Sie können zum Senden von Protokollereignissen an den VMware Aria Operations for Logs-Linux-Agent bis zu drei Ziele angeben.

Mehrere Zielverbindungen werden über den Abschnitt [server|<dest_id>] der Datei li-agent.ini definiert, wobei <dest_id> eine eindeutige Verbindungs-ID pro Konfiguration darstellt. Sie können die gleichen Optionen für zusätzliche Ziele wie für den Abschnitt für den standardmäßigen [server]-Bereich verwenden. Konfigurieren Sie aber keine zusätzlichen Ziele für ein automatisches Upgrade bzw. verwenden Sie diese nicht für die Agent-Konfiguration. Sie können zwei zusätzliche Ziele angeben.

Für das erste definierte Ziel können Sie den standardmäßigen Serverwert loginsight verwenden. Wenn Sie zusätzliche Ziele definieren, müssen Sie in den Abschnitten [server] einen Hostnamen für nachfolgende Ziele angeben. Ohne Filterung sendet der Agent alle erfassten Protokolle an alle Ziele. Dies ist die Standardeinstellung. Sie können Protokolle jedoch filtern, um andere Protokolle an unterschiedliche Ziele zu senden.

Voraussetzungen

  • Melden Sie sich als Root-Benutzer an oder verwenden Sie sudo, um Konsolenbefehle auszuführen.
  • Melden Sie sich bei dem Linux-System an, auf dem Sie den VMware Aria Operations for Logs-Linux-Agenten installiert haben. Öffnen Sie eine Konsole und führen Sie pgrep liagent aus, um sicherzustellen, dass der VMware Aria Operations for Logs-Linux-Agent installiert ist und ausgeführt wird.
  • Wenn Sie über einen VMware Aria Operations for Logs-Cluster mit integriertem Lastausgleich verfügen, finden Sie unter Aktivieren des integrierten Lastausgleichsdiensts Informationen zu den spezifischen Anforderungen für benutzerdefinierte SSL-Zertifikate.

Prozedur

  1. Öffnen Sie die Datei /var/lib/loginsight-agent/liagent.ini in einem beliebigen Texteditor.
  2. Ändern Sie die folgenden Parameter und legen Sie die Werte für Ihre Umgebung fest.
    Parameter Beschreibung
    proto

    Protokoll, mit dem der Agent Protokollereignisse an den VMware Aria Operations for Logs-Server sendet. Die möglichen Werte lauten cfapi und syslog.

    Der Standardwert ist cfapi.

    hostname IP-Adresse oder Hostname der virtuellen VMware Aria Operations for Logs-Appliance.
    Sie können eine IPv4- oder eine IPv6-Adresse angeben. Eine IPv6-Adresse kann mit oder ohne eckige Klammern angegeben werden. Beispiel: 
    hostname = 2001:cdba::3257:9652
or
hostname = [2001:cdba::3257:9652]
    Wenn der Host sowohl IPv4- als auch IPv6-Stacks unterstützt und ein Domänenname als Hostname angegeben ist, verwendet der Agent den IP-Stack abhängig von der IP-Adresse, die vom Namensauflöser zurückgegeben wird. Wenn der Auflöser sowohl IPv4- als auch IPv6-Adressen zurückgibt, versucht der Agent, sequenziell in der angegebenen Reihenfolge eine Verbindung zu beiden Adressen herzustellen.
    max_disk_buffer Der maximale Festplattenspeicher in MB, den der VMware Aria Operations for Logs-Linux-Agent zum Puffern von Protokollereignissen verwenden kann, die für diesen speziellen Server erfasst werden. Die Option hat Vorrang vor dem Wert für [storage].max_disk_buffer für diesen Server.

    Der Standardwert beträgt 150 MB. Sie können für die Puffergröße einen Wert von 50 bis 8000 MB festlegen.

    port
    Kommunikationsport, den der Agent zum Senden von Protokollereignissen an den VMware Aria Operations for Logs-Server oder an Server von Drittanbietern verwendet. Standardmäßig verwendet der Agent den richtigen Port basierend auf den Optionen, die für SSL und das Protokoll festgelegt sind. Die Standardwerte für den Port finden Sie in der unten angegebenen Liste. Sie müssen die Port-Option nur angeben, wenn sie sich von diesen Standardeinstellungen unterscheidet.
    • cfapi mit aktiviertem SSL: 9543
    • cfapi mit deaktiviertem SSL: 9000
    • Syslog mit aktiviertem SSL: 6514
    • Syslog mit deaktiviertem SSL: 514
    ssl Aktiviert oder deaktiviert SSL. Der Standardwert lautet „ja“.

    Wenn ssl aktiviert ist und Sie keinen Wert für den Port festlegen, wird der Port automatisch auf „9543“ gesetzt.

    reconnect Das Zeitintervall in Minuten, in dem der erneute Verbindungsaufbau zum Server erzwungen wird. Der Standardwert lautet 30. 
    [server]
hostname=LOGINSIGHT
; Hostname or IP address of your Log Insight server / cluster load balancer. Default:
;hostname=LOGINSIGHT

; Protocol can be cfapi (Log Insight REST API), syslog. Default:
;proto=cfapi

; Log Insight server port to connect to. Default ports for protocols (all TCP):
; syslog: 514; syslog with ssl: 6514; cfapi: 9000; cfapi with ssl: 9543. Default:
;port=9543

; SSL usage. Default:
;ssl=yes
  3. Speichern und schließen Sie die Datei liagent.ini.

Beispiel

Im folgenden Konfigurationsbeispiel wird ein VMware Aria Operations for Logs-Zielserver festgelegt, der eine vertrauenswürdige Zertifizierungsstelle verwendet. 
[server]
proto=cfapi
hostname=LOGINSIGHT
port=9543
ssl=yes;  
ssl_ca_path=/etc/pki/tls/certs/ca.pem

Das folgende Beispiel zeigt eine Konfiguration mit mehreren Zielen.

  • Das erste (Standard-) Ziel empfängt alle erfassten Protokollereignisse. 
    [server]
hostname=prod1.licf.vmware.com
  • Das zweite Ziel empfängt nur Syslog-Ereignisse über das einfache Syslog-Protokoll. 
    [server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
  • Das dritte Ziel empfängt VMware Aria Operations-Protokollereignisse aus, wenn die Ebene für das Feld „Fehler“ oder „Warnung“ lautet, und sie werden durch Abschnitte, deren Name mit „Vrops-“ beginnt, erfasst. 
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}

;Collecting syslog messages.
[filelog|syslog]
directory=/var/log
include=messages

;various vRops logs. Note that all section names begin with "vrops-" prefix, which is used in third destination filter.
[filelog|vrops-ANALYTICS-analytics]
directory=/data/vcops/log
include=analytics*.log*
exclude=analytics*-gc.log*
parser=auto
[filelog|vrops-COLLECTOR-collector]
directory=/data/vcops/log
include=collector.log*
event_marker=^\d
{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\,\d{3}
parser=auto

[filelog|vrops-COLLECTOR-collector_wrapper]
directory=/data/vcops/log
include=collector-wrapper.log*
event_marker=^\d{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\.\d{3} 
parser=auto

Nächste Maßnahme

Sie können weitere SSL-Optionen für den Linux-Agenten für VMware Aria Operations for Logs festlegen. Weitere Informationen finden Sie unter Konfigurieren der SSL-Verbindung zwischen dem Server und den VMware Aria Operations for Logs Agents.