使用 vRealize Log Insight 代理 2018年9月20日 vRealize Log Insight 4.7 VmWare
使用 vRealize Log Insight 代理 2018 年 9 月 20 日 vRealize Log Insight 4.7
使用 vRealize Log Insight代理 新的技术文档可以从 VMware网站下载: https://docs.vmwarecom/cn/ 您如果对本文档有任何意见或建议,请把反馈信息提交至 上海办公室 广州办公室 3401 Hillview Ave 北京市海淀区科学院南路2号上海市浦东新区浦东南路999广州市天河北路233号 融科资讯中心C座南8层号 中信广场7401室 www.vmware.com/cn 新梅联合广场23楼 ww. vmware. com/cn ww. vmware. com/cn 版权所有e2014-2018 VMware,nc.保留所有权利。版权和商标信息
使用 vRealize Log Insight 代理 VMware, Inc. 2 最新的技术文档可以从 VMware 网站下载: https://docs.vmware.com/cn/ 您如果对本文档有任何意见或建议,请把反馈信息提交至: docfeedback@vmware.com 版权所有 © 2014–2018 VMware, Inc. 保留所有权利。 版权和商标信息。 VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com 北京办公室 北京市海淀区科学院南路 2 号 融科资讯中心 C 座南 8 层 www.vmware.com/cn 上海办公室 上海市浦东新区浦东南路 999 号 新梅联合广场 23 楼 www.vmware.com/cn 广州办公室 广州市天河北路 233 号 中信广场 7401 室 www.vmware.com/cn
目录 使用 vRealize Log Insight代理5 rEalize Log Insight代理概览6 2 vRealize Log Insight代理支持的日志轮换方案8 3安装或升级 vRealize Log Insight代理9 下载代理安装文件10 安装 Windows代理11 安装或更新 vRealize Log Insight Linux代理RPM软件包16 安装或更新 rEalize Log Insight Linux代理DEB软件包17 自定义 Debian Linux的代理安装18 安装 Log Insight Linux Agent二进制软件包20 Linux上用于安装 rEalize Log Insight代理的命令行选项21 rEalize Log Insight代理的自动更新22 配置 vRealize Log Insight代理24 配置 Log Insight Windows Agent25 I Log Insight Linux Agent 36 筛选来自 vRealize Log Insight代理的事件42 从 rEalize Log Insight代理转发信息43 vRealize Log Insight代理的集中式配置49 使用公用值进行代理配置52 分析日志53 5卸载 rEalize Log Insight代理78 卸载 Log Insight Windows Agent78 卸载 Log Insight Linux代理RPM软件包78 卸载 Log Insight Linux代理DEB软件包79 载 Log Insight Linux代理bin软件包79 手动卸载 Log Insight Linux代理bin软件包79 6 vRealize Log Insight代理故障排除81 为 Log Insight Windows Agent创建支持包81 为 Log Insight Linux Agent创建支持包82 在 Log Insight Agents中定义日志详细信息级别82 管理U不显示 Log Insight Agents83 rEalize Log Insight代理不发送事件83
目录 使用 vRealize Log Insight 代理 5 1 vRealize Log Insight 代理概览 6 2 vRealize Log Insight 代理支持的日志轮换方案 8 3 安装或升级 vRealize Log Insight 代理 9 下载代理安装文件 10 安装 Windows 代理 11 安装或更新 vRealize Log Insight Linux 代理 RPM 软件包 16 安装或更新 vRealize Log Insight Linux 代理 DEB 软件包 17 自定义 Debian Linux 的代理安装 18 安装 Log Insight Linux Agent 二进制软件包 20 Linux 上用于安装 vRealize Log Insight 代理的命令行选项 21 vRealize Log Insight 代理的自动更新 22 4 配置 vRealize Log Insight 代理 24 配置 Log Insight Windows Agent 25 配置 Log Insight Linux Agent 36 筛选来自 vRealize Log Insight 代理的事件 42 从 vRealize Log Insight 代理转发信息 43 vRealize Log Insight 代理的集中式配置 49 使用公用值进行代理配置 52 分析日志 53 5 卸载 vRealize Log Insight 代理 78 卸载 Log Insight Windows Agent 78 卸载 Log Insight Linux 代理 RPM 软件包 78 卸载 Log Insight Linux 代理 DEB 软件包 79 卸载 Log Insight Linux 代理 bin 软件包 79 手动卸载 Log Insight Linux 代理 bin 软件包 79 6 vRealize Log Insight 代理故障排除 81 为 Log Insight Windows Agent 创建支持包 81 为 Log Insight Linux Agent 创建支持包 82 在 Log Insight Agents 中定义日志详细信息级别 82 管理 UI 不显示 Log Insight Agents 83 vRealize Log Insight 代理不发送事件 83 VMware, Inc. 3
使用 vRealize Log Insight代理 为 Log Insight Windows Agent添加出站例外规则84 在 Windows防火墙中允许来自 Log Insight Windows Agent的出站连接8 og Insight Windows Agent批量部署失败86 Log Insight Agents拒绝自签名证书86 rEalize Log Insight服务器拒绝非加密流量的连接87
为 Log Insight Windows Agent 添加出站例外规则 84 在 Windows 防火墙中允许来自 Log Insight Windows Agent 的出站连接 85 Log Insight Windows Agent 批量部署失败 86 Log Insight Agents 拒绝自签名证书 86 vRealize Log Insight 服务器拒绝非加密流量的连接 87 使用 vRealize Log Insight 代理 VMware, Inc. 4
使用 rEalize Log Insight代理 《使用 vRealize Log Insight代理》介绍了如何安装和配置 vRealize Log insight" Windows和 Linux代理 还包括故障排除提示 这些信息供需要对 Log Insight Agents进行安装、配置或故障排除的任何用户使用。这些信息是为熟悉虚拟 机技术和数据中心操作并具有丰富经验的 Windows或 Linux系统管理员编写的。 有关如何通过 rEalize Log Insight服务器为代理创建配置类的信息,请参阅《管理 vRealize Log Insight
使用 vRealize Log Insight 代理 《使用 vRealize Log Insight 代理》介绍了如何安装和配置 vRealize™ Log Insight™ Windows 和 Linux 代理。 还包括故障排除提示。 这些信息供需要对 Log Insight Agents 进行安装、配置或故障排除的任何用户使用。这些信息是为熟悉虚拟 机技术和数据中心操作并具有丰富经验的 Windows 或 Linux 系统管理员编写的。 有关如何通过 vRealize Log Insight 服务器为代理创建配置类的信息,请参阅《管理 vRealize Log Insight》。 VMware, Inc. 5
rEalize Log Insight代理概览 vRealize Log Insight代理会从日志文件中收集事件,并将这些事件转发到 vRealize Log Insight服务器或任 何第三方 syslog目标。 代理支持 syslog和 vRealize Log Insight数据获取APl( capi协议),可以将其用于Lnux或 Windows平 台。您可以通过Web界面配置代理(在服务器和客户端中包含 liagent. in文件),也可以在安装过程中进 代理具备以下特点 单个或组部署 自动升级 可对日志消息进行分析并提取结构化数据。可以为 FileLog和 WinLog收集器配置分析程序 支持多行消息 本机支持多个日志轮换方案 广泛的数据获取AP,包括客户端压缩、加密,以及向事件添加元数据的功能 vRealize Log Insight服务器支持集中式的配置管理,以及创建和管理多组代理 下图显示了代理部署配置的元素
vRealize Log Insight 代理概览 1 vRealize Log Insight 代理会从日志文件中收集事件,并将这些事件转发到 vRealize Log Insight 服务器或任 何第三方 syslog 目标。 代理支持 syslog 和 vRealize Log Insight 数据获取 API(cfapi 协议),可以将其用于 Linux 或 Windows 平 台。您可以通过 Web 界面配置代理(在服务器和客户端中包含 liagent.ini 文件),也可以在安装过程中进 行配置。 代理具备以下特点: n 单个或组部署 n 自动升级 n 可对日志消息进行分析并提取结构化数据。可以为 FileLog 和/或 WinLog 收集器配置分析程序。 n 支持多行消息 n 本机支持多个日志轮换方案 n 广泛的数据获取 API,包括客户端压缩、加密,以及向事件添加元数据的功能 vRealize Log Insight 服务器支持集中式的配置管理,以及创建和管理多组代理。 下图显示了代理部署配置的元素。 VMware, Inc. 6
使用 vRealize Log Insight代理 syslog Linux Log Insight服务器 Linux APl、 syslog AP、sysg喽 转发器 负载平衡器 凵代理 文件日志 APl、 syslog Windows Linux Windows 节点1节点2 节点6 文件日志 文件日志 文件日志 rEalize Log Insight转发器是一个专用 rEalize Log Insight服务器的实例,其主要职责是将事件转发到远 程目标。通常,不会使用用作转发器的服务器实例进行查询。转发器使用内部负载平衡器,另外其结构与 rEalize Log Insight服务器类似。 代理写入自己的运行日志。对于 Windows,这些日志位于C:\ ProgramData\VMware\ Log Insight Agent\logs目录中。对于 Linux,该操作日志的路径为/ar/1og/ loginsight- agent/1 Agent*.Log 在重新启动代理或日志文件大小达到10MB时,将轮换这些文件。轮换的文件组合限制为50MB。不能使 用 vRealize Log Insight代理本身收集代理日志。 代理用于实时日志收集。可以使用 vRealize Log Insight导入程序导入历史日志集合,包括支持包。 分别提供了适用于 Windows和Lnux操作系统的单独安装下载项。 在 Windows系统上,该代理作为 Windows服务运行,并在安装后立即启动。代理会监控应用程序日志文件 和 Windows事件通道,后者是用于收集相关 Windows系统事件的池。收集到的事件会被转发到 vRealize Log Insight服务器或第三方 syslog目标。 在Lnux系统上,该代理作为守护进程运行,并在安装后立即启动。 vRealize Log Insight Linux代理从 Linux 计算机上的日志文件中收集事件,并将这些事件转发到 rEalize Log Insight.服务器或 syslog目标。可以使 用 Debian、 Red Hat和Linu二进制安装软件包
syslog Linux syslog、 文件日志 Linux LI 代理 syslog、 文件日志 Linux LI 代理 事件、 文件日志 Windows Log Insight 转发器 syslog syslog LI 代理 syslog Linux 事件、 文件日志 Windows 节点 1 节点 2 节点 6 Log Insight 服务器 内部 负载平衡器 syslog syslog API、syslog API、syslog API、syslog API、syslog API、syslog LI 代理 vRealize Log Insight 转发器是一个专用 vRealize Log Insight 服务器的实例,其主要职责是将事件转发到远 程目标。通常,不会使用用作转发器的服务器实例进行查询。转发器使用内部负载平衡器,另外其结构与 vRealize Log Insight 服务器类似。 代理写入自己的运行日志。对于 Windows,这些日志位于 C:\ProgramData\VMware\Log Insight Agent\logs 目录中。对于 Linux,该操作日志的路径为 /var/log/loginsight-agent/liagent_*.log。 在重新启动代理或日志文件大小达到 10 MB 时,将轮换这些文件。轮换的文件组合限制为 50 MB。不能使 用 vRealize Log Insight 代理本身收集代理日志。 代理用于实时日志收集。可以使用 vRealize Log Insight 导入程序导入历史日志集合,包括支持包。 分别提供了适用于 Windows 和 Linux 操作系统的单独安装下载项。 在 Windows 系统上,该代理作为 Windows 服务运行,并在安装后立即启动。代理会监控应用程序日志文件 和 Windows 事件通道,后者是用于收集相关 Windows 系统事件的池。收集到的事件会被转发到 vRealize Log Insight 服务器或第三方 syslog 目标。 在 Linux 系统上,该代理作为守护进程运行,并在安装后立即启动。vRealize Log Insight Linux 代理从 Linux 计算机上的日志文件中收集事件,并将这些事件转发到 vRealize Log Insight 服务器或 syslog 目标。可以使 用 Debian、Red Hat 和 Linux 二进制安装软件包。 使用 vRealize Log Insight 代理 VMware, Inc. 7
rEalize Log Insight代理支持的日 志轮换方案 2 rEalize Log Insight代理支持多种日志轮换方案 日志轮换可确保日志文件不会无限增大。有多种日志轮换方案,每一种方案都为一组特定的用例而设计。 vRealize Log Insight本机支持以下方案 表21 rEalize Log Insight代理支持的日志轮换方案 日志轮换方案 描述 达到大小或时间限制时,创建新的日志文件。日志记录进程将停 止写入当前日志文件,并将日志输出定向到新创建的文件。现有 文件不会被重命名,也不会以任何其他方式进行处理。 rename-recreate 当日志文件变得足够大时,外部实用程序(例如 tate 会对其进行重命名。然后,日志记录进程会使用之前的名称创建 一个日志文件 当日志文件变得足够大时,外部实用程序(例如, logrotate) 会将其复制到具有不同名称的文件,并截断原始文件,使其大小 变为0。日志记录进程可以继续将日志写入原始文件 您可以使用 vRealize Log Insight数据存档保留可能会在轮换中被移的旧日志。请参见启用或禁用数据存档
vRealize Log Insight 代理支持的日 志轮换方案 2 vRealize Log Insight 代理支持多种日志轮换方案。 日志轮换可确保日志文件不会无限增大。有多种日志轮换方案,每一种方案都为一组特定的用例而设计。 vRealize Log Insight 本机支持以下方案。 表 2‑1 vRealize Log Insight 代理支持的日志轮换方案 日志轮换方案 描述 create-new 达到大小或时间限制时,创建新的日志文件。日志记录进程将停 止写入当前日志文件,并将日志输出定向到新创建的文件。现有 文件不会被重命名,也不会以任何其他方式进行处理。 rename-recreate 当日志文件变得足够大时,外部实用程序(例如,logrotate) 会对其进行重命名。然后,日志记录进程会使用之前的名称创建 一个日志文件。 copy-truncate 当日志文件变得足够大时,外部实用程序(例如,logrotate) 会将其复制到具有不同名称的文件,并截断原始文件,使其大小 变为 0。日志记录进程可以继续将日志写入原始文件。 您可以使用 vRealize Log Insight 数据存档保留可能会在轮换中被移除的旧日志。请参见启用或禁用数据存档。 VMware, Inc. 8
安装或升级 rEalize Log Insight 代理 3 您可以在 Windows或Lnux计算机上安装或升级 vRealize Log Insight代理,包括具有第三方日志管理系统 的计算机。 代理收集事件并将其转发到 vRealize Log Insight服务器。在安装期间,您可以指定服务器、端口和协议设 置的参数,或者选择保留默认设置。 您可以通过在安装时使用的相同方法升级代理,也可以使用自动升级。在部署新的 vRealize Log Insight版 本时,自动升级功能将升级传播到代理。有关详细信息,请参见 vRealize Log Insight代理的自动更新。升 级不适用于Lux二进制软件包 硬件支持 要安装并运行 vRealize Log Insight代理,您的硬件必须支持主机计算机所需的最低参数以支持x86和x8664 架构以及MMⅨX、SSE、SSE2和SSE3指令集。 平台支持 处理器架构 Windows7、 Windows8、 Windows8.1和 Windows x8664、x8632 Windows server 2008 Windows server 2008 R2 x8664、x8632 Windows Server 2012. Windows Server 2012 R2 FI Windows X86 64 Server 2016 RHEL5、RHEL6和RHEL7 X8664、x8632 SuSE Enterprise Linux(SLES)11 SP3 FH SLES 12 SP1 Ubuntu 14.04 LTS H 16.04 LTS VMware Photon版本1修订版本2和版本2 Linux说明 如果为没有要使用的root特权的用户实施 Log Insight Linux Agent默认安装,默认配置可能会导致数据收集 出现问题。代理不记录以下警告:通道订阅失败,并且集合中的文件没有读取权限。将在日志中反复添加无 法访问日志文件..将稍后重试( Inaccessible log file.. will try later)消息。您可以注释 掉导致问题出现的默认配置,或更改用户权限
安装或升级 vRealize Log Insight 代理 3 您可以在 Windows 或 Linux 计算机上安装或升级 vRealize Log Insight 代理,包括具有第三方日志管理系统 的计算机。 代理收集事件并将其转发到 vRealize Log Insight 服务器。在安装期间,您可以指定服务器、端口和协议设 置的参数,或者选择保留默认设置。 您可以通过在安装时使用的相同方法升级代理,也可以使用自动升级。在部署新的 vRealize Log Insight 版 本时,自动升级功能将升级传播到代理。有关详细信息,请参见 vRealize Log Insight 代理的自动更新。升 级不适用于 Linux 二进制软件包。 硬件支持 要安装并运行 vRealize Log Insight 代理,您的硬件必须支持主机/计算机所需的最低参数以支持 x86 和 x86_64 架构以及 MMX、SSE、SSE2 和 SSE3 指令集。 平台支持 操作系统 处理器架构 Windows 7、Windows 8、Windows 8.1 和 Windows 10 x86_64、x86_32 Windows Server 2008、Windows Server 2008 R2 x86_64、x86_32 Windows Server 2012、Windows Server 2012 R2 和 Windows Server 2016 x86_64 RHEL 5、RHEL 6 和 RHEL 7 x86_64、x86_32 SuSE Enterprise Linux (SLES) 11 SP3 和 SLES 12 SP1 x86_64 Ubuntu 14.04 LTS 和 16.04 LTS x86_64 VMware Photon 版本 1 修订版本 2 和版本 2 x86_64 Linux 说明 如果为没有要使用的 root 特权的用户实施 Log Insight Linux Agent 默认安装,默认配置可能会导致数据收集 出现问题。代理不记录以下警告:通道订阅失败,并且集合中的文件没有读取权限。将在日志中反复添加无 法访问日志文件 ... 将稍后重试 (Inaccessible log file ... will try later) 消息。您可以注释 掉导致问题出现的默认配置,或更改用户权限。 VMware, Inc. 9
使用 vRealize Log Insight代理 如果您使用rpm或DEB软件包安装 Linux代理,将在软件包安装过程中安装名为1 magenta的 init.d脚本 bin软件包添加该脚本,但不会注册该脚本。您可以手动注册脚本 您可以运行(sbn)服务 liagentd status命令以验证安装是否成功 本章讨论了以下主题: 下载代理安装文件 安装 Windows代理 安装或更新 vRealize Log InsightLinux代理RPM软件包 安装或更新 vRealize Log InsightLinux代理DEB软件包 自定义 Debian linux的代理安装 安装 Log Insight Linux Agent二进制软件包 Linux上用于安装 rEalize Log Insight代理的命令行选项 rEalize Log Insight代理的自动更新 下载代理安装文件 设置 vRealize Log Insight代理的第一步是下载适用于您的平台的代理安装软件包 从 vRealize Log Insight服务器代理页面中下载的所有软件包在软件包名称后面附加了目标主机名。在初始 安装MS、RPM和DEB代理的过程中将应用 server hostname。如果主机名在配置文件中已存在,或者按 主机名参数运行软件包,则会忽略嵌入的服务器主机名 1导航到 vRealize Log InsightWeb用户界面的管理页面。 在“管理”部分中,单击代理 3滚动到屏幕底部并单击下载 Log Insight代理, 4从弹出菜单中选择一个安装软件包,然后单击保存以下载该软件包 选项 描述 Windows Ms 适用于 Windows平台(32位64位)的安装软件包 Linux rPM 适用于 Linux Red hat、 open SuSE(32位64位)或 VMware Photon platform的 安装软件包 Linux DEB 适用于 Linux Debian平台(32位64位)的安装软件包 LinUx bIN 用于 Linux(32位4位)的自安装软件包。不需要使用软件包管理系 使用已下载的文件部署 rEalize Log Insight代理
如果您使用 rpm 或 DEB 软件包安装 Linux 代理,将在软件包安装过程中安装名为 liagentd 的 init.d 脚本。 bin 软件包添加该脚本,但不会注册该脚本。您可以手动注册脚本。 您可以运行 (/sbin/) 服务 liagentd status 命令以验证安装是否成功。 本章讨论了以下主题: n 下载代理安装文件 n 安装 Windows 代理 n 安装或更新 vRealize Log InsightLinux 代理 RPM 软件包 n 安装或更新 vRealize Log InsightLinux 代理 DEB 软件包 n 自定义 Debian Linux 的代理安装 n 安装 Log Insight Linux Agent 二进制软件包 n Linux 上用于安装 vRealize Log Insight 代理的命令行选项 n vRealize Log Insight 代理的自动更新 下载代理安装文件 设置 vRealize Log Insight 代理的第一步是下载适用于您的平台的代理安装软件包。 从 vRealize Log Insight 服务器代理页面中下载的所有软件包在软件包名称后面附加了目标主机名。在初始 安装 MSI、RPM 和 DEB 代理的过程中将应用 server.hostname。如果主机名在配置文件中已存在,或者按 主机名参数运行软件包,则会忽略嵌入的服务器主机名。 步骤 1 导航到 vRealize Log InsightWeb 用户界面的管理页面。 2 在“管理”部分中,单击代理。 3 滚动到屏幕底部并单击下载 Log Insight 代理, 4 从弹出菜单中选择一个安装软件包,然后单击保存以下载该软件包。 选项 描述 Windows MSI 适用于 Windows 平台(32 位/64 位)的安装软件包 Linux RPM 适用于 Linux Red Hat、openSuSE(32 位/64 位)或 VMware Photon Platform 的 安装软件包 Linux DEB 适用于 Linux Debian 平台(32 位/64 位)的安装软件包 Linux BIN 适用于 Linux(32 位/64 位)的自安装软件包。不需要使用软件包管理系统。 下一步 使用已下载的文件部署 vRealize Log Insight 代理。 使用 vRealize Log Insight 代理 VMware, Inc. 10