启用VMware vSphere 5 syslog 并整合至Splunk

 

  让我们一步步完成今天的任务吧:

1.        我们必须拥有一个正常运作的Splunk,而且接受来自syslog (UDP:514) 的资料输入。

 

2.        设定Splunk 主机的防火墙,允许syslog (UDP:514) 封包进入。

3.        使用VMware vSphere Client 连结主机或是VMware vCenter Server

4.        如果你是连结至VMware vCenter Server,请选择"Inventory" –> "Hosts and Clusters"

5.        点选你想要开启syslog 机制的主机。

6.        点选Configuration 的页签(Tab)

7.        点选"Security Profile",并按下连结"Properties…" 以设定主机的防火墙。 

 

8.        开启syslog 封包的传送规则,设定完成后按下"OK" 

 

9.        点选"Advanced Settings" 

 

10.      打开Syslog –> Global 的设定。在Syslog.global.logHost 此一栏位输入syslog 主机的IP 位址,此时我们应该指定为Splunk 主机的IP 位址。输入完毕后按下"OK"

  

11.      故意使用错误的帐号/密码尝试登入此一ESXi 主机。

12.      Splunk 主机下"Hostd: Rejected password" 此一查询语法。我们可以看到登入错误讯息出现在查询结果当中。

 

   透过Splunk的仪表板与即时通知功能,我们可以把尝试登入ESXi主机的错误讯息做更有效率与更即时的应用。当然,ESXi所递送过来的资讯很多,并不局限于此一应用。不过以登入错误资讯而言,光取得ESXi主机上的syslog资讯依旧不够完整。如果我们采用VMware vCenter Server来管理虚拟化环境,大多时候我们是登入至VMware vCenter Server ,而非直接登入主机。而不幸的是,VMware vCenter Server本身并没有将相关讯息透过syslog递送至远方的功能。关于此点,我们可以在VMware vCenter Server主机上安装Splunkforwarder,并即时监测VMware vCenter Server相关日志的目录,如果一来Splunk就可以获得VMware vCenter Server的日志记录了。VMware vCenter ServerWindows 2008下将日志存放于C:\Program Files\VMware\VMware VirtualCenter\Logs这个目录之内,至于在其他作业下的目录可以 

 

   就跟大多数的ESXi 主机设定值一样,syslog 的设定也必须一台台ESXi 主机分别进行。这对管理大量ESXi 主机的管理者而言,是一件费时而且容易出错的工作。我们可利用VMware vCenter Server Host Profile 功能,来简化ESXi 主机的设定作业。