您可以將 vRealize Log Insight 伺服器設定為將傳入記錄事件轉送到 Syslog 或擷取 API 目標。

使用記錄轉送將所篩選或標記的記錄傳送至一或多個遠端目的地,例如 vRealize Log Insight、Syslog 或同時傳送至兩者。記錄轉送可用於支援現有的記錄工具 (如 SIEM) 以及透過不同網路 (如 DMZ 或 WAN) 整併記錄。

記錄轉送站可以是獨立,也可以是叢集化的,但記錄轉送站是與遠端目的地不同的執行個體。針對記錄轉送設定的執行個體也會在本機儲存事件,且可用於查詢資料。

您在記錄轉送頁面上用於建立篩選器的運算子,與您在互動式分析頁面上使用的篩選器不同。如需使用在互動式分析中執行功能表項目來預覽記錄篩選結果的詳細資訊,請參閱在互動式分析中使用記錄管理篩選器

必要條件

確認您是以「超級管理員」使用者身分,或是以其相關聯角色具有相關權限的使用者身分,來登入 vRealize Log Insight Web 使用者介面。如需詳細資訊,請參閱建立和修改角色。Web 使用者介面的 URL 格式為 https://log-insight-host,其中 log-insight-hostvRealize Log Insight 虛擬應用裝置的 IP 位址或主機名稱。

確認目的地可處理轉送的記錄數。如果目的地叢集比轉送執行個體小許多,則可能會捨棄部分記錄。

程序

  1. 導覽至管理索引標籤。
  2. 在 [管理] 下方,按一下記錄管理,然後按一下記錄轉送
  3. 按一下 "" 新增目的地,並提供下列資訊。
    選項 說明
    名稱 新目的地的唯一名稱。
    主機 IP 位址或完整網域名稱。
    注意: 轉送迴圈是 vRealize Log Insight 叢集將記錄轉送給其本身或其他叢集,然後將記錄轉送回原始叢集的組態。此類迴圈可能會為每個轉送記錄建立數目無限的複本。 vRealize Log Insight Web 介面無法讓您將記錄設定為轉送給記錄本身。但 vRealize Log Insight 無法避免間接轉送迴圈,例如 vRealize Log Insight 叢集 A 轉送給叢集 B,而 B 將相同記錄轉送回 A。建立轉送目的地時,請小心不要建立間接轉送迴圈。
    通訊協定

    擷取 API、Syslog 或 RAW。預設值為擷取 API (CFAPI)。

    使用擷取 API 轉送記錄時,記錄的原始來源會保留在來源欄位中。使用 Syslog 轉送記錄時,記錄的原始來源會遺失,接收器可將訊息的來源記錄為 vRealize Log Insight 轉送站的 IP 位址或主機名稱。使用 RAW 轉送記錄時的行為類似於 Syslog,但不一定會符合 Syslog RFC。RAW 會以接收事件的相同方式來轉送記錄,而不會有 vRealize Log Insight 新增的自訂 Syslog 標頭。此通訊協定可用於第三方目的地,因為這些目的地預期 Syslog 事件會採用其原始格式。

    備註:
    視記錄轉送站上選取的通訊協定而定,來源欄位的值可能會有所不同:
    1. 對於擷取 API,來源是初始寄件者 (記錄建立者) 的 IP 位址。
    2. 對於 Syslog 和 RAW,來源是記錄轉送站的 vRealize Log Insight 執行個體 IP 位址。此外,訊息文字包含指向初始寄件者 IP 位址的 _li_source_path
    使用 SSL 您可以選擇性地為擷取 API 或 Syslog 使用 SSL 保護連線。如果轉送目的地所提供的 SSL 憑證不受信任,您可以在測試或儲存此組態時接受憑證。
    標籤 您可以選擇性地新增具有預先定義值的標籤配對。標籤可讓您更輕鬆地查詢記錄。您可以新增多個以逗號分隔的標籤。
    轉送互補標籤 您可以選取是否要轉送 Syslog 的互補標籤。

    互補標籤是由叢集本身新增的標籤,例如「vc_username」或「vc_vmname」。這些標籤可以連同直接從來源傳入的標籤一起轉送。使用擷取 API 時,系統一律會轉送互補標籤。

    傳輸 選取 Syslog 的傳輸通訊協定。您可以選取 UDP 或 TCP。
  4. 若要控制轉送的記錄,請按一下 "" 新增篩選器
    選取用於定義所需記錄的欄位和限制。只有靜態欄位可用作篩選器。如果您未選取任何篩選器,將轉送所有記錄。您可以透過按一下 在互動式分析中執行,看到您所建立之篩選器的結果。
    運算子 說明
    符合 尋找符合字串和萬用字元規格的字串,其中 * 表示零或多個字元,? 表示零或任何單一字元。支援前置詞和後置詞萬用字元。

    例如,*test* 會比對如 test123my-test-run 的字串。

    不符合 排除符合字串和萬用字元規格的字串,其中 * 表示零或多個字元,? 表示零或任何單一字元。支援前置詞和後置詞萬用字元。

    例如,test* 會排除 test123,而非 mytest123?test* 會排除 test123xtest123,而非 mytest123

    開頭為 尋找以指定字元字串開頭的字串。

    例如,test 會找到 test123test,而非 my-test123

    開頭非 排除以指定字元字串開頭的字串。

    例如,test 會篩選掉 test123,而非 my-test123。

  5. (選擇性) 若要修改下列轉送資訊,請按一下顯示進階設定
    選項 說明
    連接埠 在遠端目的地上,記錄將傳送到的連接埠。系統會根據通訊協定來設定預設值。除非遠端目的地接聽不同的連接埠,否則請勿進行變更。
    工作計數 欲使用的同時外寄連線數。針對已轉送目的地之較高網路延遲以及每秒已轉送記錄的較高數目,設定較高的工作計數。預設值為 8。
  6. 若要驗證組態,請按一下測試
  7. 如果轉送目的地提供了不受信任的 SSL 憑證,則會有對話方塊顯示憑證的詳細資料。按一下接受,將憑證新增至 vRealize Log Insight 叢集中所有節點的信任存放區。
    如果您按一下 取消,則憑證不會新增至信任存放區,且與轉送目的地的連線將會失敗。您必須接受憑證才能成功連線。
  8. 按一下儲存
    如果您並未測試組態,且目的地提供的憑證不受信任,請依照步驟 7 中的指示操作。

下一步

您可以編輯或複製記錄轉送目的地。如果您對目的地進行編輯以變更記錄轉送站名稱,所有的統計資料將會重設。