Sie können einen vRealize Log Insight-Server auf die Weiterleitung eingehender Ereignisse an ein Syslog- oder Ingestion-API-Ziel konfigurieren.

Verwenden Sie die Ereignisweiterleitung für das Senden gefilterter oder getaggter Ereignisse an ein oder mehrere Remoteziele wie z. B. vRealize Log Insight und/oder Syslog. Die Ereignisweiterleitung kann zur Unterstützung von vorhandenen Protokollierungstools wie z. B. SIEM und zur Konsolidierung der Protokollierung über verschiedene Netzwerke wie z. B. DMZ oder WAN verwendet werden.

Ereignisweiterleitungen können unabhängig oder geclustert durchgeführt werden. Sie stellen aber immer eine vom Remoteziel unabhängige Instanz dar. Für die Ereignisweiterleitung konfigurierte Instanzen speichern Ereignisse auch lokal und können zur Abfrage von Daten verwendet werden.

Die Operatoren, mit denen Sie Filter auf der Seite „Weitergeleitete Ereignisse“ erstellen, unterscheiden sich von den Filtern auf der Seite „Interaktive Analysen“. In Verwenden von Ereignisweiterleitungfiltern in „Interaktive Analyse“ erhalten Sie weitere Informationen zur Verwendung des Menüelements In „Interaktive Analyse“ ausführen für eine Vorschau der Ergebnisse Ihres Ereignisfilters.

Voraussetzungen

Vergewissern Sie sich, dass Sie bei der Web-Benutzeroberfläche von vRealize Log Insight als Benutzer mit der Berechtigung Admin bearbeiten angemeldet sind. Das URL-Format lautet https://log-insight-host, wobei log-insight-host die IP-Adresse oder der Hostname der virtuellen vRealize Log Insight-Appliance ist.

Stellen Sie sicher, dass das Ziel die Anzahl der weitergeleiteten Ereignisse verarbeiten kann. Wenn das Zielcluster viel kleiner als die Weiterleitungsinstanz ist, werden manche Ereignisse eventuell gelöscht.

Prozedur

  1. Navigieren Sie zur Registerkarte Administration.
  2. Klicken Sie unter „Verwaltung“ auf Ereignisweiterleitung.
  3. Klicken Sie auf Neues Ziel und geben Sie die im Folgenden aufgeführten Informationen ein.
    Option Beschreibung
    Name Der eindeutige Name des neuen Ziels
    Host Die IP-Adresse oder der vollständig qualifizierte Domänenname
    Vorsicht: Eine Weiterleitungsschleife ist eine Konfiguration, bei der ein vRealize Log Insight-Cluster Ereignisse an sich selbst oder einen anderen Cluster weiterleitet, von dem die Ereignisse dann an den ursprünglichen Cluster zurückgeleitet werden. Durch eine solche Schleife kann unter Umständen eine unbegrenzte Anzahl an Kopien jedes weitergeleiteten Ereignisses erstellt werden. Die vRealize Log Insight-Web-Benutzeroberfläche erlaubt keine Konfiguration eines Ereignisses, das an sich selbst weitergeleitet wird. vRealize Log Insight kann jedoch keine indirekten Weiterleitungsschleifen verhindern, beispielsweise wenn vRealize Log Insight-Cluster A Ereignisse an Cluster B weiterleitet und Cluster B dieselben Ereignisse zurück an Cluster A sendet. Achten Sie bei der Erstellung von Weiterleitungszielen darauf, keine indirekten Weiterleitungsschleifen zu erstellen.
    Protokoll

    Ingestion-API, Syslog oder RAW. Die Standardeinstellung ist Ingestion-API (CFAPI).

    Wenn Ereignisse mithilfe der Ingestion-API weitergeleitet werden, wird die ursprüngliche Quelle des Ereignisses im Quellfeld beibehalten. Wenn Ereignisse mithilfe von Syslog weitergeleitet werden, geht die ursprüngliche Quelle des Ereignisses verloren und der Empfänger kann die Quelle der Nachricht als IP-Adresse oder Hostname der vRealize Log Insight-Ereignisweiterleitung aufnehmen. Wenn Ereignisse mithilfe von RAW weitergeleitet werden, ähnelt das Verhalten syslog, aber die syslog-RFC-Übereinstimmung ist nicht sichergestellt. RAW gibt ein Ereignis genau so weiter, wie es empfangen wird, ohne dass ein benutzerdefinierter syslog-Header von vRealize Log Insight hinzugefügt wird. Dieses Protokoll ist nützlich für Drittanbieter-Ziele, da sie syslog-Ereignisse in ihrer ursprünglichen Form erwarten.

    Hinweis:
    Je nach auf der Ereignisweiterleitung ausgewähltem Protokoll kann das Quellfeld unterschiedliche Werte aufweisen:
    1. Für die Ingestion-API stellt die IP-Adresse des anfänglichen Senders (Erzeuger des Ereignisses) die Quelle dar.
    2. Für syslog und RAW ist die Quelle die IP-Adresse der vRealize Log Insight-Instanz der Ereignisweiterleitung. Zudem enthält der Text der Nachricht _li_source_path, der auf die IP-Adresse des anfänglichen Senders verweist.
    SSL verwenden Sie können die Verbindung optional mit SSL für die Ingestion-API oder Syslog sichern. Wenn das vom Weiterleitungsziel bereitgestellte SSL-Zertifikat nicht vertrauenswürdig ist, können Sie das Zertifikat akzeptieren, wenn Sie diese Konfiguration testen oder speichern.
    Tags Optional können Sie Tag-Paare mit vordefinierten Werten hinzufügen. Mit Tags lassen sich Ereignisse einfacher abfragen. Sie können mehrere durch Kommas getrennte Tags hinzufügen.
    Ergänzende Tags weiterleiten Sie können auswählen, ob ergänzende Tags für Syslog weitergeleitet werden sollen.

    Ergänzende Tags sind Tags, die vom Cluster selbst hinzugefügt werden, z. B. „Vc_username“ oder „Vc_vmname“. Diese können zusammen mit den direkt aus Quellen stammenden Tags weitergeleitet werden. Ergänzende Tags werden immer weitergeleitet, wenn die Ingestion-API verwendet wird.

    Transport Wählen Sie ein Transportprotokoll für Syslog aus. Sie können das UDP- oder das TCP-Protokoll auswählen.
  4. (Optional) Um die Ereignisse anzugeben, die weitergeleitet werden sollen, klicken Sie auf Filter hinzufügen.
    Wählen Sie die Felder und die Einschränkungen aus, die die gewünschten Ereignisse definieren. Nur statische Felder können als Filter verwendet werden. Wenn Sie keinen Filter auswählen, werden alle Ereignisse weitergeleitet. Sie können durch Klicken auf In „Interaktive Analyse“ ausführen die Ergebnisse des erstellten Filters anzeigen.
    Operator Beschreibung
    Übereinstimmungen Ermittelt Zeichenfolgen, die der Zeichenfolge inklusive Platzhaltern entsprechen, wobei * für null oder mehr Zeichen und ? für null oder ein beliebiges einzelnes Zeichen steht. Die Verwendung von Präfix- und Postfix-Platzhaltern wird unterstützt.

    Beispielsweise ermittelt *Test* Zeichenfolgen wie Test123 oder Mein_Testlauf.

    entspricht nicht Schließt Zeichenfolgen aus, die der Zeichenfolge inklusive Platzhaltern entsprechen, wobei * für null oder mehr Zeichen und ? für null oder ein beliebiges einzelnes Zeichen steht. Die Verwendung von Präfix- und Postfix-Platzhaltern wird unterstützt.

    Beispielsweise wird mit test* die Zeichenfolge test123 ausgeschlossen, die Zeichenfolge mytest123 aber gefunden. ?test* schließt test123 und xtest123 aus, aber nicht mytest123.

    beginnt mit Mit dieser Option werden alle Zeichenfolgen ermittelt, die mit den angegebenen Zeichen beginnen.

    Beispielsweise werden mit der Festlegung von Test die Zeichenfolgen Test123 und Test gefunden, aber nicht die Zeichenfolge MeinTest123.

    beginnt nicht mit Mit dieser Option werden alle Zeichenfolgen ermittelt, die nicht mit den angegebenen Zeichen beginnen.

    Beispielsweise wird mit Test die Zeichenfolge Test123 ausgeschlossen, die Zeichenfolge „MeinTest123“ aber gefunden.

  5. (Optional) Um die folgenden Weiterleitungsinformationen zu ändern, klicken Sie auf Erweiterte Einstellungen anzeigen.
    Option Beschreibung
    Port Der Port, an den die Ereignisse im Remoteziel gesendet werden. Die Standardeinstellung wird anhand des Protokolls festgelegt. Ändern Sie sie nur, wenn das Remoteziel einen anderen Port überwacht.
    Anzahl Worker Die verwendete Anzahl gleichzeitiger ausgehender Verbindungen. Geben Sie eine höhere Anzahl von Workern an, um einer höheren Netzwerklatenz zum weitergeleiteten Ziel Rechnung zu tragen und um mehr Ereignisse pro Sekunde weiterzuleiten. Der Standardwert lautet 8.
  6. Klicken Sie zum Prüfen Ihrer Konfiguration auf Test.
  7. Wenn das Weiterleitungsziel ein nicht vertrauenswürdiges SSL-Zertifikat bereitstellt, wird ein Dialogfeld mit den Details des Zertifikats angezeigt. Klicken Sie auf Akzeptieren, um das Zertifikat zu den Truststores aller Knoten im vRealize Log Insight-Cluster hinzuzufügen.
    Wenn Sie auf Abbrechen klicken, wird das Zertifikat nicht zu den Truststores hinzugefügt und die Verbindung mit dem Weiterleitungsziel schlägt fehl. Sie müssen das Zertifikat für eine erfolgreiche Verbindung akzeptieren.
  8. Klicken Sie auf Speichern.
    Wenn Sie die Konfiguration nicht getestet haben und das Ziel ein nicht vertrauenswürdiges Zertifikat bereitstellt, befolgen Sie die Anweisungen in Schritt 7.

Nächste Maßnahme

Ereignisweiterleitungsziele können bearbeitet oder geklont werden. Wenn Sie das Ziel so bearbeiten, dass der Name einer Ereignisweiterleitung geändert wird, werden sämtliche Statistiken zurückgesetzt.