Vous pouvez configurer un serveur vRealize Log Insight pour qu'il transfère les événements entrants vers une cible Syslog ou API Ingestion.

Utilisez le transfert d'événements pour envoyer des événements filtrés ou balisés vers une ou plusieurs destinations distantes comme vRealize Log Insight et/ou Syslog. Cette fonctionnalité peut être utilisée pour prendre en charge les outils de journalisation existants (SIEM, par exemple), ainsi que pour consolider la journalisation sur différents réseaux (DMZ et/ou WAN, par exemple).

Les redirecteurs d'événements peuvent être autonomes ou en cluster, mais il s'agit d'instances totalement indépendantes de la destination distante. Les instances configurées pour le transfert d'événements stockent aussi les événements localement et peuvent être utilisées pour interroger les données.

Les opérateurs que vous utilisez pour créer des filtres sur la page Événements transférés sont différents des filtres utilisés sur la page d'analyse interactive. Reportez-vous à Utilisation des filtres de transfert d'événements dans l'analyse interactive pour plus d'informations sur l'utilisation de l'élément de menu Exécuter dans l'analyse interactive afin de prévisualiser les résultats de votre filtre d'événements.

Conditions préalables

Vérifiez que vous êtes connecté à l'interface utilisateur Web de vRealize Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier le compte Admin. Le format de l'URL est https://log-insight-host, où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel vRealize Log Insight.

Vérifiez que la destination peut gérer le nombre d'événements qui sont transférés. Si le cluster de destination est plus petit que l'instance de transfert, certains événements pourraient être abandonnés.

Procédure

  1. Accédez à l'onglet Administration.
  2. Sous Gestion, cliquez sur Transfert d’événements.
  3. Cliquez sur Nouvelle destination et indiquez les informations ci-après.
    Option Description
    Nom Nom unique pour la nouvelle destination.
    Hôte Adresse IP ou nom de domaine complet.
    Attention : Une boucle de transfert est une configuration dans laquelle un cluster vRealize Log Insight transfère des événements à lui-même, ou à un autre cluster, qui retransfère ensuite les événements au cluster d'origine. Ce type de boucle peut créer un nombre indéfini de copies de chaque événement transféré. L'interface Web vRealize Log Insight ne vous permet pas de configurer un événement destiné à être envoyé à lui-même. Cependant, vRealize Log Insight ne peut pas empêcher les boucles de transfert indirectes. Par exemple, le cluster A de vRealize Log Insight transfère des événements au cluster B, lequel retransfère ces mêmes événements à A. Lors de la création de destinations de transfert, veillez donc à ne pas créer de boucles de transfert indirectes.
    Protocole

    API ingestion, Syslog ou RAW. La valeur par défaut est API Ingestion (CFAPI).

    Lorsque des événements sont transférés à l'aide de l'API Ingestion, la source d'origine de l'événement est conservée dans le champ source. Lorsque des événements sont transférés à l'aide de Syslog, la source d'origine de l'événement est perdue et le récepteur peut enregistrer la source du message comme l'adresse IP ou le nom d'hôte du redirecteur vRealize Log Insight. Lorsque des événements sont transférés à l'aide de RAW, le comportement est similaire à Syslog, mais la conformité à Syslog RFC n'est pas assurée. RAW transfère un événement exactement de la manière dont il est reçu, sans en-tête Syslog personnalisé ajouté par vRealize Log Insight. Ce protocole est utile pour les destinations tierces, car elles attendent des événements Syslog dans leur forme d'origine.

    Note :
    Le champ source peut contenir différentes valeurs selon le protocole sélectionné dans le redirecteur d'événements :
    1. Pour L'API Ingestion, la source est l'adresse IP de l'expéditeur initial (à l'origine de l'événement).
    2. Pour Syslog et RAW, la source est l'adresse IP de l'instance vRealize Log Insight du redirecteur d'événements. De plus, le texte du message contient _li_source_path, qui pointe vers l'adresse IP de l'expéditeur initial.
    Utiliser SSL Vous pouvez éventuellement sécuriser la connexion avec SSL pour l'API d'ingestion ou Syslog. Si le certificat SSL fourni par la destination de transfert n'est pas approuvé, vous pouvez accepter le certificat lorsque vous testez ou enregistrez cette configuration.
    Balises Vous pouvez éventuellement ajouter des paires de balises avec des valeurs prédéfinies. Les balises vous permettent d'interroger plus facilement les événements. Vous pouvez ajouter plusieurs balises séparées par des virgules.
    Transmettre des balises complémentaires Vous pouvez indiquer si vous souhaitez transmettre des balises complémentaires pour Syslog.

    Les balises complémentaires sont les balises ajoutées par le cluster lui-même, telles que « vc_username » ou « vc_vmname ». Elles peuvent être transmises avec les balises provenant directement des sources. Les balises complémentaires sont toujours transférées lorsque l’API Ingestion est utilisée.

    Transport Sélectionnez un protocole de transport pour Syslog. Vous pouvez sélectionner UDP ou TCP.
  4. (Facultatif) Pour contrôler les événements à transférer, cliquez sur Ajouter un filtre.
    Sélectionnez des champs et des contraintes pour définir les événements souhaités. Seuls les champs statiques peuvent être utilisés comme filtres. Si vous ne sélectionnez pas de filtre, tous les événements sont transférés. Vous pouvez consulter les résultats du filtre que vous créez en cliquant sur Exécuter dans l'analyse interactive.
    Opérateur Description
    Correspond à Recherche les chaînes qui correspondent à la chaîne et aux caractères génériques spécifiés, où * signifie aucun ou plusieurs caractères et ? signifie aucun caractère ou un caractère unique. L'utilisation des caractères génériques comme préfixe et suffixe est prise en charge.

    Par exemple, *test* correspond aux chaînes comme test123 ou my-test-run.

    ne correspond pas Exclut les chaînes qui correspondent à la chaîne et aux caractères génériques spécifiés, où * signifie aucun ou plusieurs caractères et ? signifie aucun caractère ou un caractère unique. L'utilisation des caractères génériques comme préfixe et suffixe est prise en charge.

    Par exemple, test exclut test123, mais pas mytest123. ?test* exclut test123 et xtest123, mais pas mytest123.

    commence par Recherche les chaînes qui commencent par la chaîne de caractères spécifiée.

    Par exemple, test trouve test123 ou test, mais pas my-test123.

    ne commence pas par Exclut les chaînes qui commencent par la chaîne de caractères spécifiée.

    Par exemple, test exclut test123, mais pas my-test123.

  5. (Facultatif) Pour modifier les informations de transfert suivantes, cliquez sur Afficher les paramètres avancés.
    Option Description
    Port Port vers lequel les événements sont envoyés sur la destination distante. La valeur par défaut est définie en fonction du protocole. Ne pas modifier, sauf si la destination distante écoute sur un port différent.
    Nombre de travailleurs Nombre de connexions sortantes simultanées à utiliser. Définissez un nombre de travailleurs plus élevé pour augmenter le temps de réponse du réseau sur la destination transférée et le nombre d'événements transmis par seconde. La valeur par défaut est 8.
  6. Pour vérifier votre configuration, cliquez sur Tester.
  7. Si la destination de transfert fournit un certificat SSL non approuvé, une boîte de dialogue s'affiche avec les détails du certificat. Cliquez sur Accepter pour ajouter le certificat aux magasins d'approbation de tous les nœuds du cluster vRealize Log Insight.
    Si vous cliquez sur Annuler, le certificat n'est pas ajouté aux magasins d'approbations et la connexion avec la destination de transfert échoue. Pour établir la connexion, vous devez accepter le certificat.
  8. Cliquez sur Enregistrer.
    Si vous n'avez pas testé la configuration et que la destination fournit un certificat non approuvé, suivez les instructions de l'étape 7.

Que faire ensuite

Vous pouvez modifier ou cloner une destination de transfert d'événements. Si vous modifiez la destination pour changer le nom d'un redirecteur d'événements, toutes les statistiques sont réinitialisées.