您可以配置 vRealize Log Insight 服务器以将传入日志事件转发到 syslog 或数据获取 API 目标。

使用日志转发可将筛选或标记的日志发送到一个或多个远程目标,例如 vRealize Log Insight 和/或 syslog。日志转发可用于支持现有的日志记录工具(例如 SIEM)以及整合不同网络(例如 DMZ 或 WAN)上的日志记录。

日志转发器可以是独立的,也可以是集群形式的,但日志转发器是与远程目标分离的实例。配置用于日志转发的实例也会在本地存储日志,并可用于查询数据。

在“日志转发”页面上用于创建筛选器的运算符与在“浏览日志”页面上用于创建筛选器的运算符不同。有关使用在“浏览日志”页面中运行菜单项预览日志筛选器结果的详细信息,请参见在“浏览日志”中使用日志管理筛选器

前提条件

确认您已经以超级管理员用户身份,或者以与具有相应权限的角色关联的用户身份,登录到 vRealize Log Insight Web 用户界面。有关详细信息,请参见创建和修改角色。该 Web 用户界面的 URL 格式为 https://log-insight-host,其中 log-insight-hostvRealize Log Insight 虚拟设备的 IP 地址或主机名。

确认目标可以处理转发的日志数。如果目标集群比转发实例小很多,可能会丢弃某些日志。

过程

  1. 展开主菜单,单击日志管理,然后单击日志转发
  2. 单击 "" 新建目标,然后提供以下信息。
    选项 描述
    名称 新目标的唯一名称。
    主机 IP 地址或完全限定域名。
    小心: 转发循环是一种配置,在这种配置中, vRealize Log Insight 集群会向其自身或其他集群转发日志,之后又会将日志转发回原始集群。此类循环可能会为每个转发的日志创建无数个副本。 vRealize Log Insight Web 界面不允许将日志配置为转发给自身。但是, vRealize Log Insight 无法阻止间接转发循环,例如 vRealize Log Insight 集群 A 将日志转发给集群 B,集群 B 又将相同的日志转发回集群 A。在创建转发目标时,请注意不要创建间接转发循环。
    协议

    数据获取 API、syslog 或 RAW。默认值为数据获取 API (CFAPI)。

    当使用数据获取 API 转发日志时,日志的原始源会保留在源字段中。当使用 syslog 转发日志时,日志的原始源会丢失且接收方可以将消息源记录为 vRealize Log Insight 转发器的 IP 地址或主机名。使用 RAW 转发日志时,行为与 syslog 类似,但无法确保 syslog RFC 合规性。RAW 将完全按照接收日志的方式来转发日志,vRealize Log Insight 不会添加自定义 syslog 标头。此协议对于第三方目标非常有用,因为它们需要原始格式的 syslog 事件。

    注:
    根据在日志转发器上选定的协议,源字段的值可能有所不同:
    1. 对于数据获取 API,源是最初发送方(日志发生器)的 IP 地址。
    2. 对于 syslog 和 RAW,源是日志转发器的 vRealize Log Insight 实例 IP 地址。此外,消息文本包含指向最初发送方 IP 地址的 _li_source_path
    使用 SSL 您可以选择使用 SSL 保护数据获取 API 或 syslog 的连接。如果转发目标提供的 SSL 证书不受信任,您可以在测试或保存此配置时接受该证书。
    标记 您可以选择添加带有预定义值的标记对。标记可使您更方便地查询日志。您可以采用逗号分隔的形式添加多个标记。
    转发补充标记 您可以选择是否要转发 syslog 的补充标记。

    补充标记是集群本身添加的标记,例如,“vc_username”或“vc_vmname”。可以将其与直接来自源的标记一起转发。在使用数据获取 API 时,将始终转发补充标记。

    传输 选择 syslog 的传输协议。您可以选择“UDP”或“TCP”。
  3. 要控制转发的日志,请单击 "" 添加筛选器
    选择字段和限制以定义所需的日志。只能将静态字段作为筛选器。如果不选择筛选器,将转发所有日志。通过单击 在“浏览日志”页面中运行,可以查看所构建的筛选器的结果。
    运算符 描述
    匹配 查找匹配字符串和通配符规范的字符串,其中 * 表示零个或多个字符,? 表示零个或任意单个字符。支持前缀和后缀通配。

    例如,*test*test123my-test-run 等字符串匹配。

    不匹配 排除匹配字符串和通配符规范的字符串,其中 * 表示零个或多个字符,? 表示零个或任意单个字符。支持前缀和后缀通配。

    例如,test* 会排除 test123,但不会排除 mytest123?test* 会排除 test123xtest123,但不会排除 mytest123

    开头为 查找以指定字符串开头的字符串。

    例如,test 找到 test123test,但不会找到 my-test123

    不以下列字符开头 排除以指定字符串开头的字符串。

    例如,test 筛选掉 test123,但不会排除 my-test123。

  4. (可选) 要修改以下转发信息,请单击显示高级设置
    选项 描述
    端口 远程目标上向其发送日志的端口。将基于协议设置默认值。请勿更改,除非远程目标侦听其他端口。
    工作线程数 要使用的同步出站连接数。设置的工作线程数越高,转发目标的网络延迟就越长,每秒转发的日志数也就越多。默认值为 8。
  5. 要验证您的配置,请单击测试
  6. 如果转发目标提供了不受信任的 SSL 证书,则会显示一个对话框,其中显示有该证书的详细信息。单击接受将证书添加到 vRealize Log Insight 集群中所有节点的信任库。
    如果单击 取消,则不会将该证书添加到信任库中,并且与转发目标的连接将失败。您必须接受证书才能成功连接。
  7. 单击保存
    如果未测试配置,并且目标提供的证书不受信任,请按照第 7 步中的说明进行操作。

下一步做什么

您可以编辑或克隆日志转发目标。如果编辑目标以更改日志转发器名称,则会重置所有统计信息。