Vous pouvez définir ou modifier le serveur VMware Aria Operations for Logs cible pour un agent VMware Aria Operations for Logs exécuté sur Windows. Vous pouvez envoyer des événements de journaux à trois destinations au maximum et filtrer la sortie par destination.

La destination par défaut peut être configurée dans la section [server] du fichier liagent.ini. La destination par défaut est toujours présente et, par défaut, le nom d'hôte est défini sur loginsight. Pour ajouter davantage de destinations cibles, créez une section [server|<dest_id>] pour chaque cible. Vous devez spécifier un nom d'hôte unique comme ID de destination pour chaque connexion supplémentaire. Pour les destinations supplémentaires, vous pouvez utiliser les mêmes options que celles de la section [server] par défaut. Ne configurez pas de destinations supplémentaires pour la mise à niveau automatique ou ne les utilisez pas pour la configuration de l'agent. Vous pouvez indiquer deux destinations supplémentaires.

Par défaut, l'agent envoie tous les journaux collectés à toutes les destinations. Vous pouvez filtrer les événements de journaux afin d'envoyer des journaux différents à des destinations différentes avec l'option file. Pour plus d'informations, reportez-vous à la section Filtrage des événements de journaux.

Conditions préalables

  • Connectez-vous à la machine Windows sur laquelle vous avez installé VMware Aria Operations for Logs Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service VMware Aria Operations for Logs Agent est installé.
  • Si vous disposez d'un cluster VMware Aria Operations for Logs pour lequel ILB (Integrated Load Balancer) est activé, consultez Activer l'équilibrage de charge intégré pour connaître les exigences spécifiques d'un certificat SSL personnalisé.

Procédure

  1. Accédez au répertoire des données du programme de l'agent VMware Aria Operations for Logs Windows.
    %ProgramData%\VMware\Log Insight Agent
  2. Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque.
  3. Modifiez les paramètres suivants et définissez les valeurs correspondant à votre environnement.
    Paramètre Description
    proto

    Protocole que l'agent utilise pour envoyer des événements de journaux au serveur VMware Aria Operations for Logs. Les valeurs possibles sont cfapi et syslog.

    La valeur par défaut est cfapi.

    hostname Adresse IP ou nom d'hôte du dispositif virtuel VMware Aria Operations for Logs.
    Vous pouvez spécifier une adresse IPv4 ou IPv6. Une adresse IPv6 peut être spécifiée avec ou sans crochets. Par exemple : 
    hostname = 2001:cdba::3257:9652
or
hostname = [2001:cdba::3257:9652]
    Si l'hôte prend en charge les piles IPv4 et IPv6, et qu'un nom de domaine est spécifié comme nom d'hôte, l'agent choisit la pile IP en fonction de l'adresse IP renvoyée par le programme de résolution de noms. Si le programme de résolution renvoie des adresses IPv4 et IPv6, l'agent tente de se connecter séquentiellement aux deux adresses dans l'ordre donné.
    max_disk_buffer Espace disque maximal en Mo que VMware Aria Operations for Logs Windows Agent peut utiliser pour mettre en mémoire tampon les événements de journaux collectés pour ce serveur particulier. L'option remplace la valeur [storage].max_disk_buffer pour ce serveur.

    La valeur par défaut est de 150 Mo et vous pouvez définir le tampon sur une taille comprise entre 50 et 8 000 Mo.

    port
    Port de communication utilisé par l'agent pour envoyer des événements de journaux au serveur VMware Aria Operations for Logs ou tiers. Par défaut, l'agent utilise le port adéquat en fonction des options qui sont définies pour SSL et le protocole. Consultez les valeurs de port par défaut mentionnées dans la liste ci-dessous. Vous devez uniquement spécifier l'option de port si elle est différente de ces valeurs par défaut.
    • cfapi avec SSL activé : 9543
    • cfapi avec SSL désactivé : 9000
    • Syslog avec SSL activé : 6514
    • Syslog avec SSL désactivé : 514
    ssl Active ou désactive SSL. La valeur par défaut est oui.

    Lorsque ssl est défini sur oui, le port est défini sur 9543, sauf spécification contraire.

    reconnect Temps en minutes pour forcer la reconnexion au serveur. La valeur par défaut est 30.
    filter Spécifie les informations qu'un agent envoie à une destination. Cette option utilise trois arguments : 
    {collector_type; collector_filter; event_filter}
    		 
    [server]
hostname=LOGINSIGHT
; Hostname or IP address of your Log Insight server / cluster load balancer. Default:
;hostname=LOGINSIGHT
 
; Protocol can be cfapi (Log Insight REST API), syslog. Default:
;proto=cfapi

; Log Insight server port to connect to. Default ports for protocols (all TCP):
; syslog: 514; syslog with ssl: 6514; cfapi: 9000; cfapi with ssl: 9543. Default:
;port=9543

; SSL usage. Default:
;ssl=yes
  4. Enregistrez et fermez le fichier liagent.ini.

Exemple

L'exemple de configuration suivant définit un serveur VMware Aria Operations for Logs cible qui utilise une autorité de certification approuvée. 
[server]
proto=cfapi
hostname=LOGINSIGHT
port=9543
ssl=yes;  
ssl_ca_path=/etc/pki/tls/certs/ca.pem

L'exemple suivant montre une configuration à plusieurs destinations qui inclut le filtrage des messages par destination. 

; The first (default) destination receives all collected events.
[server]
hostname=prod1.licf.vmware.com

; The second destination receives just syslog events through the plain syslog protocol.
[server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter={filelog; syslog; }


; The third destination receives vRealize Operations events if they have the level field equal to "error" or "warning" 
; and they are collected by sections whose name begins with "vrops-"

[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter={; vrops-.*; level == "error" || level == "warning"}

; Collecting syslog messages.
[filelog|syslog]
directory=/var/log
include=messages

; various vROPs logs. Note that all section names begin with a "vrops-" prefix, which is used in third destination filter.
[filelog|vrops-ANALYTICS-analytics]
directory=/data/vcops/log
include=analytics*.log*
exclude=analytics*-gc.log*
parser=auto

[filelog|vrops-COLLECTOR-collector]
directory=/data/vcops/log
include=collector.log*
event_marker=^\d{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\,\d{3}
parser=auto

[filelog|vrops-COLLECTOR-collector_wrapper]
directory=/data/vcops/log
include=collector-wrapper.log*
event_marker=^\d{4}-\d{2}-\d{2} [\s]\d{2}:\d{2}:\d{2}\.\d{3} 
parser=auto

Que faire ensuite

Vous pouvez configurer des options SSL supplémentaires pour l'agent VMware Aria Operations for Logs. Reportez-vous à la rubrique Configurer la connexion SSL entre le serveur et les agents VMware Aria Operations for Logs.