您可以將 vRealize Log Insight 伺服器設定為將傳入記錄事件轉送到 Syslog 或擷取 API 目標。

使用記錄轉送將所篩選或標記的記錄傳送至一或多個遠端目的地,例如 vRealize Log Insight、Syslog 或同時傳送至兩者。記錄轉送可用於支援現有的記錄工具 (如 SIEM) 以及透過不同網路 (如 DMZ 或 WAN) 整併記錄。

記錄轉送站可以是獨立,也可以是叢集化的,但記錄轉送站是與遠端目的地不同的執行個體。針對記錄轉送設定的執行個體也會在本機儲存事件,且可用於查詢資料。

您在 [記錄轉送] 頁面上用來建立篩選器的運算子,與您在 [探索記錄] 頁面上使用的篩選器不同。如需使用在 [探索記錄] 頁面中執行功能表項目來預覽記錄篩選結果的詳細資訊,請參閱在 [探索記錄] 中使用記錄管理篩選器

必要條件

確認您是以「超級管理員」使用者身分,或是以其相關聯角色具有相關權限的使用者身分,來登入 vRealize Log Insight Web 使用者介面。如需詳細資訊,請參閱建立和修改角色。Web 使用者介面的 URL 格式為 https://log-insight-host,其中 log-insight-hostvRealize Log Insight 虛擬應用裝置的 IP 位址或主機名稱。

確認目的地可處理轉送的記錄數。如果目的地叢集比轉送執行個體小許多,則可能會捨棄部分記錄。

程序

  1. 展開主功能表,按一下記錄管理,然後按一下記錄轉送
  2. 按一下 "" 新增目的地,並提供下列資訊。
    選項 說明
    名稱 新目的地的唯一名稱。
    主機 IP 位址或完整網域名稱。
    注意: 轉送迴圈是 vRealize Log Insight 叢集將記錄轉送給其本身或其他叢集,然後將記錄轉送回原始叢集的組態。此類迴圈可能會為每個轉送記錄建立數目無限的複本。 vRealize Log Insight Web 介面無法讓您將記錄設定為轉送給記錄本身。但 vRealize Log Insight 無法避免間接轉送迴圈,例如 vRealize Log Insight 叢集 A 轉送給叢集 B,而 B 將相同記錄轉送回 A。建立轉送目的地時,請小心不要建立間接轉送迴圈。
    通訊協定

    擷取 API、Syslog 或 RAW。預設值為擷取 API (CFAPI)。

    使用擷取 API 轉送記錄時,記錄的原始來源會保留在來源欄位中。使用 Syslog 轉送記錄時,記錄的原始來源會遺失,接收器可將訊息的來源記錄為 vRealize Log Insight 轉送站的 IP 位址或主機名稱。使用 RAW 轉送記錄時的行為類似於 Syslog,但不一定會符合 Syslog RFC。RAW 會以接收事件的相同方式來轉送記錄,而不會有 vRealize Log Insight 新增的自訂 Syslog 標頭。此通訊協定可用於第三方目的地,因為這些目的地預期 Syslog 事件會採用其原始格式。

    備註:
    視記錄轉送站上選取的通訊協定而定,來源欄位的值可能會有所不同:
    1. 對於擷取 API,來源是初始寄件者 (記錄建立者) 的 IP 位址。
    2. 對於 Syslog 和 RAW,來源是記錄轉送站的 vRealize Log Insight 執行個體 IP 位址。
    使用 SSL 您可以選擇性地為擷取 API 或 Syslog 使用 SSL 保護連線。如果轉送目的地所提供的 SSL 憑證不受信任,您可以在測試或儲存此組態時接受憑證。
    標籤 您可以選擇性地新增具有預先定義值的標籤配對。標籤可讓您更輕鬆地查詢記錄。您可以新增多個以逗號分隔的標籤。
    轉送互補標籤 您可以選取是否要轉送 Syslog 的互補標籤。

    互補標籤是由叢集本身新增的標籤,例如「vc_username」或「vc_vmname」。這些標籤可以連同直接從來源傳入的標籤一起轉送。使用擷取 API 時,系統一律會轉送互補標籤。

    傳輸 選取 Syslog 的傳輸通訊協定。您可以選取 UDP 或 TCP。
  3. 若要控制轉送的記錄,請按一下 "" 新增篩選器
    選取用於定義所需記錄的欄位和限制。只有靜態欄位可用作篩選器。如果您未選取任何篩選器,將轉送所有記錄。您可以透過按一下 在 [探索記錄] 頁面中執行,看到您所建立之篩選器的結果。
    運算子 說明
    符合 尋找符合字串和萬用字元規格的字串,其中 * 表示零或多個字元,? 表示零或任何單一字元。支援前置詞和後置詞萬用字元。

    例如,*test* 會比對如 test123my-test-run 的字串。

    不符合 排除符合字串和萬用字元規格的字串,其中 * 表示零或多個字元,? 表示零或任何單一字元。支援前置詞和後置詞萬用字元。

    例如,test* 會排除 test123,而非 mytest123?test* 會排除 test123xtest123,而非 mytest123

    開頭為 尋找以指定字元字串開頭的字串。

    例如,test 會找到 test123test,而非 my-test123

    開頭非 排除以指定字元字串開頭的字串。

    例如,test 會篩選掉 test123,而非 my-test123。

  4. (選擇性) 若要修改下列轉送資訊,請按一下顯示進階設定
    選項 說明
    連接埠 在遠端目的地上,記錄將傳送到的連接埠。系統會根據通訊協定來設定預設值。除非遠端目的地接聽不同的連接埠,否則請勿進行變更。
    工作計數 欲使用的同時外寄連線數。針對已轉送目的地之較高網路延遲以及每秒已轉送記錄的較高數目,設定較高的工作計數。預設值為 8。
  5. 若要驗證組態,請按一下測試
  6. 如果轉送目的地提供了不受信任的 SSL 憑證,則會有對話方塊顯示憑證的詳細資料。按一下接受,將憑證新增至 vRealize Log Insight 叢集中所有節點的信任存放區。
    如果您按一下 取消,則憑證不會新增至信任存放區,且與轉送目的地的連線將會失敗。您必須接受憑證才能成功連線。
  7. 按一下儲存
    如果您並未測試組態,且目的地提供的憑證不受信任,請依照步驟 7 中的指示操作。

下一步

您可以編輯或複製記錄轉送目的地。如果您對目的地進行編輯以變更記錄轉送站名稱,所有的統計資料將會重設。