我在CentOS 7系统上安装Rsyslog服务器,并将其配置为vCenter Server Appliance(vCSA)日志和vSphere服务器生成的所有日志的重要日志服务器,本文将介绍Rsyslog服务器的安装/配置和vCSA/vSphere的配置,以便将日志发送到我们配置的远程Rsysog服务器,安装Rsyslog请参考在Debian 9上使用Rsyslog安装一台中央日志服务器。
一、更新系统
让我们将系统包更新到最新版本:
sudo yum update
对于Ubuntu,使用apt执行相同的操作:
sudo apt-get update && sudo apt-get upgrade
如果可能,请重新启动系统以进行需要更新才能生效的更新,例如内核更新:
sudo reboot
二、配置Rsyslog服务器
CentOS和Ubuntu/Debian系统都安装并运行了rsyslog,我们需要为VMware设置创建一个额外的配置文件。
默认配置文件是/etc/rsyslog.conf,任何其他配置都可以放在/etc/rsyslog.d/目录下。
为VMware vSphere和vCSA设备日志创建目录:
$ sudo mkdir -p /data/logs/{vcenter,esxi}
然后将以下配置文件添加到/etc/rsyslog.d/vmware.conf,这是vSphere Infrastructure日志记录的配置,它具有模板,用于指示存储日志的位置和方式,匹配模式以及日志时间戳定义:
# Provides TCP syslog reception
$ModLoad imtcp
#### Create Templates for Log parsing
#### Log store is created folder previously
template(name="TIMESTAMP" type="string" string="%timegenerated:8:25%||%HOSTNAME%||%syslogtag%||%msg%\n")
template(name="ESXI" type="string" string="/data/logs/esxi/%fromhost-ip%/%$YEAR%-%$MONTH%/%$DAY%.%$MONTH%-messages.log")
template(name="VCENTER" type="string" string="/data/logs/vcenter/%fromhost-ip%/%$YEAR%-%$MONTH%/%$DAY%.%$MONTH%-messages.log")
#### Define remote logging RuleSet
$RuleSet remote
### The following rule is created to store logs coming from vCenter with different parameters
### If log is coming from vcenter with IP 192.168.10.50 it will be stored using VCENTER template.
### Replace 192.168.10.50 with your vCSA IP address
if $fromhost == '192.168.10.50' then {
*.* ?VCENTER
}
else {
# Store all other logs using TIMESTAMP and ESXI templates.
*.* ?ESXI;TIMESTAMP
}
### Tell rsyslog to listen TCP port 514.
### All events coming to this port will be parsed using remote RuleSet.
$InputTCPServerBindRuleset remote
$InputTCPServerRun 514
这里我们定义了三个模板:
TIMESTAMP:用于格式化来自某个IP地址的所有日志,这是为了通过适当的时间格式使日志更具可读性。
ESXI:这告诉rsyslog将每个主机的日志存储在一个单独的文件夹中,每天的日志存储在与该日相对应的文件夹中,vSphere主机的日志将存储在/data/logs/esxi中。
VCENTER:这告诉rsyslog使用/data/logs/vcenter中的vCenter设备存储日志,使用与ESXI模板上使用的时间戳和结构类似的时间戳和结构。
进行更改后重新启动rsyslog服务:
sudo systemctl restart rsyslog
使用systemctl status rsyslog命令检查状态,没问题的话会返回运行状态信息:
然后打开Rsyslog防火墙端口,Rsyslog侦听端口514,我们将其配置为用户TCP,使用firewalld管理工具打开它。
在Ubuntu/Debian上使用ufw:
sudo ufw allow 514/tcp
参考:Debian、Ubuntu、Linux Mint系统中的UFW防火墙入门教程。https://ywnz.com/linuxaq/4277.html
在CentOS 7上:
sudo firewall-cmd --add-port=514/tcp --permanent
sudo firewall-cmd --reload
三、配置vSphere主机和vCSA Appliance
唯一尚未解决的问题是配置vSphere和vCSA设备以将日志推送到我们的rsyslog服务器。
1、如何配置vSphere远程Syslog
打开vCenter并导航至:主机和群集>选择主机>配置>高级系统设置>编辑(Hosts and Clusters > Select Host > configure > Advanced System Settings > Edit)
在“筛选器”框中,搜索“syslog”,你应该看到“Syslog.global.logHost”,在此框中填写rsyslog服务器地址:tcp://192.168.10.35:514
如果要同时配置tcp和udp,请使用逗号分隔它们:tcp://192.168.10.35:514,udp://192.168.10.35:514
它应该有如下所示:
2、如何配置vCenter(vCSA)远程Syslog
对于vCSA,通过打开vCSA管理UI来配置远程rsyslog:
http://vCSA-IP:5480
然后就可以登录控制中心了,如下图:
输入安装期间提供的用户名和密码,初始默认用户名为root,默认密码为vmware。
程序的说明:
1.在vCenter Server Appliance管理界面中,选择Syslog。
2.在“转发配置”部分中,如果尚未配置任何远程syslog主机,请单击“配置”,如果已配置主机,请单击“编辑”。
3.在“创建转发配置”页面中,输入目标主机的服务器地址,支持的目标主机的最大数量为三个。
4.从“协议”下拉菜单中,选择要使用的协议。
5.在“端口”文本框中,输入用于与目标主机通信的端口号。
6.在“创建转发配置”窗格中,单击“添加”以输入另一个远程syslog服务器。
7.单击保存。
8.验证远程syslog服务器是否正在接收消息。
9.在“转发配置”部分中,单击“发送测试消息”。
10.在远程syslog服务器上验证是否收到了测试消息。
新配置设置显示在“转发配置”部分中。
如果你返回到rsyslog服务器,则应在前面配置的logs目录下创建两个文件夹:
$ ls /data/logs/
esx vcenter
$ ls /data/logs/vcenter/192.168.10.50/2019-02/02.22-messages.log
/data/logs/vcenter/192.168.10.50/2019-02/02.22-messages.log
对于ESXI主机:
$ file /data/logs/esx/192.168.10.31/2019-02/02.22-messages.log
/data/logs/esx/192.168.10.31/2019-02/02.22-messages.log: ASCII text, with very long lines
你可以考虑为其配置日志轮换:
运行:$ cat /etc/logrotate.d/vmware
/data/logs/esxi/*/*/*.log {
rotate 90
daily
notifempty
compress
}
/data/logs/vcenter/*/*/*.log {
rotate 90
daily
notifempty
compress
}
操作到这里,你现在已经拥有适用于vSphere Infrastructure的rsyslog服务器。
相关主题
京公网安备 11010802041100号