHCP 日志错误。
表 8. NSX - 备份
小组件名称 备注
备份配置更新 对备份配置进行更新的总次数。
备份故障 一段时间的所有备份故障计数按错误代码进行分组。
成功的集群备份 已成功完成的集群和节点备份的总数。
失败的集群备份 失败的集群和节点备份的总数。
成功的清单备份 已成功完成的清单备份的总数。
失败的清单备份 失败的清单备份的总数。
表 9. NSX - IPAM
小组件名称 备注
IPAM 创建事件

从捕获任何创建事件的 NSX 审核日志中摘录的 IPAM 消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供 IPAM 审核事件的常规计数。

IPAM 更新事件

从捕获任何更新事件的 NSX 审核日志中摘录的 IPAM 消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供 IPAM 审核事件的常规计数。

IPAM 删除事件

从捕获任何删除事件的 NSX 审核日志中摘录的 IPAM 消息。

注意:事件可能会重复,因为它们是在多个 NSX 记录器中生成的。因此,此小组件将提供 IPAM 审核事件的常规计数。

IPAM 审核详细信息 所有 IPAM 审核事件。
IPAM - 管理器错误 NSX Manager 报告的 IPAM 日志错误。
表 10. NSX - 统一安全流日志
小组件名称 备注
排名靠前的安全垂直来源 所有正在记录数据的安全垂直项中排名靠前的源 IP 地址。
排名靠前的安全垂直目标 所有正在记录数据的安全垂直项中排名靠前的目标 IP 地址。
允许的应用程序端口 按目标端口衡量 NSX-T 环境中允许的所有入站/出站连接数。该数据是指定的时间范围的总和。
被拒绝的应用程序端口 安全垂直规则拒绝的所有安全流。此数据按应用程序(或目标)端口号进行分组。此小组件仅显示与端口关联的数据。不会显示不含关联端口的流量类型,例如 ICMP。
按字节数排名靠前的安全垂直源 - 客户端到服务器 按源 IP 地址划分的从客户端到服务器的所有安全流量(以字节为单位)。仅当垂直项正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的安全垂直目标 - 客户端到服务器 按目标 IP 地址划分的从客户端到服务器的所有安全流量(以字节为单位)。仅当垂直项正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的安全垂直源 - 服务器到客户端 按源 IP 地址划分的从服务器到客户端的所有安全流量(以字节为单位)。仅当垂直项正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。
按字节数排名靠前的安全垂直目标 - 服务器到客户端 按目标 IP 地址划分的从服务器到客户端的所有安全流量(以字节为单位)。仅当垂直项正在记录其数据时,才会显示数据。该数据是指定的时间范围的总和。