vSphere ESXi 5.0将系统日志托pipe到Graylog2 – 已整理的日志条目
我只是设置graylog2(这是真棒)是我的虚拟化环境的系统日志服务器。 我所有的主机和交换机正在愉快地login到graylog2,这是绘制一些漂亮的graphics。 到现在为止还挺好。
但是,当涉及到从我的vSphere 5.0主机的日志,我遇到了一些问题。 我将全局syslog设置configuration为拥有udp://loghost:514的远程主机,然后转到graylog控制台查看有哪些消息进来。由于某些原因,graylog2在“主机”列中logging了日志严重性:
该屏幕截图显示了一些localhost日志条目是正确的,并且在某些vSphere主机条目之上显然没有。 所有vsphere条目都以local local4并且具有Informational的严重性。
- 启动脚本的输出没有被logging到system.log
- 当configurationrsysloglogin到mysql数据库时,SystemEventsProperties表的目的是什么?
- Nginxlogin到TCP端口上的syslog
- 在发送到远程收集器之前,在rsyslog v7中重写设施/严重性
- 从syslogd迁移到syslog-ng期间的FQDN
我唯一一次遇到这个问题的时候,是从我的Cisco 3750交换机那里,我不得不明确地设置系统日志转发格式为syslog ,否则我会在“主机”列中得到各种奇怪的条目。
这是vSphere的问题,还是在Graylog2中的错误? 我还没有遇到任何其他人有这个问题,所以不知道从哪里开始寻找。
这可能是因为VSphere不符合Graylog2预期的系统日志格式 – 通常在这种情况下,我会在Graylog2服务器上设置一个logstash实例来接收传入的日志stream,并使用Grokfilter来撷取日志转换为Graylog2将以与您的其他系统日志条目正在接收相同的方式接受的格式。
您可以configurationLogstash侦听(例如)端口1514,并有一个输出插件发送到Graylog2 – http://logstash.net/docs/1.4.2/outputs/gelf …这也可以让你检查接收到的日志,看它们是否与接收到的其他系统日志条目格式相同。