您可以為在 Windows 上執行的 vRealize Log Insight 代理程式設定或變更目標 vRealize Log Insight 伺服器。您最多可將記錄事件傳送至三個目的地,並篩選每個目的地的輸出。

預設目的地可透過 liagent.ini 檔案的 [server] 區段來設定。預設目的地一律存在,且依預設會將主機名稱設為 loginsight。若要新增多個目標目的地,請為每個目標建立一個 [server|<dest_id>] 區段。您必須指定唯一的主機名稱,做為每個其他連線的目的地識別碼。您可以針對預設的 [server] 區段將相同選項用於其他目的地。請不要為自動升級設定其他目的地,或將這些目的地用於代理程式設定。您可以指定兩個額外目的地。

依預設,代理程式會將所有收集的記錄傳送至所有目的地。您可以使用 file 選項來篩選記錄,以將不同的記錄傳送至不同的目的地。如需詳細資訊,請參閱篩選來自 vRealize Log Insight 代理程式的記錄事件

必要條件

  • 登入已安裝 vRealize Log Insight Windows 代理程式的 Windows 機器,然後啟動服務管理員以確認 vRealize Log Insight 代理程式服務已安裝。
  • 如果您的 vRealize Log Insight 叢集已啟用整合式負載平衡器,請參閱啟用整合式負載平衡器,以了解自訂 SSL 憑證的特定需求。

程序

  1. 導覽至 vRealize Log Insight Windows 代理程式的程式資料目錄。
    %ProgramData%\VMware\Log Insight Agent
  2. 在任一文字編輯器中開啟 liagent.ini 檔案。
  3. 修改下列參數,並設定您環境適用的值。
    參數 說明
    proto

    代理程式用來傳送記錄事件至 vRealize Log Insight 伺服器的通訊協定。可能的值為 cfapisyslog

    預設值為 cfapi。

    hostname vRealize Log Insight 虛擬應用裝置的 IP 位址或主機名稱。
    您可以指定 IPv4 或 IPv6 位址。可以使用也可以不使用方括弧來指定 IPv6 位址。例如:
    hostname = 2001:cdba::3257:9652
    or
    hostname = [2001:cdba::3257:9652]
    如果主機同時支援 IPv4 和 IPv6 堆疊,且網域名稱已指定為主機名稱,則代理程式會根據名稱解析程式所傳回的 IP 位址,來選擇 IP 堆疊。如果解析程式同時傳回 IPv4 和 IPv6 位址,則代理程式會嘗試以指定順序依序連線至這兩個位址。
    max_disk_buffer Log Insight Windows 代理程式可用來對為此特定伺服器收集的記錄事件進行緩衝處理的磁碟空間上限 (以 MB 為單位)。這個選項會覆寫此伺服器的 [storage].max_disk_buffer 值。

    預設值為 150 MB;您可以設定 50 到 8000 MB 的緩衝區大小。

    port
    代理程式用來將記錄事件傳送至 vRealize Log Insight 或第三方伺服器的通訊連接埠。依預設,代理程式會根據針對 SSL 和通訊協定而設定的選項使用適當的連接埠。請參閱下列清單中提供的預設連接埠值。只有在連接埠選項與這些預設值不同時,才需要指定此選項。
    • 已啟用 SSL 的 cfapi:9543
    • 已停用 SSL 的 cfapi:9000
    • 已啟用 SSL 的 Syslog:6514
    • 已停用 SSL 的 Syslog:514
    ssl 啟用或停用 SSL。預設值為 yes。

    ssl 設為「是」時,連接埠會設為 9543,除非您另行指定。

    reconnect 強制重新連線至伺服器的時間 (以分鐘為單位)。預設值為 30。
    filter 指定代理程式傳送至目的地的資訊。此選項會使用三個引數:
    {collector_type; collector_filter; event_filter}
    [server]
    hostname=LOGINSIGHT
    ; Hostname or IP address of your Log Insight server / cluster load balancer. Default:
    ;hostname=LOGINSIGHT
     
    ; Protocol can be cfapi (Log Insight REST API), syslog. Default:
    ;proto=cfapi
    
    ; Log Insight server port to connect to. Default ports for protocols (all TCP):
    ; syslog: 514; syslog with ssl: 6514; cfapi: 9000; cfapi with ssl: 9543. Default:
    ;port=9543
    
    ; SSL usage. Default:
    ;ssl=yes
    
  4. 儲存並關閉 liagent.ini 檔案。

範例

下列組態範例會設定使用受信任憑證授權機構的目標 vRealize Log Insight 伺服器。
[server]
proto=cfapi
hostname=LOGINSIGHT
port=9543
ssl=yes;  
ssl_ca_path=/etc/pki/tls/certs/ca.pem

下列範例說明包含每個目的地之篩選訊息的多目的地組態。

; The first (default) destination receives all collected events.
[server]
hostname=prod1.licf.vmware.com

; The second destination receives just syslog events through the plain syslog protocol.
[server|syslog-audit]
hostname=third_party_audit_management.eng.vmware.com
proto=syslog
ssl=no
filter={filelog; syslog; }


; The third destination receives vRealize Operations events if they have the level field equal to "error" or "warning" 
; and they are collected by sections whose name begins with "vrops-"

[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter={; vrops-.*; level == "error" || level == "warning"}

; Collecting syslog messages.
[filelog|syslog]
directory=/var/log
include=messages

; various vROPs logs. Note that all section names begin with a "vrops-" prefix, which is used in third destination filter.
[filelog|vrops-ANALYTICS-analytics]
directory=/data/vcops/log
include=analytics*.log*
exclude=analytics*-gc.log*
parser=auto

[filelog|vrops-COLLECTOR-collector]
directory=/data/vcops/log
include=collector.log*
event_marker=^\d{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\,\d{3}
parser=auto

[filelog|vrops-COLLECTOR-collector_wrapper]
directory=/data/vcops/log
include=collector-wrapper.log*
event_marker=^\d{4}-\d{2}-\d{2} [\s]\d{2}:\d{2}:\d{2}\.\d{3} 
parser=auto

下一步

您可以針對 vRealize Log Insight 代理程式設定其他 SSL 選項。請參閱設定伺服器與 Log Insight 代理程式之間的 SSL 連線