La fonctionnalité de filtrage de journaux vous permet de modifier la stratégie de journalisation du service syslog exécutée sur un hôte ESXi. Vous pouvez créer des filtres de journaux pour réduire le nombre d'entrée répétitives dans les journaux ESXi et inscrire des événements de journal spécifiques sur liste noire.

Les filtres de journaux affectent les événements de journaux traités par le programme fantôme vmsyslogd de l'hôte ESXi, qu'ils soient inscrits dans un répertoire journal ou sur un serveur syslog distant.

Lorsque vous créez un filtre de journal, vous définissez un nombre maximal d’entrées de journal pour les messages de journaux. Les messages de journaux sont générés par un ou plusieurs composants système spécifiés et qui correspondent à une phrase spécifiée. Il vous faut activer la fonctionnalité de filtrage de journaux et recharger le programme fantôme syslog pour activer les filtres de journaux sur l'hôte ESXi.
Important : La définition d’une limite quant à la quantité d’informations de journalisation restreint votre capacité à résoudre correctement les éventuelles pannes du système. Si une rotation des fichiers de journaux se produit une fois le nombre maximum d'entrées atteint, vous pourriez perdre toutes les instances d'un message filtré.

Procédure

  1. Connectez-vous au shell ESXi en tant qu'utilisateur racine.
  2. Dans le fichier /etc/vmware/logfilters, ajoutez l'entrée suivante pour créer un filtre de journal.
                numLogs | ident | logRegexp
    où :
    • numLogs définit le nombre maximum d'entrées pour les messages de journaux spécifiés. Une fois ce nombre atteint, les messages de journaux spécifiés sont filtrés et ignorés. Utilisez 0 pour filtrer et ignorer tous les messages de journaux spécifiés.
    • ident spécifie un ou plusieurs composants système dont les messages de journaux générés seront traités par le filtre. Pour plus d’informations sur les composants du système qui génèrent des messages de journal, consultez les valeurs des paramètres idents dans les fichiers de configuration syslog. Les fichiers se trouvent dans le répertoire /etc/vmsyslog.conf.d. Utilisez une liste d'éléments séparés par une virgule pour appliquer un filtre à plusieurs composants système. Utilisez * pour appliquer un filtre à tous les composants système.
    • logRegexp spécifie une phrase sensible à la casse avec une syntaxe d'expression Python standard pour filtrer les messages de journaux selon leur contenu.
    Par exemple, pour définir une limite du nombre maximal d’entrées à partir du composant hostd pour les messages qui ressemblent à la phrase Échec de connexion de SOCKET, erreur 2 : Aucun fichier ou répertoire de ce type avec n’importe quel numéro d’erreur, ajoutez l’entrée suivante :
    2 | hostd | SOCKET connect failed, error .*: No such file or directory
    Note : Une ligne commençant par # indique un commentaire et est ignorée.
  3. Dans le fichier /etc/vmsyslog.conf, ajoutez l'entrée suivante pour activer la fonctionnalité de filtrage de journaux.
    enable_logfilters = true
  4. Exécutez la commande esxcli system syslog reload pour recharger le programme fantôme syslog et appliquer les modifications de configuration.