Vous pouvez spécifier jusqu'à trois destinations auxquelles l'agent Linux VMware Aria Operations for Logs va envoyer des événements de journaux.

La section [server|<dest_id>] du fichier li-agent.ini permet de définir des connexions de destinations multiples. La variable <dest_id> qu'elle contient est un ID de connexion unique par configuration. Pour les destinations supplémentaires, vous pouvez utiliser les mêmes options que celles de la section [server] par défaut. Toutefois, ne configurez pas de destinations supplémentaires pour la mise à niveau automatique ou ne les utilisez pas pour la configuration de l'agent. Vous pouvez indiquer deux destinations supplémentaires.

La première cible que vous définissez peut utiliser la valeur par défaut du serveur loginsight. Lorsque vous définissez des cibles supplémentaires, vous devez spécifier un nom d'hôte dans les sections [server] des cibles suivantes. Sans filtrage, l'agent envoie tous les journaux collectés à toutes les destinations. Il s'agit de la configuration par défaut. Toutefois, vous pouvez filtrer les journaux pour envoyer différents journaux à différentes destinations.

Conditions préalables

  • Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console.
  • Connectez-vous à la machine Linux sur laquelle vous avez installé l'agent VMware Aria Operations for Logs Linux, ouvrez une console et exécutez pgrep liagent pour vérifier que l'agent VMware Aria Operations for Logs Linux est installé et fonctionne.
  • Si vous disposez d'un cluster VMware Aria Operations for Logs pour lequel ILB (Integrated Load Balancer) est activé, consultez Activer l'équilibrage de charge intégré pour connaître les exigences spécifiques d'un certificat SSL personnalisé.

Procédure

  1. Ouvrez le fichier /var/lib/loginsight-agent/liagent.ini dans n'importe quel éditeur de texte.
  2. Modifiez les paramètres suivants et définissez les valeurs correspondant à votre environnement.
    Paramètre Description
    proto

    Protocole que l'agent utilise pour envoyer des événements de journaux au serveur VMware Aria Operations for Logs. Les valeurs possibles sont cfapi et syslog.

    La valeur par défaut est cfapi.

    hostname Adresse IP ou nom d'hôte du dispositif virtuel VMware Aria Operations for Logs.
    Vous pouvez spécifier une adresse IPv4 ou IPv6. Une adresse IPv6 peut être spécifiée avec ou sans crochets. Par exemple : 
    hostname = 2001:cdba::3257:9652
or
hostname = [2001:cdba::3257:9652]
    Si l'hôte prend en charge les piles IPv4 et IPv6, et qu'un nom de domaine est spécifié comme nom d'hôte, l'agent utilise la pile IP en fonction de l'adresse IP qui est renvoyée par le programme de résolution de noms. Si le programme de résolution renvoie des adresses IPv4 et IPv6, l'agent tente de se connecter séquentiellement aux deux adresses dans l'ordre donné.
    max_disk_buffer Espace disque maximal en Mo que l'agent Linux VMware Aria Operations for Logs peut utiliser pour mettre en mémoire tampon les événements de journaux collectés pour ce serveur particulier. L'option remplace la valeur [storage].max_disk_buffer pour ce serveur.

    La valeur par défaut est de 150 Mo et vous pouvez définir le tampon sur une taille comprise entre 50 et 8 000 Mo.

    port
    Port de communication utilisé par l'agent pour envoyer des événements de journaux au serveur VMware Aria Operations for Logs ou tiers. Par défaut, l'agent utilise le port adéquat en fonction des options qui sont définies pour SSL et le protocole. Consultez les valeurs de port par défaut mentionnées dans la liste ci-dessous. Vous devez uniquement spécifier l'option de port si elle est différente de ces valeurs par défaut.
    • cfapi avec SSL activé : 9543
    • cfapi avec SSL désactivé : 9000
    • Syslog avec SSL activé : 6514
    • Syslog avec SSL désactivé : 514
    ssl Active ou désactive SSL. La valeur par défaut est oui.

    Lorsque ssl est défini sur oui, si vous ne définissez pas de valeur pour le port, le port 9543 est celui choisi automatiquement.

    reconnect Durée en minutes pour forcer la reconnexion au serveur. La valeur par défaut est 30. 
    [server]
hostname=LOGINSIGHT
; Hostname or IP address of your Log Insight server / cluster load balancer. Default:
;hostname=LOGINSIGHT

; Protocol can be cfapi (Log Insight REST API), syslog. Default:
;proto=cfapi

; Log Insight server port to connect to. Default ports for protocols (all TCP):
; syslog: 514; syslog with ssl: 6514; cfapi: 9000; cfapi with ssl: 9543. Default:
;port=9543

; SSL usage. Default:
;ssl=yes
  3. Enregistrez et fermez le fichier liagent.ini.

Exemple

L'exemple de configuration suivant définit un serveur VMware Aria Operations for Logs cible qui utilise une autorité de certification approuvée. 
[server]
proto=cfapi
hostname=LOGINSIGHT
port=9543
ssl=yes;  
ssl_ca_path=/etc/pki/tls/certs/ca.pem

L'exemple suivant illustre une configuration de destinations multiples.

  • La première destination (par défaut) reçoit tous les événements de journaux collectés. 
    [server]
hostname=prod1.licf.vmware.com
  • La deuxième destination reçoit uniquement les événements syslog via le protocole syslog normal. 
    [server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
  • La troisième destination reçoit les événements de journaux VMware Aria Operations à condition qu'ils comportent un champ de niveau contenant « erreur » ou « avertissement » et qu'ils aient été collectés par des sections dont le nom commence par « vrops- ». 
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}

;Collecting syslog messages.
[filelog|syslog]
directory=/var/log
include=messages

;various vRops logs. Note that all section names begin with "vrops-" prefix, which is used in third destination filter.
[filelog|vrops-ANALYTICS-analytics]
directory=/data/vcops/log
include=analytics*.log*
exclude=analytics*-gc.log*
parser=auto
[filelog|vrops-COLLECTOR-collector]
directory=/data/vcops/log
include=collector.log*
event_marker=^\d
{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\,\d{3}
parser=auto

[filelog|vrops-COLLECTOR-collector_wrapper]
directory=/data/vcops/log
include=collector-wrapper.log*
event_marker=^\d{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\.\d{3} 
parser=auto

Que faire ensuite

Vous pouvez configurer des options SSL supplémentaires pour l'agent VMware Aria Operations for Logs Linux. Reportez-vous à la rubrique Configurer la connexion SSL entre le serveur et les agents VMware Aria Operations for Logs.