vSphere ESXi 5,0 системных журналов хостов к Graylog2 - Искаженные записи в журнале
Я просто настраиваю graylog2 (который является потрясающим) быть сервером системного журнала для моей виртуализированной среды. Все мои хосты и переключатели счастливо регистрируются далеко к graylog2, который тянет некоторые симпатичные графики.Пока все хорошо.
Однако когда дело доходит до fowarding журналы от моих хостов vSphere 5.0, я сталкиваюсь с некоторыми проблемами. Я настраиваю глобальную установку системного журнала, чтобы иметь удаленный хост udp://loghost:514 и я перехожу к graylog консоли для наблюдения, какие сообщения входят. По некоторым причинам graylog2 регистрирует серьезность журнала в столбце 'хоста':
Снимок экрана показывает некоторым localhost записи в журнале, которые корректны, и выше того некоторого хоста vSphere записи, которые, очевидно, не являются. Все vsphere записи входят как средство local4 и с серьезностью Informational.
Единственное другое время, где у меня была проблема с этим, было от моего переключателя Cisco 3750, где я должен был явно установить системный журнал, передав формат syslog, иначе я получил бы все виды странных записей в столбце 'хоста'.
Действительно ли это - проблема с vSphere или ошибка в graylog2? Я не столкнулся ни с кем больше с этой проблемой, таким образом, не уверенный, где начать смотреть.
Возможно, VSphere не соответствует ожидаемому формату syslog, который ожидает Graylog2 - обычно в этом случае я устанавливаю экземпляр логсташей на сервере Graylog2, чтобы получать входящий поток логов, и использую фильтр грока для объединения логов в формат, который будет принимать Graylog2 таким же образом, как и другие ваши записи syslog.
Вы можете настроить Logstash на прослушивание (например) порта 1514 и иметь выходной плагин, который отправляет в Graylog2 - http://logstash.net/docs/1.4.2/outputs/gelf ... это также позволит вам проверить получаемый журнал, чтобы убедиться, что он находится в том же формате, что и другие получаемые записи syslog.
.