整合vRealize Log Insight和NSX實(shí)現(xiàn)集中式日志管理

作者：Rob Bastiaansen 2017-06-27 10:21:12

云計(jì)算

虛擬化 集中式日志系統(tǒng)在任何環(huán)境都能夠發(fā)揮重要作用，而對(duì)于VMware NSX和其眾多分布式組件來說，其更是不可或缺的。這就是為什么VMware為NSX添加 vRealize Log Insight，一種專門收集 vSphere和NSX日志的Log Insight版本。從NSX 6.2.3開始， VRealize Log Insight被正式加入到所有版本的NSX中。

集中式日志系統(tǒng)在任何環(huán)境都能夠發(fā)揮重要作用，而對(duì)于VMware NSX和其眾多分布式組件來說，其更是不可或缺的。這就是為什么VMware為NSX添加 vRealize Log Insight，一種專門收集 vSphere和NSX日志的Log Insight版本。從NSX 6.2.3開始， VRealize Log Insight被正式加入到所有版本的NSX中。

vRealize Log Insight for NSX和普通Log Insight之間的主要區(qū)別在于前者的用戶許可(EULA)只限于 vSphere和NSX日志數(shù)據(jù)。如果你仍舊在使用NSX 6.1.x，并且能夠升級(jí)到NSX 6.2.3，那么可以下載全新版本的Log Insight。

下面我們將會(huì)詳細(xì)介紹NSX需要啟用哪些日志組件、如何啟用它們，以及一些使用 vRealize Log Insight NSX的小技巧。

NSX和vRealize Log Insight之間的授權(quán)許可詳細(xì)對(duì)應(yīng)關(guān)系如下：NSX標(biāo)準(zhǔn)版、高級(jí)版和企業(yè)版授權(quán)為用戶提供了針對(duì)每個(gè)NSX CPU的一個(gè) Log Insight Standard CPU。NSX Term標(biāo)準(zhǔn)版、高級(jí)版和企業(yè)版授權(quán)為用戶提供了針對(duì)每個(gè)NSX Term CPU的一個(gè) Log Insight Standard CPU。針對(duì)Term授權(quán)的Log Insight Standard CPU最終會(huì)過期;授權(quán)會(huì)顯示過期日期。***，NSX for Desktop 高級(jí)和企業(yè)板授權(quán)針對(duì)每50個(gè)NSX Desktop CPU提供了一個(gè)Log Insight Standard CPU。

從部署 vRealize Log Insight appliance開始;管理員可以使用appliance的配置向?qū)瓿沙跏蓟渲眠^程，配置 vRealize Log Insight從ESXi主機(jī)接收日志信息。比如，對(duì)于分布式防火墻來說，日志出現(xiàn)在特定虛擬機(jī)所在的主機(jī)上——但是由于虛擬機(jī)很有可能在集群主機(jī)之間變換位置，因此使用集中式日志工具十分重要。

Content packs

部署vRealize Log Insight之后，管理員還需要安裝ESX content pack，其能夠允許 vRealize Log Insight翻譯從NSX接收到的信息。這些content pack是集中式日志服務(wù)器和應(yīng)用程序之間的橋梁;沒有它們，應(yīng)用程序便不能產(chǎn)生日志條目。

安裝content pack需要首先定位到 vRealize Log Insight的右上角菜單，訪問管理界面的應(yīng)用市場(chǎng)。之后安裝vSphere Content Pack(如圖A所示)。

圖A. 安裝Install the NSX-vSphere Content Pack.

之后需要配置NSX組件。首先是NSX Manager，這是監(jiān)控和配置其他NSX組件的web界面。

管理員可以在Manage選項(xiàng)中找到vRealize Log Insight服務(wù)器的入口點(diǎn)。

由于每個(gè)NSX Manager 都連接到 vCenter實(shí)例 ，因此這種整合方式允許管理員查看和NSX服務(wù)器以及vCenter同時(shí)相關(guān)的日志條目。因此如果NSX在vCenter中進(jìn)行配置遇到問題，那么這些問題都將會(huì)出現(xiàn)在日志條目中。

圖B. NSX管理界面

許多其他組件在NSX中創(chuàng)建和配置之后就會(huì)自動(dòng)啟動(dòng)日志功能。比如，如圖C所示，管理員可以看到在哪里為分布式邏輯路由器配置syslog服務(wù)器;同樣的方式也適用于 NSX Edge appliance，因?yàn)槎叨紦碛蠱anage和Setting選項(xiàng)卡。

圖C.為Distributed Logical Router配置分布式syslog服務(wù)器

如果管理員還想要配置NSX控制器向syslog服務(wù)器發(fā)送日志，那么必須直接使用HTTP REST API進(jìn)行配置。

如果想要將ESXi日志轉(zhuǎn)發(fā)到 vRealize Log Insight，那么分布式防火墻日志也將會(huì)被自動(dòng)轉(zhuǎn)發(fā)。這是因?yàn)榉阑饓θ罩緱l目存儲(chǔ)在/var/log/dfwpktlogs.log中，當(dāng)為ESXi主機(jī)配置集中syslog服務(wù)器時(shí)這些也將會(huì)被自動(dòng)轉(zhuǎn)發(fā)。

防火墻默認(rèn)不會(huì)記錄任何日志信息，所以管理員必須在vSphere Web Client中更改防火墻規(guī)則以啟用防火墻日志功能。

部署NSX和vRealize Log Insight整合之后，就可以使用Interactive Analytics來找到被NSX轉(zhuǎn)發(fā)的日志條目了。比如，你會(huì)發(fā)現(xiàn)針對(duì) SpoofGuard的報(bào)警作為分布式防火墻日志的一部分而被轉(zhuǎn)發(fā)。

圖D. NSX命令行界面 SpoofGuard

這些信息允許管理員基于查詢創(chuàng)建報(bào)警，因?yàn)椴徽摵螘r(shí)發(fā)生一些事情，管理員都可以通過郵件或者vRealize Operations Manager收到報(bào)警。Dashboard是 NSX和vRealize Log Insight整合的另外一個(gè)重要組成部分;這些 dashboard可以幫助管理員定位NSX環(huán)境的問題。

網(wǎng)頁題目：整合vRealizeLogInsight和NSX實(shí)現(xiàn)集中式日志管理
當(dāng)前URL：http://www.dlmjj.cn/article/dpedhdg.html