A partir de ESXi 8.0, el servicio Syslog utiliza tres parámetros para definir mensajes y registros de auditoría: protocolo, formato y marcos.
Los protocolos compatibles son UDP, TCP y TLS (SSL). El formato de los mensajes de syslog se define mediante RFC 3164 o RFC 5424. Los marcos especifican cómo se encapsula un mensaje. Los marcos de mensajes encapsulados se definen como transparentes, también denominados octet_counting, o no transparentes, si un mensaje no está encapsulado. Los marcos transparentes garantizan que las nuevas líneas integradas en un mensaje no confundan a un recopilador de syslog. Los mensajes de syslog que se envían mediante el protocolo UDP se consideran incrustados en marcos de forma transparente; se espera que un recopilador de syslog comprenda esto y acepte la transmisión como un mensaje único.
RFC 3164 establece la longitud total máxima de un mensaje de syslog en 1024 bytes, mientras que RFC 5424 amplía este máximo a 2048 bytes.
La longitud máxima predeterminada para los mensajes de host remoto en ESXi es 1 KiB. Puede aumentar la longitud máxima del mensaje hasta 16 KiB. No obstante, aumentar este valor por encima de 1 KiB no garantiza que las transmisiones largas lleguen sin truncar a un recopilador de syslog. Por ejemplo, cuando la infraestructura de syslog que emite un mensaje es externa a ESXi.
Los mensajes de syslog que transmite vmsyslogd constan de datos estructurados, una lista de propiedades formateada de acuerdo con RFC 5424 y datos sin estructurar o de formato libre.
Cuando un mensaje supera la longitud máxima, ESXi 8.0 mitiga el mensaje e intenta conservar la mayor cantidad posible de datos estructurados.
Cuando se mitiga un mensaje, se agregan tres parámetros a los datos estructurados existentes o se crean datos estructurados que contengan estos parámetros: msgModified, remoteHostMaxMsgLen y originalLen.
El parámetro msgModified indica cómo afecta la mitigación al mensaje: solo datos estructurados, solo datos no estructurados o ambos.
El parámetro remoteHostMaxMsgLen especifica la longitud máxima del mensaje que ESXi puede controlar.
El parámetro originalLen especifica la longitud del mensaje antes de mitigarlo.
Opciones compatibles para protocolos, formatos y marcos de mensajes de syslog de ESXi:
Formatos | Marcos | UDP | TCP | SSL | Comentarios |
---|---|---|---|---|---|
Sin especificar | Sin especificar | Compatible RFC 5426 |
Compatible | Compatible | El formato de los mensajes cumple con RFC 3164, solo las marcas de tiempo tienen el formato RFC 3339. Los datos estructurados se anteponen a cada mensaje. El valor predeterminado de los marcos es no transparente con TCP o SSL (TLS) y las líneas nuevas integradas en datos estructurados podrían dañar los mensajes. Con UDP, los paquetes se incrustan en marcos. |
Sin especificar | Non_transparent | Prohibido | Compatible | Compatible | El formato de los mensajes cumple con RFC 3164, solo las marcas de tiempo tienen el formato RFC 3339. Los datos estructurados se anteponen a cada mensaje. El valor predeterminado de los marcos es no transparente con TCP o SSL (TLS) y las líneas nuevas integradas en datos estructurados podrían dañar los mensajes. |
Sin especificar | Octet_counting | Prohibido | Compatible RFC 6587 |
Compatible RFC 6587 |
El formato de los mensajes cumple con RFC 3164, solo las marcas de tiempo tienen el formato RFC 3339. Los datos estructurados se anteponen a cada mensaje. |
RFC 5424 | Sin especificar | Compatible RFC 5426 |
Compatible RFC 5425 |
Compatible RFC 5424 |
El formato de los mensajes cumple con RFC 5424. El valor predeterminado de los marcos es octet-counting con TCP o SSL (TLS). Con UDP, es posible que los marcos no se especifiquen de forma explícita. |
RFC 5424 | Non_transparent | Prohibido | No compatible | No compatible | No compatible porque las líneas nuevas integradas en datos estructurados podrían crear mensajes dañados. |
RFC 5424 | Octet_counting | Prohibido | Compatible RFC 5425 |
Compatible RFC 5425 |
El formato de los mensajes cumple con RFC 5424. |
RFC 3164 | Sin especificar | Compatible RFC 5426 |
Compatible | Compatible | El formato de los mensajes cumple con RFC 3164, solo las marcas de tiempo tienen el formato RFC 3339. Los datos estructurados se anteponen a cada mensaje. El valor predeterminado de los marcos es no transparente con TCP o SSL (TLS) y las líneas nuevas integradas en datos estructurados podrían dañar los mensajes. Con UDP, los paquetes se incrustan en marcos. |
RFC 3164 | Non_transparent | Prohibido | Compatible | Compatible | El formato de los mensajes cumple con RFC 3164, solo las marcas de tiempo tienen el formato RFC 3339. Los datos estructurados se anteponen a cada mensaje. El valor predeterminado de los marcos es no transparente con TCP o SSL (TLS) y las líneas nuevas integradas en datos estructurados podrían dañar los mensajes. |
RFC 3164 | Octet_counting | Prohibido | Compatible RFC 6587 |
Compatible RFC 6587 |
El formato de los mensajes cumple con RFC 3164, solo las marcas de tiempo tienen el formato RFC 3339. Los datos estructurados se anteponen a cada mensaje. |