syslog 또는 수집 API 대상으로 수신 로그 이벤트를 전달하도록 vRealize Log Insight 서버를 구성할 수 있습니다.

로그 전달을 사용하여 vRealize Log Insight, syslog 또는 둘 다 하나 이상의 원격 대상에 필터링되거나 태그가 지정된 로그를 전송합니다. 로그 전달은 SIEM 등의 기존 로깅 도구를 지원하고 DMZ 또는 WAN 등의 다양한 네트워크에서 로깅을 통합하는 데 사용할 수 있습니다.

로그 전달자는 독립형이거나 클러스터 방식일 수 있지만 로그 전달자는 원격 대상과는 별도의 인스턴스입니다. 또한 로그 전달에 구성된 인스턴스는 로컬로 로그를 저장하고 데이터를 쿼리하는 데 사용할 수 있습니다.

[로그 전달] 페이지에서 필터를 생성하는 데 사용하는 연산자는 대화형 분석 페이지에서 사용하는 필터와 다릅니다. 대화형 분석에서 실행 메뉴 항목을 사용하여 로그 필터의 결과를 미리 보는 방법에 대한 자세한 내용은 대화형 분석에서 로그 관리 필터 사용 항목을 참조하십시오.

사전 요구 사항

슈퍼 관리자 또는 관련 사용 권한이 있는 역할에 연결된 사용자로 vRealize Log Insight 웹 사용자 인터페이스에 로그인했는지 확인합니다. 자세한 내용은 역할 생성 및 수정의 내용을 참조하십시오. 웹 사용자 인터페이스의 URL 형식은 https://log-insight-host이며 여기서 log-insight-hostvRealize Log Insight 가상 장치의 IP 주소 또는 호스트 이름입니다.

전달된 로그 수를 대상에서 처리할 수 있는지 확인합니다. 대상 클러스터가 전달 인스턴스보다 훨씬 더 작은 경우 일부 로그가 삭제될 수 있습니다.

프로시저

  1. 관리 탭으로 이동합니다.
  2. [관리]에서 로그 관리를 클릭한 후 로그 전달을 클릭합니다.
  3. ""새 대상을 클릭하고 다음 정보를 제공합니다.
    옵션 설명
    이름 새 대상의 고유 이름입니다.
    호스트 IP 주소 또는 정규화된 도메인 이름입니다.
    경고: 전달 루프는 vRealize Log Insight 클러스터가 로그를 자기 자신에게 전달하거나, 로그를 다른 클러스터에 전달하면 이 클러스터에서 이를 다시 원래 클러스터로 전달하는 구성입니다. 이러한 루프는 전달된 각 로그 복사본을 무한 개수만큼 생성할 수 있습니다. vRealize Log Insight 웹 인터페이스는 로그가 자체 전달되도록 구성하는 것을 허용하지 않습니다. 그렇지만 vRealize Log InsightvRealize Log Insight 클러스터 A에서 클러스터 B로 전달하고 B에서 A에 동일한 로그를 다시 전달하는 것과 같은 간접 전달 루프를 방지할 수 없습니다. 전달 대상을 생성할 때는 간접 전달 루프를 생성하지 않도록 주의하십시오.
    프로토콜

    수집 API, syslog 또는 RAW. 기본값은 수집 API(CFAPI)입니다.

    수집 API를 사용하여 로그가 전달되는 경우 로그의 원래 소스가 소스 필드에 보존됩니다. 로그가 syslog를 사용하여 전달되는 경우 로그의 원래 소스가 손실되고 메시지 소스가 vRealize Log Insight 전달자의 IP 주소 또는 호스트 이름으로 수신기에 기록될 수 있습니다. RAW를 사용하여 로그가 전달되면 이 동작은 syslog와 유사하지만 syslog RFC 준수가 보장되지 않습니다. RAW는 vRealize Log Insight에 의해 추가된 사용자 지정 syslog 헤더 없이, 로그를 수신된 방식과 정확하게 동일한 방식으로 전달합니다. 이 프로토콜은 원래 형식의 syslog 이벤트가 필요하므로 타사 대상에 유용합니다.

    참고:
    로그 전달자에서 선택된 프로토콜에 따라 소스 필드가 다른 값을 가질 수 있습니다.
    1. 수집 API의 경우 소스는 처음 보낸 사람(로그 발신자)의 IP 주소입니다.
    2. syslog 및 RAW의 경우 소스는 로그 전달자의 vRealize Log Insight 인스턴스 IP 주소입니다. 또한 메시지 텍스트에는 처음 보낸 사람의 IP 주소를 가리키는 _li_source_path가 포함되어 있습니다.
    SSL 사용 수집 API 또는 syslog에 대해 SSL과의 연결을 선택적으로 보안을 유지할 수 있습니다. 전달 대상에서 제공한 SSL 인증서를 신뢰할 수 없는 경우 이 구성을 테스트하거나 저장할 때 인증서를 수락할 수 있습니다.
    태그 미리 정의된 값으로 태그 쌍을 선택적으로 추가할 수 있습니다. 태그는 더 쉽게 로그를 쿼리할 수 있도록 해줍니다. 쉼표로 구분된 태그는 여러 개 추가할 수 있습니다.
    보조 태그 전달 syslog에 대한 보조 태그를 전달할지 여부를 선택할 수 있습니다.

    보조 태그는 'vc_username' 또는 'vc_vmname'과 같이 클러스터 자체에 의해 추가되는 태그로, 소스에서 직접 가져온 태그와 함께 전달될 수 있습니다. 보조 태그는 수집 API가 사용될 때 항상 전달됩니다.

    전송 syslog에 대한 전송 프로토콜을 선택합니다. UDP 또는 TCP를 선택할 수 있습니다.
  4. 전달할 로그를 제어하려면 "" 필터 추가를 클릭합니다.
    원하는 로그를 정의하려면 필드와 제약 조건을 선택합니다. 정적 필드만 필터로 사용할 수 있습니다. 필터를 선택하지 않으면 모든 로그가 전달됩니다. 대화형 분석에서 실행을 클릭하여 작성 중인 필터의 결과를 확인할 수 있습니다.
    연산자 설명
    일치 문자열 및 와일드카드 규격과 일치하는 문자열을 찾습니다. 여기서 *는 0개 이상의 문자를 의미하고 ?는 0개 또는 1개의 문자를 의미합니다. 전위 및 후위 와일드카드 사용이 지원됩니다.

    예를 들어, *test*test123 또는 my-test-run과 같은 문자열과 일치합니다.

    일치하지 않음 문자열 및 와일드카드 규격과 일치하는 문자열을 제외합니다. 여기서 *는 0개 이상의 문자를 의미하고 ?는 0개 또는 1개의 문자를 의미합니다. 전위 및 후위 와일드카드 사용이 지원됩니다.

    예를 들어 test*test123을 제외하지만 mytest123은 제외하지 않습니다. ?test*test123xtest123을 제외하지만 mytest123은 제외하지 않습니다.
    다음으로 시작 지정된 문자 또는 문자열로 시작하는 문자열을 찾습니다.

    예를 들어 testtest123 또는 test는 찾지만 my-test123은 찾지 않습니다.

    다음으로 시작하지 않음 지정된 문자 또는 문자열로 시작하는 문자열을 제외합니다.

    예를 들어 testtest123을 필터링하여 제외하지만 my-test123은 제외하지 않습니다.

  5. (선택 사항) 다음 전달 정보를 수정하려면 고급 설정 표시를 클릭합니다.
    옵션 설명
    포트 원격 대상에서 로그가 전송될 포트입니다. 기본값은 프로토콜에 따라 설정됩니다. 원격 대상이 다른 포트에서 수신하는 경우를 제외하고 이를 변경하지 마십시오.
    작업자 수 사용할 동시 나가는 연결 수입니다. 전달되는 대상으로의 네트워크 지연 시간이 길수록, 전달 중인 초당 로그 수가 많을수록 작업자 수를 높게 설정하십시오. 기본값은 8입니다.
  6. 구성을 확인하고 테스트를 클릭합니다.
  7. 전달 대상이 신뢰할 수 없는 SSL 인증서를 제공하는 경우 인증서의 세부 정보가 포함된 대화상자가 나타납니다. 수락을 클릭하여 vRealize Log Insight 클러스터에 있는 모든 노드의 신뢰 저장소에 인증서를 추가합니다.
    취소를 클릭하면 인증서가 신뢰 저장소에 추가되지 않고, 전달 대상과의 연결이 실패합니다. 연결에 성공하려면 인증서를 수락해야 합니다.
  8. 저장을 클릭합니다.
    구성을 테스트하지 않았으며, 대상에서 신뢰할 수 없는 인증서를 제공하는 경우 7단계의 지침을 따르십시오.

다음에 수행할 작업

로그 전달 대상을 편집 또는 복제할 수 있습니다. 대상을 편집하여 로그 전달자 이름을 변경하는 경우에는 모든 통계가 재설정됩니다.