vRealize Log Insight Linux エージェントがログ イベントを送信する宛先は 3 つまで指定できます。

複数の宛先の接続を定義する場合には、li-agent.ini ファイルの [server|<dest_id>] セクションを使用します。<dest_id> は、設定の接続 ID ごとに固有の値になります。追加の宛先に、デフォルトの [server] セクションと同じオプションを使用できます。ただし、追加の宛先を自動アップグレード用に構成したり、エージェントの構成に使用したりしないでください。追加の宛先は 2 つ指定できます。

定義した最初のターゲットは、デフォルト サーバの値 loginsight を使用できます。追加のターゲットを定義する場合は、後続のターゲットの [server] セクションにホスト名を指定する必要があります。フィルタを使用しないと、エージェントは収集されたすべてのログをすべての宛先に送信します。これはデフォルトです。ただし、ログをフィルタリングすると、ログごとに異なる宛先に送信することができます。

前提条件

  • root としてログインするか、または sudo を使用してコンソール コマンドを実行します。
  • vRealize Log InsightLinux エージェントがインストールされた Linux マシンにログインし、コンソールを開き、pgrep liagent を実行して、vRealize Log Insight Linux エージェントがインストールされて実行中であることを確認します。
  • 統合ロード バランサが有効な vRealize Log Insight クラスタがある場合は、統合ロードバランサを有効にするのカスタム SSL 証明書の固有の要件を参照してください。

手順

  1. 任意のテキスト エディタで /var/lib/loginsight-agent/liagent.ini ファイルを開きます。
  2. 次のパラメータを変更し、使用環境に合わせて値を設定します。
    パラメータ 説明
    proto

    エージェントが、ログ イベントを vRealize Log Insight サーバに送信するために使用するプロトコル。設定可能な値は cfapiおよび syslog です。

    デフォルトは cfapi です。

    hostname vRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名。
    IPv4 または IPv6 アドレスを指定することができます。IPv6 アドレスを指定する場合は、角括弧を使用してもしなくてもかまいません。例: 
    hostname = 2001:cdba::3257:9652
or
hostname = [2001:cdba::3257:9652]
    ホストが IPv4 と IPv6 の両方のスタックをサポートし、ドメイン名がホスト名として指定されている場合、エージェントは名前リゾルバによって返される IP アドレスに応じて IP スタックを使用します。リゾルバが IPv4 と IPv6 アドレスの両方を返す場合、エージェントは指定された順番で両方のアドレスに接続しようとします。
    max_disk_buffer Log Insight Linux エージェントがこの特定のサーバ用に収集されたログ イベントをバッファするための最大ディスク容量 (MB)。このオプションは、このサーバの [storage].max_disk_buffer の値を上書きします。

    デフォルト値は 150 MB で、バッファ サイズを 50 ~ 8000 MB に設定できます。

    port
    エージェントが、ログ イベントを vRealize Log Insight またはサードパーティのサーバに送信するために使用する通信ポート。デフォルトでは、エージェントは SSL とプロトコルに設定されたオプションに基づいて適切なポートを使用します。以下のリストに指定されたデフォルトのポート値を参照してください。ポート オプションは、これらのデフォルトと異なる場合にのみ指定する必要があります。
    • SSL が有効になっている cfapi:9543
    • SSL が無効になっている cfapi:9000
    • SSL が有効になっている Syslog:6514
    • SSL が無効になっている Syslog:514
    ssl SSL を有効または無効にします。デフォルト値は yes です。

    sslを yes に設定すると、ポートの値を設定していない場合、自動的に 9543 ポートが割り当てられます。

    reconnect サーバへの再接続を強制するための時間を分数で指定します。デフォルト値は 30 です。 
    [server]
hostname=LOGINSIGHT
; Hostname or IP address of your Log Insight server / cluster load balancer. Default:
;hostname=LOGINSIGHT

; Protocol can be cfapi (Log Insight REST API), syslog. Default:
;proto=cfapi

; Log Insight server port to connect to. Default ports for protocols (all TCP):
; syslog: 514; syslog with ssl: 6514; cfapi: 9000; cfapi with ssl: 9543. Default:
;port=9543

; SSL usage. Default:
;ssl=yes
  3. liagent.ini ファイルを保存して閉じます。

次の構成例は、信頼された認証局を使用するターゲット vRealize Log InsightServer を設定します。 
[server]
proto=cfapi
hostname=LOGINSIGHT
port=9543
ssl=yes;  
ssl_ca_path=/etc/pki/tls/certs/ca.pem

次の例では、複数の宛先を構成しています。

  • 最初の(デフォルト)宛先は、収集されたすべてのログ イベントを受信します。 
    [server]
hostname=prod1.licf.vmware.com
  • 2 つ目の宛先は、プレーンの Syslog プロトコル経由で Syslog イベントのみを受信します。 
    [server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter= {filelog; syslog; }
  • 3 つ目の宛先は、レベル フィールドが「error」または「warning」で、「vrops」で始まるセクション名で収集された vRealize Operations ログ イベントを受信します。 
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}

;Collecting syslog messages.
[filelog|syslog]
directory=/var/log
include=messages

;various vRops logs. Note that all section names begin with "vrops-" prefix, which is used in third destination filter.
[filelog|vrops-ANALYTICS-analytics]
directory=/data/vcops/log
include=analytics*.log*
exclude=analytics*-gc.log*
parser=auto
[filelog|vrops-COLLECTOR-collector]
directory=/data/vcops/log
include=collector.log*
event_marker=^\d
{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\,\d{3}
parser=auto

[filelog|vrops-COLLECTOR-collector_wrapper]
directory=/data/vcops/log
include=collector-wrapper.log*
event_marker=^\d{4} 
-\d
{2}-\d{2} 
[\s]\d
{2}:\d{2} 
:\d
{2} 
\.\d
{3} 
parser=auto

次のタスク

vRealize Log InsightLinux エージェント の追加の SSL オプションを構成できます。サーバと Log Insight Agents 間の SSL 接続の構成を参照してください。