您可以指定最多三个 vRealize Log Insight Linux 代理可以将日志事件发送到的目标。

多个目标连接通过 li-agent.ini 文件的 [server|<dest_id>] 部分进行定义,其中,<dest_id> 是每个配置连接的唯一 ID。您可以对其他目标使用与默认 [server] 部分相同的选项。但是,请勿将其他目标配置为自动升级,也不要使用它们来配置代理。您可以指定两个其他目标。

您定义的第一个目标可以使用默认服务器值 loginsight。定义其他目标时,必须在后续目标的 [server] 部分中指定一个主机名。如果不筛选,代理会将所有收集的日志发送到所有目标。这是默认行为。不过,您可以通过筛选日志将不同的日志发送到不同的目标。

前提条件

  • root 用户身份登录,或使用 sudo 运行控制台命令。
  • 登录到已安装 vRealize Log InsightLinux 代理的 Linux 计算机,打开控制台,然后运行 pgrep liagent 以验证 vRealize Log Insight Linux 代理是否已安装且正在运行。
  • 如果 vRealize Log Insight 集群具有启用的集成负载均衡器,请参见启用集成负载均衡器以了解自定义 SSL 证书特定的要求。

过程

  1. 在任意文本编辑器中打开 /var/lib/loginsight-agent/liagent.ini 文件。
  2. 修改以下参数,并设置用于您环境的值。
    参数 描述
    proto

    代理向 vRealize Log Insight 服务器发送日志事件所使用的协议。可能的值为 cfapisyslog

    默认值为 cfapi。

    hostname vRealize Log Insight 虚拟设备的 IP 地址或主机名。
    可以指定 IPv4 或 IPv6 地址。指定 IPv6 地址时可以使用方括号,也可以不使用。例如: 
    hostname = 2001:cdba::3257:9652
or
hostname = [2001:cdba::3257:9652]
    如果主机同时支持 IPv4 和 IPv6 堆栈,并且域名被指定为主机名,代理将根据名称解析程序返回的 IP 地址使用 IP 堆栈。如果解析程序同时返回 IPv4 和 IPv6 地址,代理将尝试按给定的顺序依次连接这两个地址。
    max_disk_buffer Log Insight Linux 代理可用于缓冲为此特定服务器所收集日志事件的最大磁盘空间 (MB)。此选项将覆盖该服务器的 [storage].max_disk_buffer 值。

    默认值为 150 MB,您可以将缓冲区大小设置为 50 MB 到 8000 MB。

    port
    代理向 vRealize Log Insight 服务器或第三方服务器发送日志事件所使用的通信端口。默认情况下,代理根据为 SSL 和协议设置的选项使用相应的端口。请参见下面列表中提供的默认端口值。仅当端口选项与以下默认值不同时,您才需要指定端口选项。
    • 激活了 SSL 的 cfapi:9543
    • 停用了 SSL 的 cfapi:9000
    • 激活了 SSL 的 syslog:6514
    • 停用了 SSL 的 syslog:514
    ssl 启用或停用 SSL。默认值为 yes。

    ssl设置为“yes”时,如果未设置端口值,则会自动为端口选取值 9543。

    reconnect 强制重新连接到服务器的时间(以分钟为单位)。默认值为 30。 
    [server]
hostname=LOGINSIGHT
; Hostname or IP address of your Log Insight server / cluster load balancer. Default:
;hostname=LOGINSIGHT

; Protocol can be cfapi (Log Insight REST API), syslog. Default:
;proto=cfapi

; Log Insight server port to connect to. Default ports for protocols (all TCP):
; syslog: 514; syslog with ssl: 6514; cfapi: 9000; cfapi with ssl: 9543. Default:
;port=9543

; SSL usage. Default:
;ssl=yes
  3. 保存并关闭 liagent.ini 文件。

示例

以下配置示例将设置一个使用受信证书颁发机构的目标 vRealize Log Insight服务器。 
[server]
proto=cfapi
hostname=LOGINSIGHT
port=9543
ssl=yes;  
ssl_ca_path=/etc/pki/tls/certs/ca.pem

以下示例显示了一个多目标配置。

  • 第一个(默认)目标接收所有收集的日志事件。 
    [server]
hostname=prod1.licf.vmware.com
  • 第二个目标通过纯 syslog 协议仅接收 syslog 事件。 
    [server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
  • 第三个目标接收 vRealize Operations 日志事件,但前提是这些日志事件具有等同于“错误”或“警告”的级别字段,并且由名称以“vrops-”开头的部分收集。 
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}

;Collecting syslog messages.
[filelog|syslog]
directory=/var/log
include=messages

;various vRops logs. Note that all section names begin with "vrops-" prefix, which is used in third destination filter.
[filelog|vrops-ANALYTICS-analytics]
directory=/data/vcops/log
include=analytics*.log*
exclude=analytics*-gc.log*
parser=auto
[filelog|vrops-COLLECTOR-collector]
directory=/data/vcops/log
include=collector.log*
event_marker=^\d
{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\,\d{3}
parser=auto

[filelog|vrops-COLLECTOR-collector_wrapper]
directory=/data/vcops/log
include=collector-wrapper.log*
event_marker=^\d{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\.\d{3} 
parser=auto

下一步做什么

您可以为vRealize Log InsightLinux 代理配置其他 SSL 选项。请参见在服务器和 Log Insight 代理之间配置 SSL 连接