Se puede configurar un servidor de vRealize Log Insight para reenviar los eventos entrantes a un destino de API de consumo o syslog.

Utilice el reenvío de eventos para enviar eventos etiquetados o filtrados a uno o varios destinos remotos como vRealize Log Insight, syslog o ambos. El reenvío de eventos puede utilizarse para admitir las herramientas existentes de registro como SIEM y consolidar el registro a través de redes diferentes como DMZ o WAN.

Los reenviadores de eventos pueden ser independientes o estar en un clúster, pero son una instancia independiente del destino remoto. Las instancias configuradas para reenviar los eventos también los almacenan de forma local y se pueden utilizar para consultar datos.

Los operadores que se utilizan para crear filtros en la página de eventos reenviados son distintos de los filtros utilizados en la página de análisis interactivo. Consulte Usar filtros de reenvío de eventos en un análisis interactivo para obtener más información sobre cómo utilizar el elemento de menú Ejecutar en análisis interactivo para obtener una vista previa de los resultados del filtro de eventos.

Requisitos previos

Verifique que haya iniciado sesión en la interfaz de usuario web de vRealize Log Insight como usuario con permiso Editar administrador. El formato URL es https://host-log-insight, donde host-log-insight es la dirección IP o el nombre del host del dispositivo virtual de vRealize Log Insight.

Compruebe que el destino pueda manejar la cantidad de eventos que se reenvían. Si el clúster de destino es mucho más pequeño que la instancia de reenvío, algunos eventos podrían descartarse.

Procedimiento

  1. Desplácese hasta la pestaña Administración.
  2. En Administración, haga clic en Reenvío de eventos.
  3. Haga clic en Nuevo destino y proporcione la siguiente información.
    Opción Descripción
    Nombre Un nombre único para el nuevo destino.
    Host La dirección IP o el nombre de dominio totalmente calificado.
    Precaución: Un bucle de reenvío es una configuración en la que el clúster de vRealize Log Insight se reenvía eventos a sí mismo o a otro clúster, que es el que vuelve a reenviarlos al clúster original. Este bucle puede crear un número indefinido de copias de cada evento de reenvío. La interfaz web de vRealize Log Insight no permite configurar un evento que se reenvíe a sí mismo. Sin embargo, vRealize Log Insight no puede evitar que se produzca un bucle de reenvío indirecto, por ejemplo, que el clúster A de vRealize Log Insight realice un reenvío al clúster B y que este último vuelva a reenviar el mismo evento al clúster A. Cuando cree los destinos de reenvío, preste atención para no crear bucles de reenvío indirectos.
    Protocolo

    API de consumo, syslog o RAW. El valor predeterminado es la API de consumo (CFAPI).

    Cuando los eventos se reenvían mediante la API de consumo, la fuente original del evento se preserva en el campo de origen. Cuando los eventos se reenvían mediante un syslog, la fuente original del evento se pierde y el receptor puede grabar el origen del mensaje como la dirección IP o el nombre de host del reenviador de vRealize Log Insight. Cuando los eventos se reenvían con RAW, el comportamiento es similar a syslog, pero no se garantiza la conformidad con RFC de syslog. RAW reenvía un evento exactamente como se recibe, sin un encabezado de syslog personalizado agregado por vRealize Log Insight. Este protocolo es útil para destinos de terceros, ya que esperan eventos de syslog en su formato original.

    Nota:
    El campo de origen puede tener valores diferentes dependiendo del protocolo seleccionado en el reenviador de eventos:
    1. Para la API de consumo, el origen es la dirección IP del emisor inicial (el originador del evento).
    2. Para syslog y RAW, el origen es la dirección IP de la instancia de vRealize Log Insight del reenviador del evento. Además, el texto del mensaje contiene _li_source_path, que apunta a la dirección IP del emisor inicial.
    Usar SSL Opcionalmente, puede proteger la conexión con SSL para la API de consumo o syslog. Si el certificado SSL proporcionado por el destino de reenvío no es de confianza, puede aceptar el certificado cuando pruebe o guarde esta configuración.
    Etiquetas Opcionalmente, puede agregar pares de etiquetas con valores predefinidos. Las etiquetas le permiten consultar eventos más fácilmente. Puede agregar varias etiquetas separadas por comas.
    Reenviar etiquetas complementarias Puede seleccionar si desea reenviar etiquetas complementarias para syslog.

    Las etiquetas complementarias son aquellas que agregó el clúster, por ejemplo, "vc_username" o "vc_vmname", y se pueden reenviar con las etiquetas que proceden directamente de los orígenes. Las etiquetas complementarias siempre se reenvían cuando se utiliza la API de consumo.

    Transporte Seleccione un protocolo de transporte de syslog. Puede seleccionar UDP o TCP.
  4. (opcional) Para controlar qué eventos se reenvían, haga clic en Añadir filtro.
    Seleccione los campos y las restricciones para definir los eventos deseados. Solo los campos estáticos están disponibles para su uso como filtros. Si no selecciona un filtro, se reenvían todos los eventos. Puede ver los resultados del filtro que está compilando haciendo clic en Ejecutar en Análisis interactivo.
    Operador Descripción
    Coincide Encuentra cadenas que coinciden con la especificación de cadenas y comodines, donde * significa cero o más caracteres y ? significa cero o cualquier carácter único. Se admiten prefijos y postfijos de glob.

    Por ejemplo, *prueba* coincide con cadenas como prueba123 o mi-prueba-ejecutada.

    no coincide Excluye las cadenas que coinciden con la especificación de cadenas y comodines, donde * significa cero o más caracteres y ? significa cero o cualquier carácter único. Se admiten prefijos y postfijos de glob.

    Por ejemplo, test* excluye test123, pero no mytest123. ?test* excluye test123 y xtest123, pero no mytest123.

    comienza con Encuentra las cadenas que empiezan por la cadena de caracteres especificada.

    Por ejemplo, test encuentra test123 o test, pero no my-test123.

    no comienza con Excluye las cadenas que empiezan por la cadena de caracteres especificada.

    Por ejemplo, test filtra test123, pero no excluye my-test123.

  5. (opcional) Para modificar la siguiente información de reenvío, haga clic en Mostrar configuración avanzada.
    Opción Descripción
    Puerto El puerto al cual se envían los eventos en el destino remoto. El valor predeterminado se establece en función del protocolo. No lo cambie a menos que el destino remoto escuche en un puerto diferente.
    Número de trabajadores La cantidad de conexiones salientes simultáneas que se deben usar. Establezca un número de trabajadores más alto para tener una latencia de red superior en el destino de reenvío y un número más alto de eventos reenviados por segundo. El valor predeterminado es 8.
  6. Para verificar su configuración, haga clic en Probar.
  7. Si el destino de reenvío proporciona un certificado SSL que no es de confianza, aparece un cuadro de diálogo con los detalles del certificado. Haga clic en Aceptar para agregar el certificado a los almacenes de confianza de todos los nodos del clúster de vRealize Log Insight.
    Si hace clic en Cancelar, el certificado no se agrega a los almacenes de confianza y se produce un error en la conexión con el destino de reenvío. Debe aceptar el certificado para que la conexión se realice correctamente.
  8. Haga clic en Guardar.
    Si no ha probado la configuración y el destino proporciona un certificado que no es de confianza, siga las instrucciones del paso 7.

Qué hacer a continuación

Puede editar o clonar un destino de reenvío de eventos. Si edita el destino para cambiar el nombre de un reenviador de eventos, se restablecen todas las estadísticas.