À partir d'ESXi 8.0, le format des fichiers journaux est normalisé et exprimé sous la forme ABNF (Augmented Backus-Naur Form).
Dans ESXi 8.0, les fichiers journaux sont écrits directement, à partir d'un service unique tel que VMX, ou indirectement, lorsque des journaux d'un service sont envoyés à un syslog. Par exemple, VMX écrit toujours des messages de journal dans le fichier vmware.log de chaque machine virtuelle. Pour allouer des ressources système de secours, VMX n'envoie pas de messages de journal au syslog. En revanche, dans certains fichiers journaux que vmsyslogd génère, vous voyez des messages provenant de plusieurs programmes, car le démon syslog ESXi crée et gère tous les fichiers journaux, ainsi que les messages envoyés à ces fichiers, à partir de plusieurs services.
Format des messages de journaux directs :
| Paramètre | Valeur |
| LOG-MSG | HEADER SP MSG |
| HEADER | TIMESTAMP SP SEVERITY SP THREAD-NAME SP OPID |
| TIMESTAMP | FULL-DATE T FULL-TIME (conforme à RFC 5424 avec les exigences de formatage et de résolution UTC/GMT en millisecondes ou plus granulaire lorsque c'est possible.) |
| FULL-DATE | DATE-FULLYEAR - DATE-MONTH - DATE-MDAY |
| DATE-FULLYEAR | 4DIGIT |
| DATE-MONTH | 2DIGIT ; 01-12 |
| DATE-MDAY | 2DIGIT ; 01-28, 01-29, 01-30, 01-31 selon le mois/l'année |
| FULL-TIME | TIME-HOUR : TIME-MINUTE : TIME-SECOND[TIME-SECFRAC] Z |
| TIME-HOUR | 2DIGIT ; 00-23 |
| TIME-MINUTE | 2DIGIT ; 00-59 |
| TIME-SECOND | 2DIGIT ; 00-59 |
| TIME-SECFRAC | '.' 1*6DIGIT |
| SEVERITY | SEVERITY-STRING SEVERITY-VALUE [LINE-MARKER] |
| SEVERITY-STRING | Em/ Al / Cr / Er / Wa / No / In / Db (les 8 niveaux de gravité spécifiés dans RFC 5424 sont abrégés comme suit :
|
| SEVERITY-VALUE | ( *DIGIT ) (SEVERITY-VALUE est une expression facultative de la valeur numérique associée à SEVERITY-STRING. Cela permet de réduire les niveaux pris en charge par un enregistreur automatique dans les 8 chaînes requises sans perte d'informations (par exemple, Db(5) - debug, level 5).) |
| LINE-MARKER | + (LINE-MARKER est ajouté à chaque ligne suivante générée à partir d'un envoi multiligne. Il identifie les envois multilignes et empêche une attaque de sécurité par injection de journaux.) |
| NILVALUE | - (Un programme avec un seul thread peut ne pas avoir de nom de thread et NILVALUE est acceptable.) |
| THREAD-NAME | NILVALUE / 1*32PRINTUSASCII (Le composant (APP-NAME) est implicite lorsqu'un seul programme écrit le fichier et aucun champ de composant n'est nécessaire, uniquement le nom du thread.) |
| OPID | NILVALUE / 1*128UTF-8-STRING |
| STRUCTURED-DATA | 1*SD-ELEMENT |
| SD-ELEMENT | [ SD-ID *(SP SD-PARAM) ] |
| SD-PARAM | PARAM-NAME %d34 PARAM-VALUE %d34 |
| SD-ID | SD-NAME |
| PARAM-NAME | SD-NAME |
| PARAM-VALUE | UTF-8-STRING ; les caractères '', '\' et ']' DOIVENT être échappés. |
| SD-NAME | 1*32PRINTUSASCII ; à l'exception de '', SP, ']', %d34 () |
| MSG | [STRUCTURED-DATA SP] UTF-8-STRING |
Format des fichiers journaux gérés par le service vmsyslogd :
| Paramètre | Valeur |
| LOG-MSG | HEADER SP MSG |
| HEADER | TIMESTAMP SP SEVERITY SP APP-NAME [PROC-IDENTIFIER] : |
| APP-NAME | 1*32PRINTUSASCII |
| PROC-IDENTIFIER | [ *DIGITS ] ; le PID associé à APP-NAME |
| TIMESTAMP | FULL-DATE T FULL TIME (résolution en millisecondes ou plus granulaire lorsque c'est possible.) |
| FULL-DATE | DATE-FULLYEAR - DATE-MONTH - DATE-MDAY |
| DATE-FULLYEAR | 4DIGIT |
| DATE-MONTH | 2DIGIT ; 01-12 |
| DATE-MDAY | 2DIGIT ; 01-28, 01-29, 01-30, 01-31 selon le mois/l'année |
| FULL-TIME | TIME-HOUR : TIME-MINUTE : TIME-SECOND[TIME-SECFRAC] Z |
| TIME-HOUR | 2DIGIT ; 00-23 |
| TIME-MINUTE | 2DIGIT ; 00-59 |
| TIME-SECOND | 2DIGIT ; 00-59 |
| TIME-SECFRAC | '.' 1*6DIGIT |
| SEVERITY-STRING | Em/ Al / Cr / Er / Wa / No / In / Db (les 8 niveaux de gravité spécifiés dans RFC 5424 sont abrégés comme suit :
|
| SEVERITY | SEVERITY-STRING PRI-STRING [LINE-MARKER] |
| PRIVAL | 1*3DIGIT ; plage 0 .. 191 (MSG PRI ; contient les valeurs d'installation et de gravité, ORed ensemble) |
| PRI-STRING | ( PRIVAL ) (PRIVAL contient les bits du message PRI. Cela permet de voir l'installation du message ainsi que les bits de gravité eux-mêmes._ |
| LINE-MARKER | + (LINE-MARKER est ajouté à chaque ligne suivante générée à partir d'un envoi multiligne. Il identifie les envois multilignes et empêche une attaque de sécurité par injection de journaux.) |
| STRUCTURED-DATA | 1*SD-ELEMENT |
| SD-ELEMENT | [ SD-ID *(SP SD-PARAM) ] |
| SD-PARAM | PARAM-NAME %d34 PARAM-VALUE %d34 |
| SD-ID | SD-NAME |
| PARAM-NAME | SD-NAME |
| PARAM-VALUE | UTF-8-STRING ; les caractères '', '\' et ']' DOIVENT être échappés. |
| SD-NAME | 1*32PRINTUSASCII ; à l'exception de '', SP, ']', %d34 () |
| MSG | [STRUCTURED-DATA SP] UTF-8-STRING |
Enregistrements d'audit
Les enregistrements d'audit ESXi avec le code d'installation 13 sont conformes aux formats RFC 3164 et 5424 et vous pouvez les trouver dans la section Données structurées. Vous trouverez également des informations de traçabilité basées sur les événements lorsque ces données sont disponibles. Les enregistrements d'audit sont stockés dans un format spécial et non dans un fichier journal standard. Vous pouvez accéder aux enregistrements d'audit localement à l'aide du programme viewAudit et de la fonctionnalité de gestion de l'infrastructure virtuelle FetchAuditRecords. Ne lisez, n'utilisez ou ne modifiez pas directement un fichier de stockage d'audit. Les enregistrements d'audit stockés localement sont conformes au format de transmission RFC 5424 dans lequel HOSTNAME et MSGID sont toujours NILVALUE.
