启用VMware vSphere 5 syslog 并整合至Splunk
让我们一步步完成今天的任务吧:
1. 我们必须拥有一个正常运作的Splunk,而且接受来自syslog (UDP:514) 的资料输入。
2. 设定Splunk 主机的防火墙,允许syslog (UDP:514) 封包进入。
3. 使用VMware vSphere Client 连结主机或是VMware vCenter Server。
4. 如果你是连结至VMware vCenter Server,请选择"Inventory" –> "Hosts and Clusters"。
5. 点选你想要开启syslog 机制的主机。
6. 点选Configuration 的页签(Tab)。
7. 点选"Security Profile",并按下连结"Properties…" 以设定主机的防火墙。
8. 开启syslog 封包的传送规则,设定完成后按下"OK"。
9. 点选"Advanced Settings"。
10. 打开Syslog –> Global 的设定。在Syslog.global.logHost 此一栏位输入syslog 主机的IP 位址,此时我们应该指定为Splunk 主机的IP 位址。输入完毕后按下"OK"。
11. 故意使用错误的帐号/密码尝试登入此一ESXi 主机。
12. 至Splunk 主机下"Hostd: Rejected password" 此一查询语法。我们可以看到登入错误讯息出现在查询结果当中。
透过Splunk的仪表板与即时通知功能,我们可以把尝试登入ESXi主机的错误讯息做更有效率与更即时的应用。当然,ESXi所递送过来的资讯很多,并不局限于此一应用。不过以登入错误资讯而言,光取得ESXi主机上的syslog资讯依旧不够完整。如果我们采用VMware vCenter Server来管理虚拟化环境,大多时候我们是登入至VMware vCenter Server ,而非直接登入主机。而不幸的是,VMware vCenter Server本身并没有将相关讯息透过syslog递送至远方的功能。关于此点,我们可以在VMware vCenter Server主机上安装Splunk的forwarder,并即时监测VMware vCenter Server相关日志的目录,如果一来Splunk就可以获得VMware vCenter Server的日志记录了。VMware vCenter Server在Windows 2008下将日志存放于C:\Program Files\VMware\VMware VirtualCenter\Logs这个目录之内,至于在其他作业下的目录可以。
就跟大多数的ESXi 主机设定值一样,syslog 的设定也必须一台台ESXi 主机分别进行。这对管理大量ESXi 主机的管理者而言,是一件费时而且容易出错的工作。我们可利用VMware vCenter Server 的Host Profile 功能,来简化ESXi 主机的设定作业。