从 4.5 版本开始,网关可以通过远程 syslog 服务器或 Telegraf 将 NAT 信息导出到所需的目标。通过流式传输 NAT 信息,操作员可以确定任何应用了 NAT 的流量的原始发送者。
必备条件
- 仅操作员和合作伙伴可以配置网关 NAT 条目 syslog。如果操作员向合作伙伴授予网关管理访问权限,则合作伙伴可以配置 NAT 条目 syslog。
注: 每个网关的最大远程 syslog 服务器数量为两个。
过程(通过远程服务器)
要通过远程服务器为网关配置 syslog 设置,请执行以下步骤。
- 从 SD-WAN Orchestrator 中,转到网关 (Gateways)。
将显示 SD-WAN 网关 (Gateways) 页面。
- 选择一个网关以配置 NAT 条目 syslog。
将显示选定网关的“配置设置”(Configure Settings) 页面。
- 向下滚动到 Syslog 设置 (Syslog Settings) 区域。
- 在 Syslog 设置 (Syslog Settings) 区域中,配置以下设置:
- 在设施 (Facility) 下拉菜单中选择一个设施。
- 在标记 (Tag) 文本框中,键入标记。
- 输入远程 syslog 服务器的 IP 地址。
- 从协议 (Protocol) 下拉菜单中选择一种协议。
- 在端口 (Port) 文本框中输入端口详细信息。
- 在 Syslog 级别 (Syslog Level) 下拉菜单中,“信息”(INFO) 是唯一的选项,用于流式传输在网关中输入的 NAT 条目详细信息。
- 单击“+”按钮以添加另一个 syslog 收集器,否则,单击保存更改 (Save Changes)。
过程(通过 Telegraf)
有关通过 Telegraf 配置 syslog 设置的信息,请参阅位于 https://docs.vmware.com/cn/VMware-SD-WAN/index.html 的《VMware SD-WAN 网关监控指南》。
有关 NAT 事件消息中包含的字段,请参阅下表。
字段 | 描述 |
---|---|
ACTION | NAT 插入/NAT 删除 |
ENTERPRISE_ID | 企业逻辑 ID |
VCE_ID | 流量源自的 Edge 的逻辑 ID。 |
VCG_ID | 网关的逻辑 ID |
SEGMENT_ID | 流量所属的分段 ID |
CLIENT_SRC_ADDR | Edge 后面的源主机的 IP 地址,这对完成端到端跟踪非常有用。 |
CLIENT_SRC_PORT | Edge 后面的源主机使用的源端口。 |
VCG_SRC_ADDR | 用于传输此流量的公用 VCG 接口的 IP 地址。 |
VCG_SRC_PORT | VCG 用来建立连接的源端口。 |
DST_ADDR | 流量的原始目标地址。 |
DST_PORT | 流量的目标端口。 |
PROTOCOL | 协议名称 |
PKTS_SENT | 传输到云的数据包数 |
BYTES SENT | 传输到云的字节数 |
PKTS_RCVD | 从云接收的数据包数 |
BYTES RCVD | 从云接收的字节数 |
FLOW_DURATION_MS | 流量的持续时间 |
故障排除
要执行故障排除工作,请执行以下步骤。
- 检查 /etc/rsyslog.conf 文件,并验证配置的服务器是否已使用正确的协议和端口进行更新。
- 检查是否为配置的服务器安装了 iptable 规则。
- 检查“tcpdump.sh -ni any host 127.0.0.1 and port 514 -v”,并验证是否将 syslog 消息从 natd 转发到 rsyslogd。
- 检查“tcpdump.sh -ni any host <syslog-collector-ip.”,并验证是否将 syslog 消息转发到远程 syslog。