Se puede configurar un servidor de VMware Aria Operations for Logs para reenviar los eventos de registro entrantes a un destino de API de consumo o syslog.

Utilice el reenvío de registros para enviar registros etiquetados o filtrados a uno o varios destinos remotos como VMware Aria Operations for Logs, syslog o ambos. El reenvío de registros puede utilizarse para admitir las herramientas existentes de registro como SIEM y consolidar el registro a través de redes diferentes como DMZ o WAN.

Los reenviadores de registros pueden ser independientes o estar en un clúster, pero son una instancia independiente del destino remoto. Las instancias configuradas para reenviar los registros también los almacenan de forma local y se pueden utilizar para consultar datos.

Los operadores que se utilizan para crear filtros en la página de Reenvío de registros son distintos de los filtros utilizados en la página Explorar registros. Consulte Usar filtros de administración de registros en Explorar registros para obtener más información sobre cómo utilizar el elemento de menú Ejecutar en la página Explorar registros para obtener una vista previa de los resultados del filtro de registros.

Requisitos previos

Compruebe que haya iniciado sesión en la interfaz de usuario web de VMware Aria Operations for Logs como usuario superadministrador o como usuario asociado a una función que tenga los permisos correspondientes. Consulte Crear y modificar funciones para obtener más información.

Compruebe que el destino pueda manejar la cantidad de eventos de registro que se reenvían. Si el clúster de destino es mucho más pequeño que la instancia de reenvío, algunos registros podrían descartarse.

Procedimiento

  1. Expanda el menú principal, haga clic en Administración de registros y, a continuación, haga clic en Reenvío de registros.
  2. Haga clic en ""Nuevo destino y proporcione la siguiente información.
    Opción Descripción
    Nombre Un nombre único para el nuevo destino.
    Host La dirección IP o el nombre de dominio totalmente calificado.
    Precaución:

    Un bucle de reenvío es una configuración en la que el clúster de VMware Aria Operations for Logs se reenvía registros a sí mismo o a otro clúster, que es el que vuelve a reenviarlos al clúster original. Este bucle puede crear un número indefinido de copias de cada registro reenviado.

    La interfaz web de VMware Aria Operations for Logs no permite configurar un registro que se reenvíe a sí mismo. Pero VMware Aria Operations for Logs no puede evitar un bucle de reenvío indirecto, como el reenvío del clúster A al clúster B de VMware Aria Operations for Logs y el reenvío de los mismos registros de B a A.

    Al crear destinos de reenvío, tenga cuidado de no crear bucles de reenvío indirecto.

    Protocolo

    API de consumo, Syslog o RAW. El valor predeterminado es API de consumo.

    Cuando los registros se reenvían mediante la API de consumo, la fuente original del registro se preserva en el campo de origen.

    Cuando los registros se reenvían mediante Syslog, la fuente original del registro se pierde y el receptor puede grabar el origen del mensaje como la dirección IP o el nombre de host del reenviador de VMware Aria Operations for Logs.

    Cuando los registros se reenvían con RAW, el comportamiento es similar a Syslog, pero no se garantiza la conformidad con RFC de Syslog. RAW reenvía un registro exactamente como se recibe, sin un encabezado de syslog personalizado agregado por VMware Aria Operations for Logs. El protocolo RAW es útil para destinos de terceros, ya que esperan eventos de syslog en su formato original.

    Si selecciona la casilla de verificación Ajustar PRI/VERSION, VMware Aria Operations for Logs agregará automáticamente los encabezados PRI y VERSION al registro si faltan los encabezados.

    Nota:
    • Si está actualizando desde las versiones anteriores de VMware Aria Operations for Logs, la casilla de verificación Ajustar PRI/VERSION no está seleccionada de forma predeterminada. Asegúrese de seleccionar esta opción manualmente después de la actualización.
    • El campo de origen puede tener valores diferentes dependiendo del protocolo seleccionado en el reenviador de registros:
      1. Para la API de consumo, el origen es la dirección IP del emisor inicial (el originador del registro).
      2. Para syslog y RAW, el origen es la dirección IP de la instancia de VMware Aria Operations for Logs del reenviador del registro.
    Usar SSL Opcionalmente, puede proteger la conexión con SSL para la API de consumo o syslog. Si el certificado SSL proporcionado por el destino de reenvío no es de confianza, puede aceptar el certificado cuando pruebe o guarde esta configuración.
    Etiquetas Opcionalmente, puede agregar pares de etiquetas con valores predefinidos. Las etiquetas le permiten consultar registros más fácilmente. Puede agregar varias etiquetas separadas por comas.
    Reenviar etiquetas complementarias Puede seleccionar si desea reenviar etiquetas complementarias para syslog.

    Las etiquetas complementarias son aquellas que agregó el clúster, por ejemplo, "vc_username" o "vc_vmname", y se pueden reenviar con las etiquetas que proceden directamente de los orígenes. Las etiquetas complementarias siempre se reenvían cuando se utiliza la API de consumo.

    Transporte Seleccione un protocolo de transporte de syslog. Puede seleccionar UDP o TCP.
  3. Para controlar qué registros se reenvían, haga clic en "" Agregar filtro.
    Seleccione campos y restricciones para definir los registros deseados. Solo los campos estáticos están disponibles para su uso como filtros. Si no selecciona un filtro, se reenvían todos los registros. Puede ver los resultados del filtro que está compilando haciendo clic en Ejecutar en la página Explorar registros.
    Operador Descripción
    Coincide Encuentra cadenas que coinciden con la especificación de cadenas y comodines, donde * significa cero o más caracteres y ? significa cero o cualquier carácter único. Se admiten prefijos y postfijos de glob.

    Por ejemplo, *prueba* coincide con cadenas como prueba123 o mi-prueba-ejecutada.

    no coincide Excluye las cadenas que coinciden con la especificación de cadenas y comodines, donde * significa cero o más caracteres y ? significa cero o cualquier carácter único. Se admiten prefijos y postfijos de glob.

    Por ejemplo, test* excluye test123, pero no mytest123. ?test* excluye test123 y xtest123, pero no mytest123.

    comienza con Encuentra las cadenas que empiezan por la cadena de caracteres especificada.

    Por ejemplo, test encuentra test123 o test, pero no my-test123.

    no comienza con Excluye las cadenas que empiezan por la cadena de caracteres especificada.

    Por ejemplo, test filtra test123, pero no excluye my-test123.

    Por ejemplo, para ver los inicios de sesión correctos de los usuarios de vCenter Server durante las últimas 24 horas:

    Configurar un nuevo destino del reenviador de registros.
  4. (opcional) Para modificar la siguiente información de reenvío de registros, haga clic en Mostrar configuración avanzada.
    Opción Descripción
    Puerto El puerto al cual se envían los registros en el destino remoto. El valor predeterminado se establece en función del protocolo. No lo cambie a menos que el destino remoto escuche en un puerto diferente.
    Número de trabajadores La cantidad de conexiones salientes simultáneas que se deben usar. Establezca un número de trabajos más alto para tener una latencia de red superior en el destino de reenvío y un número más alto de registros reenviados por segundo. El valor predeterminado es 8.
  5. Para verificar su configuración, haga clic en Probar.
  6. Si el destino de reenvío proporciona un certificado SSL que no es de confianza, aparece un cuadro de diálogo con los detalles del certificado. Haga clic en Aceptar para agregar el certificado a los almacenes de confianza de todos los nodos del clúster de VMware Aria Operations for Logs.
    Si hace clic en Cancelar, el certificado no se agrega a los almacenes de confianza y se produce un error en la conexión con el destino de reenvío. Debe aceptar el certificado para que la conexión se realice correctamente.
  7. Haga clic en Guardar.
    Si no ha probado la configuración y el destino proporciona un certificado que no es de confianza, siga las instrucciones del paso 7.

Qué hacer a continuación

Puede editar o clonar un destino de reenvío de registros. Si edita el destino para cambiar el nombre de un reenviador de registros, se restablecen todas las estadísticas.