您可以配置 vRealize Log Insight 服务器以将传入事件转发到 syslog 或数据获取 API 目标。

使用事件转发可将筛选或标记的事件发送到一个或多个远程目标,例如vRealize Log Insight和/或 syslog。事件转发可用于支持现有的日志记录工具(例如 SIEM)以及整合不同网络(例如 DMZ 或 WAN)上的日志记录。

事件转发器可以是独立的,也可以是集群形式的,但事件转发器是与远程目标分离的实例。配置用于事件转发的实例也会在本地存储事件,并可用于查询数据。

在“已转发的事件”页面上用于创建筛选器的运算符与在“交互式分析”页面上用于创建筛选器的运算符不同。有关使用在交互式分析中运行菜单项预览事件筛选器结果的详细信息,请参见在交互式分析中使用事件转发筛选器

前提条件

验证是否已以具有编辑管理员权限的用户身份登录到vRealize Log Insight Web 用户界面。URL 格式为 https://log-insight-host,其中 log-insight-hostvRealize Log Insight 虚拟设备的 IP 地址或主机名。

验证目标可以处理转发的事件数。如果目标集群比转发实例小很多,可能会丢弃某些事件。

过程

  1. 导航到管理选项卡。
  2. 在“管理”下,单击事件转发
  3. 单击 新建目标,然后提供以下信息。
    选项 描述
    名称 新目标的唯一名称。
    主机 IP 地址或完全限定域名。
    小心: 转发循环是一种配置,在这种配置中, vRealize Log Insight集群会向其自身或其他集群转发事件,之后目标集群又会将事件转发回原始集群。此类循环可能会为每个转发的事件创建无数个副本。 vRealize Log InsightWeb 界面不允许将事件配置为转发给自身。但是, vRealize Log Insight无法阻止间接转发循环,例如 vRealize Log Insight 集群 A 将事件转发给集群 B,集群 B 又将相同的事件转发回集群 A。在创建转发目标时,请注意不要创建间接转发循环。
    协议

    数据获取 API、syslog 或 RAW。默认值为数据获取 API (CFAPI)。

    当使用数据获取 API 转发事件时,事件的原始源会保留在源字段中。当使用 syslog 转发事件时,事件的原始源会丢失且接收器可以将消息源记录为 vRealize Log Insight 转发器的 IP 地址或主机名。使用 RAW 转发事件时,行为与 syslog 类似,但无法确保 syslog RFC 合规性。RAW 将完全按照接收事件的方式来转发事件,vRealize Log Insight 不会添加自定义 syslog 标头。此协议对于第三方目标非常有用,因为它们需要原始格式的 syslog 事件。

    注:
    根据在事件转发器上选定的协议,源字段的值可能有所不同:
    1. 对于数据获取 API,源是最初发送方(事件发生器)的 IP 地址。
    2. 对于 syslog 和 RAW,源是事件转发器的 vRealize Log Insight实例 IP 地址。此外,消息文本包含指向最初发送方 IP 地址的 _li_source_path
    使用 SSL 您可以选择使用 SSL 保护数据获取 API 或 syslog 的连接。如果转发目标提供的 SSL 证书不受信任,您可以在测试或保存此配置时接受该证书。
    标记 您可以选择添加带有预定义值的标记对。标记可使您更方便地查询事件。您可以采用逗号分隔的形式添加多个标记。
    转发补充标记 您可以选择是否要转发 syslog 的补充标记。

    补充标记是集群本身添加的标记,例如,“vc_username”或“vc_vmname”。可以将其与直接来自源的标记一起转发。在使用数据获取 API 时,将始终转发补充标记。

    传输 选择 syslog 的传输协议。您可以选择“UDP”或“TCP”。
  4. (可选) 要控制转发的事件,请单击 添加筛选器
    选择字段和限制以定义所需的事件。 只能将静态字段作为筛选器。如果不选择筛选器,将转发所有事件。通过单击 在交互式分析中运行,可以查看所构建的筛选器的结果。
    运算符 描述
    匹配 查找匹配字符串和通配符规范的字符串,其中 * 表示零个或多个字符,? 表示零个或任意单个字符。支持前缀和后缀通配。

    例如,*test*test123my-test-run 等字符串匹配。

    不匹配 排除匹配字符串和通配符规范的字符串,其中 * 表示零个或多个字符,? 表示零个或任意单个字符。支持前缀和后缀通配。

    例如,test* 会排除 test123,但不会排除 mytest123?test* 会排除 test123xtest123,但不会排除 mytest123

    开头为 查找以指定字符串开头的字符串。

    例如,test 找到 test123test,但不会找到 my-test123

    不以下列字符开头 排除以指定字符串开头的字符串。

    例如,test 筛选掉 test123,但不会排除 my-test123。

  5. (可选) 要修改以下转发信息,请单击显示高级设置
    选项 描述
    端口 远程目标上向其发送事件的端口。将基于协议设置默认值。请勿更改,除非远程目标侦听其他端口。
    工作线程数 要使用的同步出站连接数。设置的工作线程数越高,转发目标的网络延迟就越长,每秒转发的事件数也就越多。默认值为 8。
  6. 要验证您的配置,请单击测试
  7. 如果转发目标提供了不受信任的 SSL 证书,则会显示一个对话框,其中显示有该证书的详细信息。单击接受将证书添加到 vRealize Log Insight 集群中所有节点的信任库。
    如果单击 取消,则不会将该证书添加到信任库中,并且与转发目标的连接将失败。您必须接受证书才能成功连接。
  8. 单击保存
    如果未测试配置,并且目标提供的证书不受信任,请按照第 7 步中的说明进行操作。

后续步骤

您可以编辑或克隆事件转发目标。如果编辑目标以更改事件转发器名称,则所有统计信息都将重置。