Назад | Перейти на главную страницу

Информация системного журнала от хостов vmware до серого журнала не собирается правильно

у меня есть серый журнал системного журнала сервер работает на debian, работает нормально. Я хотел отправить системные журналы с наших хостов Vmware ESX в Graylog. Я указываю хост ESX на системный журнал, выполнив следующие действия:

Я открываю vSphere Client и выбираю свой хост. Затем я выбираю конфигурацию ... дополнительные настройки, прокручиваю вниз и расширяю Системный журнал и выбираю глобальный. Теперь в Syslog.global.loghost я помещаю информацию о моем сервере-> udp: // ipaddressofgraylog2: 514 И открываю брандмауэр для системного журнала. На этом все работает.

Я захожу на свой сервер Graylog и вижу, что пересылается тонна данных. Я настраиваю вывод системного журнала хоста -> vCenter, выбираю хост в инвентаре, затем вкладка Конфигурация -> Дополнительные настройки -> Конфигурация -> HostAgent -> Журнал. Установите уровень ведения журнала на «Ошибка» (пока).

Моя проблема: присматриваюсь к Graylog "HOSTS":

В Graylog указан 31 хост, но на самом деле их всего 7. Информация системного журнала от хоста (ов) ESX не для лучшего слова "аккуратный". У меня вопрос, как сделать "приборку"? Если у меня есть 3-4 хоста ESX, отправляющих свои системные журналы таким образом, анализ информации будет жестким.

Это проблема с серым журналом? Vmware ESX v5.5 проблема?

ОТВЕТ от mrlesmithjr ссылка на сайт/сценарий!

# Now we need to modify some things to get rsyslog to forward to graylog. this is useful for ESXi syslog format to be correct.
echo "Updating graylog2.conf and rsyslog.conf"
sed -i -e 's|syslog_listen_port = 514|syslog_listen_port = 10514|' /etc/graylog2.conf
sed -i -e 's|#$ModLoad immark|$ModLoad immark|' /etc/rsyslog.conf
sed -i -e 's|#$ModLoad imudp|$ModLoad imudp|' /etc/rsyslog.conf
sed -i -e 's|#$UDPServerRun 514|$UDPServerRun 514|' /etc/rsyslog.conf
sed -i -e 's|#$ModLoad imtcp|$ModLoad imtcp|' /etc/rsyslog.conf
sed -i -e 's|#$InputTCPServerRun 514|$InputTCPServerRun 514|' /etc/rsyslog.conf
sed -i -e 's|*.*;auth,authpriv.none|#*.*;auth,authpriv.none|' /etc/rsyslog.d/50-default.conf
echo '$template GRAYLOG2,"<%PRI%>1 %timegenerated:::date-rfc3339% %FROMHOST% %syslogtag% - %APP-NAME%: %msg:::drop-last-lf%\n"' | tee /etc/rsyslog.d/32-graylog2.conf
echo '$ActionForwardDefaultTemplate GRAYLOG2' | tee -a  /etc/rsyslog.d/32-graylog2.conf
echo '$PreserveFQDN on' | tee -a  /etc/rsyslog.d/32-graylog2.conf
echo '*.info @localhost:10514' | tee -a  /etc/rsyslog.d/32-graylog2.conf

@ Логман. Я бы порекомендовал вам перейти на следующий сайт и правильно запустить graylog2, чтобы очистить системный журнал хостов vSphere при импорте в graylog2. Установите Ubuntu vm и установите с нуля.

http://everythingshouldbevirtual.com/ubuntu-12-04-graylog2-installation