Splunk Cấu hình đẩy log ESXi về Splunk

Để cấu hình đẩy log ESXi về Splunk, tiến hành đăng nhập ESXi. Sau đó chọn Host > Manage > System > Advanced settings:




Tìm kiếm tới phần Syslog.global.logHost:




Chọn Syslog.global.logHost, sau đó chọn Edit option:




Trong phần New Value, nhập giá trị như sau: udp://10.x.x.212:514 , sau đó chọn Save. Trong đó các giá trị tương ứng như sau:

• udp: Chọn giao thức đẩy log
• 10.x.x.212: địa chỉ IP của Remote syslog servers( địa chỉ IP nhận log của hệ thống Splunk).
• 514: Nhập số port của log vCenter (tùy sizing datasource trên Splunk để có port cho từng datasource)

Tiếp theo, tiến hành mở rules Firewall. Chọn Networking > Firewall rules:





Tìm kiếm và đi đến phần syslog như hình dưới:





Chọn phần syslog, chọn phần Edit setting , cấu hình Outgoing Ports có giá trị 514, Protocols UDP như hình dưới đây:




Sau khi hoàn thành cấu hình, chọn Actions > Enable để bật rules trên Firewall:




Sau khi Enable rule, trạng thái rule syslog như sau:





Truy cập hệ thống Splunk, kiểm tra xem đã có đủ và đúng log của DELL iDRAC hay chưa ( chú ý, đã sử dụng Citrix để đổi port đẩy log của ESXi từ 514 sang 5532):


Như vậy, đã hoàn thành đẩy log ESXi về hệ thống Splunk.