您可以指定最多三个 vRealize Log Insight Linux 代理可以将日志事件发送到的目标。
多个目标连接通过 li-agent.ini 文件的 [server|<dest_id>]
部分进行定义,其中,<dest_id> 是每个配置连接的唯一 ID。您可以对其他目标使用与默认 [server]
部分相同的选项。但是,请勿将其他目标配置为自动升级,也不要使用它们来配置代理。您可以指定两个其他目标。
您定义的第一个目标可以使用默认服务器值 loginsight
。定义其他目标时,必须在后续目标的 [server]
部分中指定一个主机名。如果不筛选,代理会将所有收集的日志发送到所有目标。这是默认行为。不过,您可以通过筛选日志将不同的日志发送到不同的目标。
前提条件
- 以 root 用户身份登录,或使用 sudo 运行控制台命令。
- 登录到已安装 vRealize Log InsightLinux 代理的 Linux 计算机,打开控制台,然后运行 pgrep liagent 以验证 vRealize Log Insight Linux 代理是否已安装且正在运行。
- 如果 vRealize Log Insight 集群具有启用的集成负载均衡器,请参见启用集成负载均衡器以了解自定义 SSL 证书特定的要求。
过程
示例
以下配置示例将设置一个使用受信证书颁发机构的目标
vRealize Log Insight服务器。
[server] proto=cfapi hostname=LOGINSIGHT port=9543 ssl=yes; ssl_ca_path=/etc/pki/tls/certs/ca.pem
以下示例显示了一个多目标配置。
- 第一个(默认)目标接收所有收集的日志事件。
[server] hostname=prod1.licf.vmware.com
- 第二个目标通过纯 syslog 协议仅接收 syslog 事件。
[server|syslog-audit] hostname=third_party_audit_management.eng.vmware.com proto=syslog ssl=no filter= {filelog; syslog; }
- 第三个目标接收 vRealize Operations 日志事件,但前提是这些日志事件具有等同于“错误”或“警告”的级别字段,并且由名称以“vrops-”开头的部分收集。
[server|licf-prod1] hostname=vrops-errors.licf.vmware.com filter= {; vrops-.*; level == "error" || level == "warning"} ;Collecting syslog messages. [filelog|syslog] directory=/var/log include=messages ;various vRops logs. Note that all section names begin with "vrops-" prefix, which is used in third destination filter. [filelog|vrops-ANALYTICS-analytics] directory=/data/vcops/log include=analytics*.log* exclude=analytics*-gc.log* parser=auto [filelog|vrops-COLLECTOR-collector] directory=/data/vcops/log include=collector.log* event_marker=^\d {4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\,\d{3} parser=auto [filelog|vrops-COLLECTOR-collector_wrapper] directory=/data/vcops/log include=collector-wrapper.log* event_marker=^\d{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\.\d{3} parser=auto
下一步做什么
您可以为vRealize Log InsightLinux 代理配置其他 SSL 选项。请参见在服务器和 Log Insight 代理之间配置 SSL 连接。