Añadir un destino de reenvío de registros de VMware Aria Operations for Logs

Se puede configurar un servidor de VMware Aria Operations for Logs para reenviar los eventos de registro entrantes a un destino de API de consumo o syslog.

Utilice el reenvío de registros para enviar registros etiquetados o filtrados a uno o varios destinos remotos como VMware Aria Operations for Logs, syslog o ambos. El reenvío de registros puede utilizarse para admitir las herramientas existentes de registro como SIEM y consolidar el registro a través de redes diferentes como DMZ o WAN.

Los reenviadores de registros pueden ser independientes o estar en un clúster, pero son una instancia independiente del destino remoto. Las instancias configuradas para reenviar los registros también los almacenan de forma local y se pueden utilizar para consultar datos.

Los operadores que se utilizan para crear filtros en la página de Reenvío de registros son distintos de los filtros utilizados en la página Explorar registros. Consulte Usar filtros de administración de registros en Explorar registros para obtener más información sobre cómo utilizar el elemento de menú Ejecutar en la página Explorar registros para obtener una vista previa de los resultados del filtro de registros.

Requisitos previos

Compruebe que haya iniciado sesión en la interfaz de usuario web de VMware Aria Operations for Logs como usuario superadministrador o como usuario asociado a una función que tenga los permisos correspondientes. Consulte Crear y modificar funciones para obtener más información. El formato URL de la interfaz de usuario web es https://host-operations-for-logs, donde host-operations-for-logs es la dirección IP o el nombre del host del dispositivo virtual de VMware Aria Operations for Logs.

Compruebe que el destino pueda manejar la cantidad de eventos de registro que se reenvían. Si el clúster de destino es mucho más pequeño que la instancia de reenvío, algunos registros podrían descartarse.

Procedimiento

Expanda el menú principal, haga clic en Administración de registros y, a continuación, haga clic en Reenvío de registros.

Haga clic en

Nuevo destino y proporcione la siguiente información.

Opción	Descripción
Nombre	Un nombre único para el nuevo destino.
Host	La dirección IP o el nombre de dominio totalmente calificado. Precaución: Un bucle de reenvío es una configuración en la que el clúster de VMware Aria Operations for Logs se reenvía registros a sí mismo o a otro clúster, que es el que vuelve a reenviarlos al clúster original. Este bucle puede crear un número indefinido de copias de cada registro reenviado. La interfaz web de VMware Aria Operations for Logs no permite configurar un registro que se reenvíe a sí mismo. Sin embargo, VMware Aria Operations for Logs no puede evitar que se produzca un bucle de reenvío indirecto, por ejemplo, que el clúster A de VMware Aria Operations for Logs realice un reenvío al clúster B y que este último vuelva a reenviar los mismos registros al clúster A. Cuando cree los destinos de reenvío, preste atención para no crear bucles de reenvío indirectos.
Protocolo	API de consumo, syslog o RAW. El valor predeterminado es la API de consumo (CFAPI). Cuando los registros se reenvían mediante la API de consumo, la fuente original del registro se preserva en el campo de origen. Cuando los registros se reenvían mediante un syslog, la fuente original del registro se pierde y el receptor puede grabar el origen del mensaje como la dirección IP o el nombre de host del reenviador de VMware Aria Operations for Logs. Cuando los registros se reenvían con RAW, el comportamiento es similar a syslog, pero no se garantiza la conformidad con RFC de syslog. RAW reenvía un registro exactamente como se recibe, sin un encabezado de syslog personalizado agregado por VMware Aria Operations for Logs. Este protocolo es útil para destinos de terceros, ya que esperan eventos de syslog en su formato original. Nota: El campo de origen puede tener valores diferentes dependiendo del protocolo seleccionado en el reenviador de registros: Para la API de consumo, el origen es la dirección IP del emisor inicial (el originador del registro). Para syslog y RAW, el origen es la dirección IP de la instancia de VMware Aria Operations for Logs del reenviador del registro.
Usar SSL	Opcionalmente, puede proteger la conexión con SSL para la API de consumo o syslog. Si el certificado SSL proporcionado por el destino de reenvío no es de confianza, puede aceptar el certificado cuando pruebe o guarde esta configuración.
Etiquetas	Opcionalmente, puede agregar pares de etiquetas con valores predefinidos. Las etiquetas le permiten consultar registros más fácilmente. Puede agregar varias etiquetas separadas por comas.
Reenviar etiquetas complementarias	Puede seleccionar si desea reenviar etiquetas complementarias para syslog. Las etiquetas complementarias son aquellas que agregó el clúster, por ejemplo, "vc_username" o "vc_vmname", y se pueden reenviar con las etiquetas que proceden directamente de los orígenes. Las etiquetas complementarias siempre se reenvían cuando se utiliza la API de consumo.
Transporte	Seleccione un protocolo de transporte de syslog. Puede seleccionar UDP o TCP.

Para controlar qué registros se reenvían, haga clic en

Agregar filtro.

Seleccione campos y restricciones para definir los registros deseados. Solo los campos estáticos están disponibles para su uso como filtros. Si no selecciona un filtro, se reenvían todos los registros. Puede ver los resultados del filtro que está compilando haciendo clic en Ejecutar en la página Explorar registros.

Operador	Descripción
Coincide	Encuentra cadenas que coinciden con la especificación de cadenas y comodines, donde `` significa cero o más caracteres y `?` significa cero o cualquier carácter único. Se admiten prefijos y postfijos de glob. Por ejemplo, `prueba*` coincide con cadenas como `prueba123` o `mi-prueba-ejecutada`.
no coincide	Excluye las cadenas que coinciden con la especificación de cadenas y comodines, donde `` significa cero o más caracteres y `?` significa cero o cualquier carácter único. Se admiten prefijos y postfijos de glob. Por ejemplo, `test` excluye `test123`, pero no `mytest123`. `?test*` excluye `test123` y `xtest123`, pero no `mytest123`.
comienza con	Encuentra las cadenas que empiezan por la cadena de caracteres especificada. Por ejemplo, `test` encuentra `test123` o `test`, pero no `my-test123`.
no comienza con	Excluye las cadenas que empiezan por la cadena de caracteres especificada. Por ejemplo, `test` filtra `test123`, pero no excluye my-test123.

(opcional) Para modificar la siguiente información de reenvío, haga clic en Mostrar configuración avanzada.

Opción	Descripción
Puerto	El puerto al cual se envían los registros en el destino remoto. El valor predeterminado se establece en función del protocolo. No lo cambie a menos que el destino remoto escuche en un puerto diferente.
Número de trabajadores	La cantidad de conexiones salientes simultáneas que se deben usar. Establezca un número de trabajos más alto para tener una latencia de red superior en el destino de reenvío y un número más alto de registros reenviados por segundo. El valor predeterminado es 8.

Para verificar su configuración, haga clic en Probar.
Si el destino de reenvío proporciona un certificado SSL que no es de confianza, aparece un cuadro de diálogo con los detalles del certificado. Haga clic en Aceptar para agregar el certificado a los almacenes de confianza de todos los nodos del clúster de VMware Aria Operations for Logs.
Si hace clic en Cancelar, el certificado no se agrega a los almacenes de confianza y se produce un error en la conexión con el destino de reenvío. Debe aceptar el certificado para que la conexión se realice correctamente.
Haga clic en Guardar.
Si no ha probado la configuración y el destino proporciona un certificado que no es de confianza, siga las instrucciones del paso 7.

Qué hacer a continuación

Puede editar o clonar un destino de reenvío de registros. Si edita el destino para cambiar el nombre de un reenviador de registros, se restablecen todas las estadísticas.