启用远程传输后,vCenter Server 开始传输并且仅将新生成的事件传输到远程 syslog 服务器。
所有 syslog 消息都以特定前缀开头。可以通过其 Event 前缀区分 vCenter Server 事件与其他 syslog 消息。
syslog 协议将 syslog 消息的长度限制为 1024 个字符。长度超过 1024 个字符的消息将拆分为多个 syslog 消息。
在 syslog 服务器中,事件采用以下格式:
<syslog-prefix> : Event [eventId] [partInfo] [createdTime] [eventType] [severity] [user] [target] [chainId] [desc]
| 项目 | 描述 |
|---|---|
| syslog-prefix | 显示 syslog 前缀。<syslog-prefix> 由远程 syslog 服务器配置确定。 |
| eventId | 显示事件消息的唯一 ID。默认值为 Event。 |
| partInfo | 显示消息是否拆分为多个部分。 |
| createdTime | 显示生成事件的时间。 |
| eventType | 显示事件类型。 |
| severity | 显示事件是一条信息、一个警告还是一个错误。 |
| 用户 | 显示生成事件的用户的名称。 |
| 目标 | 显示事件所指的对象。 |
| chainId | 显示有关父 ID 或组 ID 的信息。 |
| desc | 显示事件描述。 |
将长事件消息拆分为多个 Syslog 消息
长度超过 1024 个字符的事件将按以下方式拆分为多个 syslog 消息:
<syslog-prefix> : Event [eventId] [1-X] [payload-part-1] <syslog-prefix> : Event [eventId] [2-X] [payload-part-2] ... <syslog-prefix> : Event [eventId] [X-X] [payload-part-X]
X 表示事件消息的部分数。
将 vCenter Server 日志文件转发到 远程 Syslog 服务器
您可以将 vCenter Server 日志文件转发到 远程 Syslog 服务器进行日志分析。
注:
ESXi 可以配置为将日志文件发送到
vCenter Server,而不是将其存储到本地磁盘。建议最多从 30 个支持的主机中收集日志。有关如何配置
ESXi 日志转发的信息,请参见 http://kb.vmware.com/s/article/2003322。此功能适用于具有无状态
ESXi 主机的较小的环境。对于所有其他情况,请使用专用的日志服务器。使用
vCenter Server 接收 ESXi 日志文件可能会影响
vCenter Server 性能。
前提条件
以 root 用户身份登录 vCenter Server 管理界面。
过程
配置传输到远程 Syslog 服务器的事件
还可以配置将事件写入到 vCenter Server 传输设施。仅 vCenter Server 支持事件传输。默认情况下,禁用到远程 syslog 服务器的事件传输。可以从 vCenter Server 管理界面启用和配置到远程 syslog 服务器的 vCenter Server 事件传输。
