Vous pouvez configurer un serveur vRealize Log Insight pour qu'il transfère les événements de journaux entrants vers une cible Syslog ou API d'ingestion.

Utilisez le transfert de journaux pour envoyer des journaux filtrés ou balisés à une ou plusieurs destinations distantes comme vRealize Log Insight et/ou Syslog. Le transfert de journaux peut être utilisé pour prendre en charge les outils de journalisation existants (SIEM, par exemple), ainsi que pour consolider la journalisation sur différents réseaux (DMZ ou WAN, par exemple).

Les redirecteurs de journaux peuvent être autonomes ou en cluster, mais un redirecteur de journaux est une instance indépendante de la destination distante. Les instances configurées pour le transfert de journaux stockent également les journaux localement et peuvent être utilisées pour interroger les données.

Les opérateurs utilisés pour créer des filtres sur la page Transfert de journaux sont différents des filtres utilisés sur la page Analyse interactive. Reportez-vous à la section Utilisation des filtres de gestion des journaux dans l'analyse interactive pour plus d'informations sur l'utilisation de l'élément de menu Exécuter dans l'analyse interactive afin de prévisualiser les résultats de votre filtre de journaux.

Conditions préalables

Vérifiez que vous êtes connecté à l'interface utilisateur Web de vRealize Log Insight en tant qu'utilisateur super administrateur ou en tant qu'utilisateur associé à un rôle disposant des autorisations appropriées. Pour plus d'informations, reportez-vous à la section Créer et modifier des rôles. Le format de l'URL de l'interface utilisateur Web est https://log-insight-host, où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel vRealize Log Insight.

Vérifiez que la destination peut gérer le nombre de journaux transférés. Si le cluster de destination est bien plus petit que l'instance de transfert, certains journaux pourraient être abandonnés.

Procédure

  1. Accédez à l'onglet Administration.
  2. Sous Gestion, cliquez sur Gestion de journaux, puis cliquez sur Transfert de journaux.
  3. Cliquez sur ""Nouvelle destination et indiquez les informations suivantes.
    Option Description
    Nom Nom unique pour la nouvelle destination.
    Hôte Adresse IP ou nom de domaine complet.
    Attention : Une boucle de transfert est une configuration dans laquelle un cluster vRealize Log Insight transfère des journaux vers lui-même, ou à un autre cluster, qui retransfère ensuite les journaux vers le cluster d'origine. Une telle boucle peut créer un nombre indéfini de copies de chaque journal transféré. L'interface Web vRealize Log Insight ne vous permet pas de configurer un journal destiné à être transféré vers lui-même. Cependant, vRealize Log Insight ne peut pas empêcher les boucles de transfert indirectes. Par exemple, le cluster A de vRealize Log Insight transfère des événements au cluster B, lequel retransfère ces mêmes journaux vers A. Lors de la création de destinations de transfert, veillez donc à ne pas créer de boucles de transfert indirectes.
    Protocole

    API ingestion, Syslog ou RAW. La valeur par défaut est API Ingestion (CFAPI).

    Lorsque les journaux sont transférés à l'aide de l'API Ingestion, la source d'origine du journal est conservée dans le champ source. Lorsque des journaux sont transférés à l'aide de Syslog, la source d'origine du journal est perdue et le récepteur peut enregistrer la source du message comme l'adresse IP ou le nom d'hôte du redirecteur vRealize Log Insight. Lorsque des journaux sont transférés à l'aide de RAW, le comportement est similaire à Syslog, mais la conformité à Syslog RFC n'est pas assurée. RAW transfère un journal exactement de la manière dont il est reçu, sans en-tête Syslog personnalisé ajouté par vRealize Log Insight. Ce protocole est utile pour les destinations tierces, car elles attendent des événements Syslog dans leur forme d'origine.

    Note :
    Le champ source peut avoir des valeurs différentes selon le protocole sélectionné sur le redirecteur de journaux :
    1. Pour l'API d'ingestion, la source est l'adresse IP de l'émetteur initial (créateur de journaux).
    2. Pour Syslog et RAW, la source est l'adresse IP de l'instance vRealize Log Insight du redirecteur de journaux. De plus, le texte du message contient _li_source_path, qui pointe vers l'adresse IP de l'expéditeur initial.
    Utiliser SSL Vous pouvez éventuellement sécuriser la connexion avec SSL pour l'API d'ingestion ou Syslog. Si le certificat SSL fourni par la destination de transfert n'est pas approuvé, vous pouvez accepter le certificat lorsque vous testez ou enregistrez cette configuration.
    Balises Vous pouvez éventuellement ajouter des paires de balises avec des valeurs prédéfinies. Les balises vous permettent d'interroger plus facilement les journaux. Vous pouvez ajouter plusieurs balises séparées par des virgules.
    Transmettre des balises complémentaires Vous pouvez indiquer si vous souhaitez transmettre des balises complémentaires pour Syslog.

    Les balises complémentaires sont les balises ajoutées par le cluster lui-même, telles que « vc_username » ou « vc_vmname ». Elles peuvent être transmises avec les balises provenant directement des sources. Les balises complémentaires sont toujours transférées lorsque l’API Ingestion est utilisée.

    Transport Sélectionnez un protocole de transport pour Syslog. Vous pouvez sélectionner UDP ou TCP.
  4. Pour contrôler les journaux à transférer, cliquez sur "" Ajouter un filtre.
    Sélectionnez des champs et des contraintes pour définir les journaux souhaités. Seuls les champs statiques peuvent être utilisés comme filtres. Si vous ne sélectionnez pas de filtre, tous les journaux sont transférés. Vous pouvez consulter les résultats du filtre que vous créez en cliquant sur Exécuter dans l'analyse interactive.
    Opérateur Description
    Correspond à Recherche les chaînes qui correspondent à la chaîne et aux caractères génériques spécifiés, où * signifie aucun ou plusieurs caractères et ? signifie aucun caractère ou un caractère unique. L'utilisation des caractères génériques comme préfixe et suffixe est prise en charge.

    Par exemple, *test* correspond aux chaînes comme test123 ou my-test-run.

    ne correspond pas Exclut les chaînes qui correspondent à la chaîne et aux caractères génériques spécifiés, où * signifie aucun ou plusieurs caractères et ? signifie aucun caractère ou un caractère unique. L'utilisation des caractères génériques comme préfixe et suffixe est prise en charge.

    Par exemple, test exclut test123, mais pas mytest123. ?test* exclut test123 et xtest123, mais pas mytest123.
    commence par Recherche les chaînes qui commencent par la chaîne de caractères spécifiée.

    Par exemple, test trouve test123 ou test, mais pas my-test123.

    ne commence pas par Exclut les chaînes qui commencent par la chaîne de caractères spécifiée.

    Par exemple, test exclut test123, mais pas my-test123.

  5. (Facultatif) Pour modifier les informations de transfert suivantes, cliquez sur Afficher les paramètres avancés.
    Option Description
    Port Port vers lequel les journaux sont envoyés sur la destination distante. La valeur par défaut est définie en fonction du protocole. Ne pas modifier, sauf si la destination distante écoute sur un port différent.
    Nombre de travailleurs Nombre de connexions sortantes simultanées à utiliser. Définissez un nombre de travailleurs plus élevé pour augmenter la latence du réseau sur la destination transférée et le nombre de journaux transmis par seconde. La valeur par défaut est 8.
  6. Pour vérifier votre configuration, cliquez sur Tester.
  7. Si la destination de transfert fournit un certificat SSL non approuvé, une boîte de dialogue s'affiche avec les détails du certificat. Cliquez sur Accepter pour ajouter le certificat aux magasins d'approbation de tous les nœuds du cluster vRealize Log Insight.
    Si vous cliquez sur Annuler, le certificat n'est pas ajouté aux magasins d'approbations et la connexion avec la destination de transfert échoue. Pour établir la connexion, vous devez accepter le certificat.
  8. Cliquez sur Enregistrer.
    Si vous n'avez pas testé la configuration et que la destination fournit un certificat non approuvé, suivez les instructions de l'étape 7.

Que faire ensuite

Vous pouvez modifier ou cloner une destination de transfert de journaux. Si vous modifiez la destination pour changer le nom d'un redirecteur de journaux. Toutes les statistiques sont réinitialisées.