Cấu hình đẩy log ESXi về Splunk
Để cấu hình đẩy log ESXi về Splunk, tiến hành đăng nhập ESXi. Sau đó chọn Host > Manage > System > Advanced settings:
Tìm kiếm tới phần Syslog.global.logHost:
Chọn Syslog.global.logHost, sau đó chọn Edit option:
Trong phần New Value, nhập giá trị như sau: udp://10.x.x.212:514 , sau đó chọn Save. Trong đó các giá trị tương ứng như sau:
- udp: Chọn giao thức đẩy log
- 10.x.x.212: địa chỉ IP của Remote syslog servers( địa chỉ IP nhận log của hệ thống Splunk).
- 514: Nhập số port của log vCenter (tùy sizing datasource trên Splunk để có port cho từng datasource)
Tiếp theo, tiến hành mở rules Firewall. Chọn Networking > Firewall rules:
Tìm kiếm và đi đến phần syslog như hình dưới:
Chọn phần syslog, chọn phần Edit setting , cấu hình Outgoing Ports có giá trị 514, Protocols UDP như hình dưới đây:
Sau khi hoàn thành cấu hình, chọn Actions > Enable để bật rules trên Firewall:
Sau khi Enable rule, trạng thái rule syslog như sau:
Truy cập hệ thống Splunk, kiểm tra xem đã có đủ và đúng log của DELL iDRAC hay chưa ( chú ý, đã sử dụng Citrix để đổi port đẩy log của ESXi từ 514 sang 5532):
Như vậy, đã hoàn thành đẩy log ESXi về hệ thống Splunk.
