Ab Version 4.5 können Gateways NAT-Informationen über einen Remote-Syslog-Server oder über Telegraf an das gewünschte Ziel exportieren. Mit den gestreamten NAT-Informationen können Operatoren den ursprünglichen Absender für jeden NAT-Flow ermitteln.

Voraussetzungen

  • Nur Operatoren und Partner können den Gateway NAT-Eintrag Syslog konfigurieren. Gewährt ein Operator einem Partner Zugang zur Gateway-Verwaltung, kann der Partner den NAT-Eintrag Syslog konfigurieren.
    Hinweis: Es können maximal zwei Remote-Syslog-Server pro Gateway verwendet werden.

Verfahren (über Remoteserver)

Um Syslog-Einstellungen für Gateways über einen Remoteserver zu konfigurieren, führen Sie die folgenden Schritte aus.

  1. Wechseln Sie in SD-WAN Orchestrator zu Gateways.

    Die Seite SD-WAN Gateways wird angezeigt.

  2. Wählen Sie ein Gateway aus, um den NAT-Eintrag Syslog zu konfigurieren.

    Die Seite „Einstellungen konfigurieren (Configure Settings)“ für das ausgewählte Gateway wird angezeigt.

  3. Scrollen Sie nach unten bis zum Bereich Syslog-Einstellungen (Syslog Settings).

  4. Konfigurieren Sie in den Syslog-Einstellungen (Syslog Settings) die folgenden Einstellungen:
    1. Wählen Sie eine Anlage im Dropdown-Menü Anlage (Facility) aus.
    2. Geben Sie im Textfeld Tag die Tags ein.
    3. Geben Sie die IP-Adresse des Remote-Syslog-Servers ein.
    4. Wählen Sie ein Protokoll aus dem Dropdown-Menü Protokoll (Protocol) aus.
    5. Geben Sie Portdetails in das Textfeld Port ein.
    6. Im Dropdown-Menü Syslog-Ebene (Syslog Level) ist INFO die einzige Option und wird zum Streamen der im Gateway eingegebenen NAT-Eintragsdetails verwendet.
  5. Klicken Sie auf die Schaltfläche +, um einen weiteren Syslog-Collector hinzuzufügen, oder klicken Sie auf Änderungen speichern (Save Changes).

Verfahren (über Telegraf)

Informationen zur Konfiguration der Syslog-Einstellungen über Telegraf finden Sie im VMware SD-WAN Gateway-Überwachungshandbuch, verfügbar unter https://docs.vmware.com/de/VMware-SD-WAN/index.html.

In der nachstehenden Tabelle sind die Felder aufgeführt, die in der NAT-Ereignismeldung enthalten sind.

Tabelle 1. Felder für Syslog-Ereignismeldungen (Syslog Event Message Fields)
Felder Beschreibung
ACTION NAT einfügen/NAT löschen
ENTERPRISE_ID Logische Enterprise-ID
VCE_ID Logische ID des Edge, von dem der Flow stammt.
VCG_ID Logische ID des Gateways
SEGMENT_ID Segment-ID, zu der der Flow gehört
CLIENT_SRC_ADDR IP-Adresse des Ursprungshosts hinter dem Edge, nützlich für die vollständige End-to-End-Verfolgung.
CLIENT_SRC_PORT Quellport, der vom Ursprungshost hinter dem Edge verwendet wird.
VCG_SRC_ADDR Die IP-Adresse der öffentlichen VCG-Schnittstelle, die zur Übertragung dieses Flows verwendet wird.
VCG_SRC_PORT Quellport, der vom VCG zum Herstellen der Verbindung verwendet wird.
DST_ADDR Die ursprüngliche Zieladresse des Datenverkehrs.
DST_PORT Zielport des Datenverkehrs.
PROTOCOL Protokollname
PKTS_SENT In die Cloud übertragene Pakete
BYTES SENT In die Cloud übertragene Byte
PKTS_RCVD Von der Cloud empfangene Pakete
BYTES RCVD Von der Cloud empfangene Byte
FLOW_DURATION_MS Dauer des Flows

Fehlerbehebung

Führen Sie zur Fehlerbehebung die folgenden Schritte aus.
  1. Überprüfen Sie die Datei „etc/rsyslog.conf“ und stellen Sie sicher, dass der konfigurierte Server mit dem richtigen Protokoll und Port aktualisiert wurde.
  2. Überprüfen Sie, ob die iptable-Regel für den konfigurierten Server installiert ist.
  3. Überprüfen Sie „tcpdump.sh -ni any host 127.0.0.1 and port 514 -v“ und stellen Sie sicher, dass die Syslog-Nachrichten von natd an rsyslogd weitergeleitet werden.
  4. Überprüfen Sie „tcpdump.sh -ni any host <syslog-collector-ip“. und überprüfen Sie, ob Syslog-Meldungen an das Remote-Syslog weitergeleitet werden.