您可以指定最多三個目的地 vRealize Log Insight 以供 Linux 代理程式傳送記錄事件。

多個目的地連線是透過 li-agent.ini 檔案的 [server|<dest_id>] 區段定義,其中 <dest_id> 是唯一的每一組態連線識別碼。您可以針對預設的 [server] 區段將相同選項用於其他目的地。但是,請不要為自動升級設定其他目的地,或將這些目的地用於代理程式設定。您可以指定兩個額外目的地。

您定義的第一個目標可以使用預設伺服器值 loginsight。在定義其他目標時,您必須在後續目標的 [server] 區段中指定主機名稱。未使用篩選時,代理程式會將所有收集到的記錄傳送至所有目的地。這是預設行為。不過,您可以篩選記錄,以將不同的記錄傳送至不同的目的地。

必要條件

  • 根使用者身分登入,或使用 sudo 執行主控台命令。
  • 登入安裝有 vRealize Log Insight Linux 代理程式的 Linux 機器,開啟主控台並執行 pgrep liagent,以確認 vRealize Log Insight Linux 代理程式已安裝且正在執行。
  • 如果您的 vRealize Log Insight 叢集已啟用整合式負載平衡器,請參閱啟用整合式負載平衡器,以了解自訂 SSL 憑證的特定需求。

程序

  1. 在任何文字編輯器中開啟 /var/lib/loginsight-agent/liagent.ini 檔案。
  2. 修改下列參數,並設定您環境適用的值。
    參數 說明
    proto

    代理程式用來傳送記錄事件至 vRealize Log Insight 伺服器的通訊協定。可能的值為 cfapisyslog

    預設值為 cfapi。

    hostname vRealize Log Insight 虛擬應用裝置的 IP 位址或主機名稱。
    您可以指定 IPv4 或 IPv6 位址。可以使用也可以不使用方括弧來指定 IPv6 位址。例如:
    hostname = 2001:cdba::3257:9652
    or
    hostname = [2001:cdba::3257:9652]
    如果主機同時支援 IPv4 和 IPv6 堆疊,且網域名稱已指定為主機名稱,則代理程式會根據名稱解析程式所傳回的 IP 位址,使用 IP 堆疊。如果解析程式同時傳回 IPv4 和 IPv6 位址,則代理程式會嘗試以指定順序依序連線至這兩個位址。
    max_disk_buffer Log Insight Linux 代理程式可用來對為此特定伺服器收集的記錄事件進行緩衝處理的磁碟空間上限 (以 MB 為單位)。這個選項會覆寫此伺服器的 [storage].max_disk_buffer 值。

    預設值為 150 MB;您可以設定 50 到 8000 MB 的緩衝區大小。

    port
    代理程式用來將記錄事件傳送至 vRealize Log Insight 或第三方伺服器的通訊連接埠。依預設,代理程式會根據針對 SSL 和通訊協定而設定的選項使用適當的連接埠。請參閱下列清單中提供的預設連接埠值。只有在連接埠選項與這些預設值不同時,才需要指定此選項。
    • 已啟用 SSL 的 cfapi:9543
    • 已停用 SSL 的 cfapi:9000
    • 已啟用 SSL 的 Syslog:6514
    • 已停用 SSL 的 Syslog:514
    ssl 啟用或停用 SSL。預設值為 yes。

    ssl 設為「yes」時,如果您沒有為連接埠設定一個值,連接埠會自動選取為 9543。

    reconnect 強制重新連線到伺服器的時間 (以分鐘為單位)。預設值為 30。
    [server]
    hostname=LOGINSIGHT
    ; Hostname or IP address of your Log Insight server / cluster load balancer. Default:
    ;hostname=LOGINSIGHT
    
    ; Protocol can be cfapi (Log Insight REST API), syslog. Default:
    ;proto=cfapi
    
    ; Log Insight server port to connect to. Default ports for protocols (all TCP):
    ; syslog: 514; syslog with ssl: 6514; cfapi: 9000; cfapi with ssl: 9543. Default:
    ;port=9543
    
    ; SSL usage. Default:
    ;ssl=yes
    
  3. 儲存並關閉 liagent.ini 檔案。

範例

下列組態範例會設定使用受信任憑證授權機構的目標 vRealize Log Insight 伺服器。
[server]
proto=cfapi
hostname=LOGINSIGHT
port=9543
ssl=yes;  
ssl_ca_path=/etc/pki/tls/certs/ca.pem

下列範例顯示多個目的地組態。

  • 第一個 (預設) 目的地會接收所有收集的記錄事件。
    [server]
    hostname=prod1.licf.vmware.com
  • 第二個目的地僅會透過一般 Syslog 通訊協定來接收 Syslog 事件。
    [server|syslog-audit]
    hostname=third_party_audit_management.eng.vmware.com
    proto=syslog
    ssl=no
    filter= {filelog; syslog; }
  • 第三個目的地會接收層級欄位等於「錯誤」或「警告」的 vRealize Operations 記錄事件,且會根據名稱開頭為「vrops-」的區段進行收集
[server|licf-prod1]
hostname=vrops-errors.licf.vmware.com
filter= {; vrops-.*; level == "error" || level == "warning"}

;Collecting syslog messages.
[filelog|syslog]
directory=/var/log
include=messages

;various vRops logs. Note that all section names begin with "vrops-" prefix, which is used in third destination filter.
[filelog|vrops-ANALYTICS-analytics]
directory=/data/vcops/log
include=analytics*.log*
exclude=analytics*-gc.log*
parser=auto
[filelog|vrops-COLLECTOR-collector]
directory=/data/vcops/log
include=collector.log*
event_marker=^\d
{4}-\d{2}-\d{2}[\s]\d{2}:\d{2}:\d{2}\,\d{3}
parser=auto

[filelog|vrops-COLLECTOR-collector_wrapper]
directory=/data/vcops/log
include=collector-wrapper.log*
event_marker=^\d{4} 
-\d
{2}-\d{2} 
[\s]\d
{2}:\d{2} 
:\d
{2} 
\.\d
{3} 
parser=auto

下一步

您可以針對 vRealize Log Insight Linux 代理程式設定其他 SSL 選項。請參閱設定伺服器與 Log Insight 代理程式之間的 SSL 連線