Sie können einen VMware Aria Operations for Logs-Server auf die Weiterleitung eingehender Protokollereignisse an ein Syslog- oder Ingestion-API-Ziel konfigurieren.

Verwenden Sie die Protokollweiterleitung für das Senden gefilterter oder getaggter Protokolle an ein oder mehrere Remoteziele wie z. B. VMware Aria Operations for Logs und/oder Syslog. Die Protokollweiterleitung kann zur Unterstützung von vorhandenen Protokollierungstools wie z. B. SIEM und zur Konsolidierung der Protokollierung über verschiedene Netzwerke wie z. B. DMZ oder WAN verwendet werden.

Protokollweiterleitungen können unabhängig oder geclustert durchgeführt werden. Sie stellen aber immer eine vom Remoteziel unabhängige Instanz dar. Für die Protokollweiterleitung konfigurierte Instanzen speichern Protokolle auch lokal und können zur Abfrage von Daten verwendet werden.

Die Operatoren, mit denen Sie Filter auf der Seite „Protokollweiterleitung“ erstellen, unterscheiden sich von den Filtern auf der Seite „Protokolle durchsuchen“. In Verwenden von Filtern zur Protokollverwaltung auf der Seite „Protokolle durchsuchen“ erhalten Sie weitere Informationen zur Verwendung des Menüelements Auf der Seite „Protokolle durchsuchen“ ausführen für eine Vorschau der Ergebnisse Ihres Protokollfilters.

Voraussetzungen

Vergewissern Sie sich, dass Sie bei der VMware Aria Operations for Logs-Web-Benutzeroberfläche als Super-Admin-Benutzer oder als Benutzer mit einer Rolle angemeldet sind, die über die entsprechenden Berechtigungen verfügt. Weitere Informationen finden Sie unter Erstellen und Ändern von Rollen. Das URL-Format der Web-Benutzeroberfläche lautet https://operations-for-logs-host, wobei operations-for-logs-host die IP-Adresse oder der Hostname der virtuellen VMware Aria Operations for Logs-Appliance ist.

Stellen Sie sicher, dass das Ziel die Anzahl der weitergeleiteten Protokolle verarbeiten kann. Wenn das Zielcluster viel kleiner als die Weiterleitungsinstanz ist, werden manche Protokolle eventuell gelöscht.

Prozedur

  1. Erweitern Sie das Hauptmenü, klicken Sie auf Protokollverwaltung und dann auf Protokollweiterleitung.
  2. Klicken Sie auf „“Neues Ziel und geben Sie die folgenden Informationen an.
    Option Beschreibung
    Name Der eindeutige Name des neuen Ziels
    Host Die IP-Adresse oder der vollständig qualifizierte Domänenname
    Vorsicht: Eine Weiterleitungsschleife ist eine Konfiguration, bei der ein VMware Aria Operations for Logs-Cluster Protokolle an sich selbst oder einen anderen Cluster weiterleitet, von dem die Protokolle dann an den ursprünglichen Cluster zurückgeleitet werden. Durch eine solche Schleife kann unter Umständen eine unbegrenzte Anzahl an Kopien jedes weitergeleiteten Protokolls erstellt werden. Die VMware Aria Operations for Logs-Web-Benutzeroberfläche erlaubt keine Konfiguration eines Protokolls, das an sich selbst weitergeleitet wird. VMware Aria Operations for Logs kann jedoch keine indirekten Weiterleitungsschleifen verhindern, beispielsweise wenn VMware Aria Operations for Logs-Cluster A Protokolle an Cluster B weiterleitet und Cluster B dieselben Protokolle zurück an Cluster A sendet. Achten Sie bei der Erstellung von Weiterleitungszielen darauf, keine indirekten Weiterleitungsschleifen zu erstellen.
    Protokoll

    Ingestion-API, Syslog oder RAW. Die Standardeinstellung ist Ingestion-API (CFAPI).

    Wenn Protokolle mithilfe der Ingestion-API weitergeleitet werden, wird die ursprüngliche Quelle des Protokolls im Quellfeld beibehalten. Wenn Protokolle mithilfe von Syslog weitergeleitet werden, geht die ursprüngliche Quelle des Protokolls verloren und der Empfänger kann die Quelle der Nachricht als IP-Adresse oder Hostname der VMware Aria Operations for Logs-Protokollweiterleitung aufnehmen. Wenn Protokolle mithilfe von RAW weitergeleitet werden, ähnelt das Verhalten syslog, aber die syslog-RFC-Übereinstimmung ist nicht sichergestellt. RAW gibt ein Protokoll genau so weiter, wie es empfangen wird, ohne dass ein benutzerdefinierter syslog-Header von VMware Aria Operations for Logs hinzugefügt wird. Dieses Protokoll ist nützlich für Drittanbieter-Ziele, da sie syslog-Ereignisse in ihrer ursprünglichen Form erwarten.

    Hinweis:
    Je nach auf der Protokollweiterleitung ausgewähltem Protokoll kann das Quellfeld unterschiedliche Werte aufweisen:
    1. Bei der Ingestion-API ist die Quelle die IP-Adresse des ursprünglichen Absenders (des Protokollverfassers).
    2. Für Syslog und RAW ist die Quelle die IP-Adresse der VMware Aria Operations for Logs-Instanz der Protokollweiterleitung.
    SSL verwenden Sie können die Verbindung optional mit SSL für die Ingestion-API oder Syslog sichern. Wenn das vom Weiterleitungsziel bereitgestellte SSL-Zertifikat nicht vertrauenswürdig ist, können Sie das Zertifikat akzeptieren, wenn Sie diese Konfiguration testen oder speichern.
    Tags Optional können Sie Tag-Paare mit vordefinierten Werten hinzufügen. Mit Tags lassen sich Protokolle einfacher abfragen. Sie können mehrere durch Kommas getrennte Tags hinzufügen.
    Ergänzende Tags weiterleiten Sie können auswählen, ob ergänzende Tags für Syslog weitergeleitet werden sollen.

    Ergänzende Tags sind Tags, die vom Cluster selbst hinzugefügt werden, z. B. „Vc_username“ oder „Vc_vmname“. Diese können zusammen mit den direkt aus Quellen stammenden Tags weitergeleitet werden. Ergänzende Tags werden immer weitergeleitet, wenn die Ingestion-API verwendet wird.

    Transport Wählen Sie ein Transportprotokoll für Syslog aus. Sie können das UDP- oder das TCP-Protokoll auswählen.
  3. Zur Steuerung der weiterzuleitenden Protokolle klicken Sie auf „“ Filter hinzufügen.
    Wählen Sie Felder und Einschränkungen aus, um die gewünschten Protokolle zu definieren. Nur statische Felder können als Filter verwendet werden. Wenn Sie keinen Filter auswählen, werden alle Protokolle weitergeleitet. Die Ergebnisse des erstellten Filters können Sie anzeigen, indem Sie auf Auf der Seite „Protokolle durchsuchen“ ausführen klicken.
    Operator Beschreibung
    Übereinstimmungen Ermittelt Zeichenfolgen, die der Zeichenfolge inklusive Platzhaltern entsprechen, wobei * für null oder mehr Zeichen und ? für null oder ein beliebiges einzelnes Zeichen steht. Die Verwendung von Präfix- und Postfix-Platzhaltern wird unterstützt.

    Beispielsweise ermittelt *Test* Zeichenfolgen wie Test123 oder Mein_Testlauf.

    entspricht nicht Schließt Zeichenfolgen aus, die der Zeichenfolge inklusive Platzhaltern entsprechen, wobei * für null oder mehr Zeichen und ? für null oder ein beliebiges einzelnes Zeichen steht. Die Verwendung von Präfix- und Postfix-Platzhaltern wird unterstützt.

    Beispielsweise wird mit test* die Zeichenfolge test123 ausgeschlossen, die Zeichenfolge mytest123 aber gefunden. ?test* schließt test123 und xtest123 aus, aber nicht mytest123.

    beginnt mit Mit dieser Option werden alle Zeichenfolgen ermittelt, die mit den angegebenen Zeichen beginnen.

    Beispielsweise werden mit der Festlegung von Test die Zeichenfolgen Test123 und Test gefunden, aber nicht die Zeichenfolge MeinTest123.

    beginnt nicht mit Mit dieser Option werden alle Zeichenfolgen ermittelt, die nicht mit den angegebenen Zeichen beginnen.

    Beispielsweise wird mit Test die Zeichenfolge Test123 ausgeschlossen, die Zeichenfolge „MeinTest123“ aber gefunden.

  4. (Optional) Um die folgenden Weiterleitungsinformationen zu ändern, klicken Sie auf Erweiterte Einstellungen anzeigen.
    Option Beschreibung
    Port Der Port, an den die Protokolle im Remoteziel gesendet werden. Die Standardeinstellung wird anhand des Protokolls festgelegt. Ändern Sie sie nur, wenn das Remoteziel einen anderen Port überwacht.
    Anzahl Worker Die verwendete Anzahl gleichzeitiger ausgehender Verbindungen. Geben Sie eine höhere Anzahl von Workern an, um einer höheren Netzwerklatenz zum weitergeleiteten Ziel Rechnung zu tragen und um mehr Protokolle pro Sekunde weiterzuleiten. Der Standardwert lautet 8.
  5. Klicken Sie zum Prüfen Ihrer Konfiguration auf Test.
  6. Wenn das Weiterleitungsziel ein nicht vertrauenswürdiges SSL-Zertifikat bereitstellt, wird ein Dialogfeld mit den Details des Zertifikats angezeigt. Klicken Sie auf Akzeptieren, um das Zertifikat zu den Truststores aller Knoten im VMware Aria Operations for Logs-Cluster hinzuzufügen.
    Wenn Sie auf Abbrechen klicken, wird das Zertifikat nicht zu den Truststores hinzugefügt und die Verbindung mit dem Weiterleitungsziel schlägt fehl. Sie müssen das Zertifikat für eine erfolgreiche Verbindung akzeptieren.
  7. Klicken Sie auf Speichern.
    Wenn Sie die Konfiguration nicht getestet haben und das Ziel ein nicht vertrauenswürdiges Zertifikat bereitstellt, befolgen Sie die Anweisungen in Schritt 7.

Nächste Maßnahme

Protokollweiterleitungsziele können bearbeitet oder geklont werden. Wenn Sie das Ziel so bearbeiten, dass der Name einer Protokollweiterleitung geändert wird, werden sämtliche Statistiken zurückgesetzt.