ฉันเพิ่งตั้งค่า greylog2 (ซึ่งยอดเยี่ยมมาก) ให้เป็นเซิร์ฟเวอร์ syslog สำหรับสภาพแวดล้อมเสมือนจริงของฉัน โฮสต์และสวิตช์ทั้งหมดของฉันกำลังออกจากระบบ greylog2 อย่างมีความสุข ซึ่งกำลังวาดกราฟที่สวยงาม จนถึงตอนนี้ดีมาก

อย่างไรก็ตาม เมื่อพูดถึงการส่งต่อบันทึกจากโฮสต์ vSphere 5.0 ของฉัน ฉันพบปัญหาบางอย่าง ฉันกำหนดการตั้งค่า syslog สากลให้มีโฮสต์ระยะไกลudp://loghost:514และไปที่คอนโซล greylog เพื่อดูว่ามีข้อความใดบ้าง ด้วยเหตุผลบางประการ greylog2 จะบันทึกความรุนแรงของบันทึกในคอลัมน์ 'โฮสต์':

ภาพหน้าจอแสดงlocalhostรายการบันทึกบางรายการที่ถูกต้อง และเหนือกว่ารายการโฮสต์ vSphere บางรายการซึ่งเห็นได้ชัดว่าไม่ใช่ รายการ vsphere ทั้งหมดเข้ามาเป็นสิ่งอำนวยความสะดวกlocal4และมีความรุนแรงของInformational.

ครั้งเดียวที่ฉันมีปัญหากับสิ่งนี้คือจากสวิตช์ Cisco 3750 ของฉันซึ่งฉันต้องตั้งค่ารูปแบบการส่งต่อ syslog อย่างชัดเจนเป็นsyslogมิฉะนั้นฉันจะได้รับรายการแปลก ๆ ทุกประเภทในคอลัมน์ 'โฮสต์'

นี่เป็นปัญหากับ vSphere หรือข้อบกพร่องภายใน greylog2 หรือไม่ ฉันไม่เคยเจอใครที่มีปัญหานี้ เลยไม่แน่ใจว่าจะเริ่มมองหาที่ไหน

answer

อาจเป็นไปได้ว่า VSphere ไม่เป็นไปตามรูปแบบ syslog ที่คาดไว้ซึ่ง Graylog2 คาดหวัง - โดยปกติในกรณีเหล่านี้ ฉันจะตั้งค่าอินสแตนซ์ logstash บนเซิร์ฟเวอร์ Graylog2 เพื่อรับสตรีมบันทึกขาเข้า และใช้ตัวกรอง grok เพื่อแก้ไขบันทึก ในรูปแบบที่ Graylog2 จะยอมรับในลักษณะเดียวกับที่ได้รับรายการ syslog อื่นๆ ของคุณ

คุณสามารถกำหนดค่า Logstash ให้ฟัง (เช่น) พอร์ต 1514 และมีปลั๊กอินเอาต์พุตที่ส่งไปยัง Graylog2 - http://logstash.net/docs/1.4.2/outputs/gelf ... สิ่งนี้จะช่วยให้คุณ ตรวจสอบบันทึกที่ได้รับ เพื่อดูว่าบันทึกอยู่ในรูปแบบเดียวกับรายการ syslog อื่นๆ ที่ได้รับหรือไม่