使用Splunk整合ESXi主机的日志

启用VMware vSphere 5 syslog 并整合至Splunk

 

  让我们一步步完成今天的任务吧：

1.        我们必须拥有一个正常运作的Splunk，而且接受来自syslog (UDP:514) 的资料输入。

 

2.        设定Splunk 主机的防火墙，允许syslog (UDP:514) 封包进入。

3.        使用VMware vSphere Client 连结主机或是VMware vCenter Server。

4.        如果你是连结至VMware vCenter Server，请选择"Inventory" –> "Hosts and Clusters"。

5.        点选你想要开启syslog 机制的主机。

6.        点选Configuration 的页签(Tab)。

7.        点选"Security Profile"，并按下连结"Properties…" 以设定主机的防火墙。 

 

8.        开启syslog 封包的传送规则，设定完成后按下"OK"。 

 

9.        点选"Advanced Settings"。 

 

10.      打开Syslog –> Global 的设定。在Syslog.global.logHost 此一栏位输入syslog 主机的IP 位址，此时我们应该指定为Splunk 主机的IP 位址。输入完毕后按下"OK"。

  

11.      故意使用错误的帐号/密码尝试登入此一ESXi 主机。

12.      至Splunk 主机下"Hostd: Rejected password" 此一查询语法。我们可以看到登入错误讯息出现在查询结果当中。

 

   透过Splunk的仪表板与即时通知功能，我们可以把尝试登入ESXi主机的错误讯息做更有效率与更即时的应用。当然，ESXi所递送过来的资讯很多，并不局限于此一应用。不过以登入错误资讯而言，光取得ESXi主机上的syslog资讯依旧不够完整。如果我们采用VMware vCenter Server来管理虚拟化环境，大多时候我们是登入至VMware vCenter Server ，而非直接登入主机。而不幸的是，VMware vCenter Server本身并没有将相关讯息透过syslog递送至远方的功能。关于此点，我们可以在VMware vCenter Server主机上安装Splunk的forwarder，并即时监测VMware vCenter Server相关日志的目录，如果一来Splunk就可以获得VMware vCenter Server的日志记录了。VMware vCenter Server在Windows 2008下将日志存放于C:\Program Files\VMware\VMware VirtualCenter\Logs这个目录之内，至于在其他作业下的目录可以参考VMware的官方文件。 

 

   就跟大多数的ESXi 主机设定值一样，syslog 的设定也必须一台台ESXi 主机分别进行。这对管理大量ESXi 主机的管理者而言，是一件费时而且容易出错的工作。我们可利用VMware vCenter Server 的Host Profile 功能，来简化ESXi 主机的设定作业。