从 4.5 版本开始,网关可以通过远程 Syslog 服务器或 Telegraf 将 NAT 信息导出到所需的目标。通过流式传输 NAT 信息,操作员可以确定任何应用了 NAT 的流量的原始发送者。

必备条件

  • 仅操作员和合作伙伴可以配置网关 NAT 条目 Syslog。如果操作员向合作伙伴授予网关管理访问权限,则合作伙伴可以配置 NAT 条目 Syslog。
    注: 每个网关的最大远程 Syslog 服务器数量为两个。

过程(通过远程服务器)

要通过远程服务器为网关配置 Syslog 设置,请执行以下步骤。

  1. 从 SD-WAN Orchestrator 中,转到网关 (Gateways)

    将显示 SD-WAN 网关 (Gateways) 页面。

  2. 选择一个网关以配置 NAT 条目 Syslog。

    将显示选定网关的“配置设置”(Configure Settings) 页面。

  3. 向下滚动到 Syslog 设置 (Syslog Settings) 区域。

  4. Syslog 设置 (Syslog Settings) 区域中,配置以下设置:
    1. 设施 (Facility) 下拉菜单中选择一个设施。
    2. 标记 (Tag) 文本框中,键入标记。
    3. 输入远程 Syslog 服务器的 IP 地址。
    4. 协议 (Protocol) 下拉菜单中选择一种协议。
    5. 端口 (Port) 文本框中输入端口详细信息。
    6. Syslog 级别 (Syslog Level) 下拉菜单中,“信息”(INFO) 是唯一的选项,用于流式传输在网关中输入的 NAT 条目详细信息。
  5. 单击“+”按钮以添加另一个 Syslog 收集器,否则,单击保存更改 (Save Changes)

过程(通过 Telegraf)

有关通过 Telegraf 配置 Syslog 设置的信息,请参阅位于 https://docs.vmware.com/cn/VMware-SD-WAN/index.html 的《VMware SD-WAN 网关监控指南》。

有关 NAT 事件消息中包含的字段,请参阅下表。

表 1. Syslog 事件消息字段
字段 描述
ACTION NAT 插入/NAT 删除
ENTERPRISE_ID 企业逻辑 ID
VCE_ID 流量源自的 Edge 的逻辑 ID。
VCG_ID 网关的逻辑 ID
SEGMENT_ID 流量所属的分段 ID
CLIENT_SRC_ADDR Edge 后面的源主机的 IP 地址,这对完成端到端跟踪非常有用。
CLIENT_SRC_PORT Edge 后面的源主机使用的源端口。
VCG_SRC_ADDR 用于传输此流量的公用 VCG 接口的 IP 地址。
VCG_SRC_PORT VCG 用来建立连接的源端口。
DST_ADDR 流量的原始目标地址。
DST_PORT 流量的目标端口。
PROTOCOL 协议名称
PKTS_SENT 传输到云的数据包数
BYTES SENT 传输到云的字节数
PKTS_RCVD 从云接收的数据包数
BYTES RCVD 从云接收的字节数
FLOW_DURATION_MS 流量的持续时间

故障排除

要执行故障排除工作,请执行以下步骤。
  1. 检查 /etc/rsyslog.conf 文件,并验证配置的服务器是否已使用正确的协议和端口进行更新。
  2. 检查是否为配置的服务器安装了 iptable 规则。
  3. 检查“tcpdump.sh -ni any host 127.0.0.1 and port 514 -v”,并验证是否将 Syslog 消息从 natd 转发到 rsyslogd。
  4. 检查“tcpdump.sh -ni any host <syslog-collector-ip.”,并验证是否将 Syslog 消息转发到远程 Syslog。