Splunk: syslog server per vmware esxi

Postato il Aggiornato il

In un’infrastruttura virtuale basata su diversi vmware esxi stand-alone, quindi senza una gestione centralizzata tramite il vCenter, risulta comodo poter disporre di un syslog server che funga da repository centrale per la  raccolga dei log degli host esxi.
Un syslog server, oltre che per la comodità della centralizzazione , è anche utile per la storicizzazione dei log di esxi perché nella versione 4.0 i log vengono salvati nella directory /var/log/messages che viene però svuotata al riavvio dell’host.
Nella versione 4.1 invece i log vengono preservati anche dopo un restart dell’host ma la directory di default è cambiata in /scratch/log/messages  accessibile però solo tramite la Tech Support Console.
Per conservare e gestire il log di esxi occorre quindi impostare un forwarding dei log verso un syslog server utilizzando in questo caso Splunk.
In questo mio post illustro cosa è Splunk e come si installa su una macchina linux.
In quest’altro post invece spiego come realizzare un access control per splunk tramite Nginx.
Per configurare le opzioni di syslog di esxi 4.1 collegarsi all’host tramite il vClient e nel tab “Configuration”  cliccare sulla voce ultima di menù “Advanced settings”.
Si aprirà una finestra, come quella in figura sotto, e cliccare alla voce Syslog:

“Syslog.Local.DatastorePath” è il path locale dove i files di log vengono scritti è di default è “/scratch/log/messages”.
“Syslog.Remote.Hostname” permette di inserire l’indirizzo ip del server syslog, in questo caso la macchina con Splunk all’indirizzo 192.168.100.105.
“Syslog.Remote.Port” permette di inserire la porta di destinazione a cui saranno forwardati i log e in questo caso la 514 del protocollo UDP.
Adesso è necessario configurare su Splunk la ricezione dei log di esxi e tramite interfaccia web dal menù “Manager” e cliccare su “Data Inputs”

Cliccare ora sulla voce “Add new” nel type “UDP” come in figura per aggiunger al porta di ascolto dei log da esxi.

Aggiungere la porta 514 di tipo syslog come da figura e infine cliccare su “save”

Una volta fatto ciò torniamo nella home page di Splunk e in cui noteremo che immediatamente inizia la raccolta di log ricevuti dagli host esxi.
Questi log sono l’esatta copia dei data log presenti su esxi e anchel’analisi della quantità dei log ricevuti può essere un dato significativo.

Cliccando sulla sorgente Splunk ci porta alla pagina di ricerca dei log per quell’evento sorgente :

Da questa pagina di ricerca si possono cercare informazioni per host,porta,etc.. impostando intervalli di tempo desiderati.
Da notare che il syslog data , per uno specifico host, contiene 2 time stamps.
Il primo indica quando è stato ricevuto il log dal server Splunk mentre il secondo indica quando l’evento è stato generato sull’ host esxi.
Se la differenza tra i due time stamps è notevole controllate UTC time zone sull’host esxi !.
Infine è possibile creare degli email alert per particolari eventi registrati ed inoltre Splunk può essere configurato per forwardare i dati ad un’altro syslog server, che consente di superare il limite di esxi di mandare dati ad un solo syslog server.

IZ

Un pensiero riguardo “Splunk: syslog server per vmware esxi

    pier ha detto:
    01/06/2011 alle 17:43

    Grazie per il preziosissimo articolo, io sono alla ricerca di un software per i system log e questo sebra fre al caso mio.

Lascia un commento

Inserisci i tuoi dati qui sotto o clicca su un'icona per effettuare l'accesso:

Logo WordPress.com

Stai commentando usando il tuo account WordPress.com. Chiudi sessione / Modifica )

Foto Twitter

Stai commentando usando il tuo account Twitter. Chiudi sessione / Modifica )

Foto di Facebook

Stai commentando usando il tuo account Facebook. Chiudi sessione / Modifica )

Google+ photo

Stai commentando usando il tuo account Google+. Chiudi sessione / Modifica )

Connessione a %s...