入力ログ イベントを Syslog または取り込み API ターゲットに転送するように vRealize Log Insight サーバを構成できます。

フィルタされたログやタグ付けされたログを vRealize Log Insight や Syslog(またはその両方)など、1 つ以上のリモート転送先に送信するには、イベント転送を使用します。ログ転送は、既存のログ収集ツール(SIEM など)のサポートや、異なるネットワーク(DMZ や WAN など)のログ収集の統合に利用できます。

ログ フォワーダは、スタンドアローンで使用することも、クラスタ化することもできますが、リモート転送先とは分離されたインスタンスです。ログ転送用に構成されたインスタンスは、ログをローカルに保存したり、データをクエリする際に使用します。

[ログの転送] 画面にフィルタを作成するために使用する演算子は、[ログの確認] 画面で使用されるフィルタとは異なります。[[ログの確認] ページで実行] メニュー項目を使用してログ フィルタの結果をプレビューする方法については、[ログの確認] でのログ管理フィルタの使用を参照してください。

前提条件

スーパー管理者ユーザー、または関連する権限を持つロールに関連付けられたユーザーとして vRealize Log Insight の Web ユーザー インターフェイスにログインしていることを確認します。詳細については、ロールの作成および変更を参照してください。Web ユーザー インターフェイスの URL 形式は https://log-insight-host です。log-insight-hostvRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。

転送先が転送されたログ数を処理できることを確認します。ターゲット クラスタが転送元インスタンスよりもかなり小さい場合には、いくつかのログが失われる可能性があります。

手順

  1. メイン メニューを展開し、[ログの管理] をクリックし、[ログの転送] をクリックします。
  2. ""[新しい転送先] をクリックして次の情報を入力します。
    オプション 説明
    名前 新しい転送先の一意な名前。
    ホスト IP アドレスまたは完全修飾ドメイン名。
    注意: 転送ループとは、 vRealize Log Insight クラスタがログを自分自身に転送したり、一度他のクラスタに転送して、そのクラスタから元のクラスタにログが再度転送される構成のことです。このようなループは、転送される各ログのコピーを無限に作成する場合があります。 vRealize Log Insight の Web インターフェイスでは、ログを自分自身に転送するように構成することはできません。しかし vRealize Log Insight は、 vRealize Log Insight クラスタ A からクラスタ B にログを転送し、同じログを B から A に再度転送するような間接的な転送ループを防ぐことはできません。転送先を作成するときは、間接的な転送ループが作成されないように注意してください。
    プロトコル

    取り込み API、Syslog、または RAW。デフォルト値は取り込み API (CFAPI) です。

    ログが取り込み API を使用して転送されるときには、ログの元のソースが [ソース] フィールドに保持されます。ログが Syslog を使用して転送される場合は、ログ転送元の値はなくなり、メッセージの転送元は、受信者側で vRealize Log Insight のフォワーダの IP アドレスまたはホスト名として記録される場合があります。RAW を使用してログが転送される場合の動作は Syslog に似ていますが、Syslog の RFC コンプライアンスは保証されません。RAW は、vRealize Log Insight によってカスタム Syslog ヘッダーが追加されることなく、受信したログをそのまま転送します。このプロトコルは、元の形式での Syslog イベントを想定しているサードパーティの転送先に適しています。

    注:
    ソース フィールドには、ログ フォワーダで選択したプロトコルに応じて異なる値が含まれている可能性があります。
    1. 取り込み API の場合、ソースは初期送信者(ログ発信者)の IP アドレスです。
    2. Syslog および RAW の場合、ソースはログ フォワーダの vRealize Log Insight インスタンス IP アドレスです。また、メッセージ テキストには、初期送信者の IP アドレスを参照する _li_source_path が含まれています。
    SSL を使用 オプションで、取り込み API または Syslog の接続を SSL によって保護することができます。転送先によって提供された SSL 証明書が信頼されていない場合は、この構成をテストまたは保存するときに証明書を承諾することができます。
    タグ オプションで、事前定義済みの値を持つタグ ペアを追加することができます。タグを使用すると、ログをより簡単にクエリすることができます。複数のカンマ区切りのタグを追加できます。
    補助タグを転送 Syslog の補助タグを転送するかどうかを選択できます。

    補助タグはクラスタ自身が追加されたタグです(「vc_username」、「vc_vmname」など)。ソースから直接受信したタグと一緒に転送できます。取り込み API を使用すると、補助タグが常に転送されます。

    転送 Syslog の転送プロトコルを選択します。UDP または TCP を選択できます。
  3. 転送するログを制御するには、"" [フィルタの追加] をクリックします。
    フィールドおよび制約を選択して、目的のログを定義します。静的フィールドのみをフィルタとして使用できます。フィルタを選択しない場合は、すべてのログが転送されます。 [[ログの確認] ページで実行] をクリックして、作成しているフィルタの結果を表示できます。
    演算子 説明
    一致する 文字列およびワイルドカードの仕様と一致する文字列を検索します。* はゼロ文字以上、? は、ゼロまたは任意の 1 文字を意味します。プリフィックスとポストフィックスのグロビングがサポートされます。

    たとえば、*test*test123my-test-run などの文字列に一致します。

    一致しない 文字列およびワイルドカードの仕様と一致する文字列を除外します。* はゼロ文字以上、? は、ゼロまたは任意の 1 文字を意味します。プリフィックスとポストフィックスのグロビングがサポートされます。

    たとえば、test*test123 を除外しますが、mytest123 は除外しません。?test*test123xtest123 を除外しますが、mytest123 は除外しません。

    次で開始する 指定した文字列で開始する文字列を見つけます。

    たとえば、testtest123 または test を見つけますが、my-test123 は見つけません。

    次で開始しない 指定した文字列で開始する文字列を除外します。

    たとえば、testtest123 を除外しますが、my-test123 は除外しません。

  4. (オプション) 次の転送情報を変更するには、[詳細設定を表示] をクリックします。
    オプション 説明
    ポート リモート ターゲットにあるログの送信先ポート。デフォルト値は、プロトコルに基づいて設定されます。リモート ターゲットが別のポートで待機しているのでない限り、これは変更しないでください。
    ワーカー数 同時に使用できる送信接続数。転送先に対するネットワーク遅延や 1 秒あたりの転送ログ数が多い場合は、ワーカー数に大きい値を設定します。デフォルト値は 8 です。
  5. 構成を確認するには、[テスト] をクリックします。
  6. 転送先が信頼されていない SSL 証明書を提供している場合は、ダイアログ ボックスにその証明書の詳細が表示されます。[承諾] をクリックして、vRealize Log Insight クラスタ内のすべてのノードのトラストストアに証明書を追加します。
    [キャンセル] をクリックすると、証明書がトラストストアに追加されず、転送先との接続が失敗します。正常に接続するには、証明書を承諾する必要があります。
  7. [保存] をクリックします。
    構成をテストしておらず、転送先が信頼されていない証明書を提供している場合は、手順 7 の指示に従います。

次のタスク

ログ転送先は編集または複製できます。転送先を編集してログ フォワーダ名を変更すると、すべての統計がリセットされます。