La fonctionnalité de filtrage de journaux vous permet de modifier la stratégie de journalisation du service syslog exécutée sur un hôte ESXi. Vous pouvez créer des filtres de journaux pour réduire le nombre d'entrée répétitives dans les journaux ESXi et inscrire des événements de journal spécifiques sur liste noire.

Pourquoi et quand exécuter cette tâche

Les filtres de journaux affectent les événements de journaux traités par le programme fantôme vmsyslogd de l'hôte ESXi, qu'ils soient inscrits dans un répertoire journal ou sur un serveur syslog distant.

Lorsque vous créez un filtre de journal, vous définissez un nombre maximum d'entrées de journal pour les messages de journal générés par un ou plusieurs composants système spécifiques qui correspondent à une phrase spécifique. Il vous faut activer la fonctionnalité de filtrage de journaux et recharger le programme fantôme syslog pour activer les filtres de journaux sur l'hôte ESXi.

Important :

Si vous fixez une limite pour la quantité d'informations de journalisation, vous n'arriverez peut-être pas à résoudre correctement des possibles pannes du système. Si une rotation des fichiers de journaux se produit une fois le nombre maximum d'entrées atteint, vous pourriez perdre toutes les instances d'un message filtré.

Procédure

  1. Connectez-vous au shell ESXi en tant qu'utilisateur racine.
  2. Dans le fichier /etc/vmware/logfilters, ajoutez l'entrée suivante pour créer un filtre de journal.
    numLogs | ident | logRegexp

    où :

    • numLogs définit le nombre maximum d'entrées pour les messages de journaux spécifiés. Une fois ce nombre atteint, les messages de journaux spécifiés sont filtrés et ignorés. Utilisez 0 pour filtrer et ignorer tous les messages de journaux spécifiés.

    • ident spécifie un ou plusieurs composants système dont les messages de journaux générés seront traités par le filtre. Pour plus d'informations concernant les composants système générant des messages de journaux, consultez les valeurs des paramètres idents dans les fichiers de configuration syslog situés dans le répertoire /etc/vmsyslog.conf.d. Utilisez une liste d'éléments séparés par une virgule pour appliquer un filtre à plusieurs composants système. Utilisez * pour appliquer un filtre à tous les composants système.

    • logRegexp spécifie une phrase sensible à la casse avec une syntaxe d'expression Python standard pour filtrer les messages de journaux selon leur contenu.

    Par exemple, si vous souhaitez fixer une limite de deux entrées de journal maximum pour les messages du composant hostd qui ressemblent à la phrase Échec de connexion de SOCKET, erreur 2 : Aucun fichier ou répertoire de ce type avec n'importe quel numéro d'erreur, ajoutez l'entrée suivante :

    2 | hostd | SOCKET connect failed, error .*: No such file or directory
    Remarque :

    Une ligne commençant par # indique un commentaire et est ignorée.

  3. Dans le fichier /etc/vmsyslog.conf, ajoutez l'entrée suivante pour activer la fonctionnalité de filtrage de journaux.
    enable_logfilters = true
  4. Exécutez la commande esxcli system syslog reload pour recharger le programme fantôme syslog et appliquer les modifications de configuration.