Ab ESXi 8.0 verwendet der Syslog-Dienst drei Parameter zum Definieren von Meldungen und Überwachungsdatensätzen: Protokoll, Formatierung und Framing.
Die unterstützten Protokolle sind UDP, TCP und TLS (SSL). Die Formatierung von Syslog-Meldungen wird entweder durch RFC 3164 oder RFC 5424 definiert. Das Framing gibt an, wie eine Meldung gekapselt wird. Das Framing von gekapselten Meldungen wird als transparent, auch Octet_counting genannt, oder als nicht-transparent definiert, wenn eine Meldung nicht gekapselt ist. Transparentes Framing stellt sicher, dass neue, in eine Meldung eingebettete Zeilen einen Syslog-Collector nicht verwirren. Syslog-Meldungen, die mit dem UDP-Protokoll gesendet werden, gelten als transparent gerahmt; ein Syslog-Collector sollte dies verstehen und die Übertragung als eine einzige Meldung akzeptieren.
RFC 3164 legt die maximale Gesamtlänge einer Syslog-Nachricht auf 1024 Byte fest, während RFC 5424 diesen Maximalwert auf 2048 Byte erweitert.
Die maximale Standardlänge für Meldungen von Remotehosts in ESXi beträgt 1 KiB. Sie können die maximale Nachrichtenlänge auf bis zu 16 KiB erhöhen. Bei einer Erhöhung dieses Werts auf über 1 KiB ist es jedoch möglich, dass lange Übertragungen gekürzt bei einem Syslog-Collector ankommen. Beispiel: Die Syslog-Infrastruktur, die eine Meldung ausgibt, befindet sich außerhalb von ESXi.
Syslog-Meldungen, die vmsyslogd überträgt, bestehen aus strukturierten Daten, einer gemäß RFC 5424 formatierten Eigenschaftsliste und frei formatierten, d. h. unstrukturierten, Daten.
Wenn eine Meldung die maximale Länge überschreitet, mildert ESXi 8.0 die Meldung ab und versucht, so viele strukturierte Daten wie möglich zu erhalten.
Bei der Risikominderung einer Meldung werden drei Parameter entweder zu bestehenden strukturierten Daten hinzugefügt oder es werden strukturierte Daten erstellt, die diese Parameter enthalten: msgModified, remoteHostMaxMsgLen und originalLen.
Der Parameter msgModified gibt an, wie sich die Risikominderung auf die Meldung auswirkt: nur strukturierte Daten, nur unstrukturierte Daten oder beides.
Der Parameter remoteHostMaxMsgLen gibt die maximale Länge der Meldung an, die ESXi verarbeiten kann.
Der Parameter originalLen gibt die Länge der Meldung an, bevor die Risikominderung durchgeführt wird.
Unterstützte Optionen für Protokolle, Formatierung und Framing von ESXi Syslog-Meldungen:
| Formatierung | Framing | UDP | TCP | SSL | Anmerkungen |
|---|---|---|---|---|---|
| Nicht spezifiziert | Nicht spezifiziert | Unterstützt RFC 5426 |
Unterstützt | Unterstützt | Die Formatierung von Meldungen entspricht RFC 3164. Nur Zeitstempel liegen im RFC 3339-Format vor. Jeder Meldung werden strukturierte Daten vorangestellt. Das Framing ist bei TCP oder SSL (TLS) standardmäßig nicht transparent und eingebettete Zeilenumbrüche in strukturierten Daten können die Meldungen beschädigen. Mit UDP wird Framing auf Pakete angewendet. |
| Nicht spezifiziert | Non_transparent | Verboten | Unterstützt | Unterstützt | Die Formatierung von Meldungen entspricht RFC 3164. Nur Zeitstempel liegen im RFC 3339-Format vor. Jeder Meldung werden strukturierte Daten vorangestellt. Das Framing ist bei TCP oder SSL (TLS) standardmäßig nicht transparent und eingebettete Zeilenumbrüche in strukturierten Daten können die Meldungen beschädigen. |
| Nicht spezifiziert | Octet_counting | Verboten | Unterstützt RFC 6587 |
Unterstützt RFC 6587 |
Die Formatierung von Meldungen entspricht RFC 3164. Nur Zeitstempel liegen im RFC 3339-Format vor. Jeder Meldung werden strukturierte Daten vorangestellt. |
| RFC 5424 | Nicht spezifiziert | Unterstützt RFC 5426 |
Unterstützt RFC 5425 |
Unterstützt RFC 5424 |
Die Formatierung von Meldungen entspricht RFC 5424. Das Framing ist bei TCP oder SSL (TLS) standardmäßig auf Oktettzählung eingestellt. Bei UDP wird das Framing möglicherweise nicht explizit angegeben. |
| RFC 5424 | Non_transparent | Verboten | Nicht unterstützt | Nicht unterstützt | Wird nicht unterstützt, da eingebettete Zeilenumbrüche in strukturierten Daten möglicherweise beschädigte Meldungen erstellen. |
| RFC 5424 | Octet_counting | Verboten | Unterstützt RFC 5425 |
Unterstützt RFC 5425 |
Die Formatierung von Meldungen entspricht RFC 5424. |
| RFC 3164 | Nicht spezifiziert | Unterstützt RFC 5426 |
Unterstützt | Unterstützt | Die Formatierung von Meldungen entspricht RFC 3164. Nur Zeitstempel liegen im RFC 3339-Format vor. Jeder Meldung werden strukturierte Daten vorangestellt. Das Framing ist bei TCP oder SSL (TLS) standardmäßig nicht transparent und eingebettete Zeilenumbrüche in strukturierten Daten können die Meldungen beschädigen. Mit UDP wird Framing auf Pakete angewendet. |
| RFC 3164 | Non_transparent | Verboten | Unterstützt | Unterstützt | Die Formatierung von Meldungen entspricht RFC 3164. Nur Zeitstempel liegen im RFC 3339-Format vor. Jeder Meldung werden strukturierte Daten vorangestellt. Das Framing ist bei TCP oder SSL (TLS) standardmäßig nicht transparent und eingebettete Zeilenumbrüche in strukturierten Daten können die Meldungen beschädigen. |
| RFC 3164 | Octet_counting | Verboten | Unterstützt RFC 6587 |
Unterstützt RFC 6587 |
Die Formatierung von Meldungen entspricht RFC 3164. Nur Zeitstempel liegen im RFC 3339-Format vor. Jeder Meldung werden strukturierte Daten vorangestellt. |
