Guide d'administration de vrealize Log Insight de VMware

Transcription

1 Guide d'administration de vrealize Log Insight de VMware vrealize Log Insight 2.5 Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées par la suite jusqu'au remplacement dudit document par une nouvelle édition. Pour rechercher des éditions plus récentes de ce document, rendez-vous sur : FR

2 Guide d'administration de vrealize Log Insight de VMware Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse : Le site Web de VMware propose également les dernières mises à jour des produits. N hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l adresse suivante : [email protected] Copyright 2014 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques. VMware, Inc Hillview Ave. Palo Alto, CA VMware, Inc Quartier Boieldieu Paris La Défense France 2 VMware, Inc.

3 Table des matières À propos du Guide d'administration de vrealize Log Insight 5 1 Administration de Log Insight 7 Configurer le mot de passe SSH racine du dispositif virtuel Log Insight 8 Modifier les paramètres réseau du vapp Log Insight 9 Attribuer une licence permanente à Log Insight 9 Mise à niveau de versions antérieures de Log Insight 10 Gérer un cluster Log Insight 13 Activer l'équilibrage de charge intégré 18 Vérifier la santé du dispositif virtuel Log Insight 19 Surveiller les hôtes qui envoient des événements de journaux 21 Surveiller l'état des agents Windows et Linux de Log Insight 21 Gestion des comptes d'utilisateurs dans Log Insight 22 Présentation de Log Insight Windows Agent 28 Présentation de Log Insight Linux Agent 45 Dépannage de Log Insight Agents 53 Configurer les alertes système de Log Insight 60 Synchroniser l'heure sur le dispositif virtuel Log Insight 66 Configurer le serveur SMTP pour Log Insight 66 Intégration Log Insight à d'autres produits VMware 67 Activer ou désactiver l'archivage des données dans Log Insight 83 Permettre l'authentification utilisateur à travers Active Directory 84 Installez un certificat SSL personnalisé en utilisant l'interface Web de Log Insight 86 Modifier le délai d'expiration par défaut des sessions Web de Log Insight 92 Format des fichiers d'archives de Log Insight 92 Importer une archive Log Insight dans Log Insight 93 Exporter une archive Log Insight vers un fichier texte brut ou au format JSON 93 Configurer le transfert d'événements de Log Insight avec SSL 94 Ajouter une destination de transfert d événements de Log Insight 95 Redémarrer le service Log Insight 96 Mettre le dispositif virtuel Log Insight hors tension 97 Ajouter de la mémoire et des CPU au dispositif virtuel Log Insight 97 Arrêter d'envoyer des données de suivi à VMware 98 2 Dépannage de Log Insight 99 Les journaux ESXi cessent d'arriver dans Log Insight 99 L'espace disque de Log Insight est épuisé 100 Télécharger un bundle de support Log Insight 101 Créer un bundle de support de Log Insight à l'aide de la console du dispositif virtuel 101 Réinitialiser le mot de passe de l'utilisateur Admin 102 Réinitialiser le mot de passe de l'utilisateur racine 102 Des alertes n'ont pas pu être envoyées à vrealize Operations Manager 103 VMware, Inc. 3

4 Guide d'administration de vrealize Log Insight de VMware Impossible de se connecter à l'aide des informations d'identification Active Directory 104 SMTP ne fonctionne pas lorsque l'option STARTTLS est activée 104 La mise à niveau échoue du fait que la signature du fichier.pak ne peut pas être validée 105 La mise à niveau échoue en générant une erreur de serveur interne 106 Index VMware, Inc.

5 À propos du Guide d'administration de vrealize Log Insight Le Guide d'administration de VMware vrealize Log Insight vous explique comment administrer Log Insight, y compris la gestion des comptes d'utilisateurs, l'intégration à d'autres produits VMware et le dépannage de problèmes courants. Public visé Ces informations sont destinées à toutes les personnes qui souhaitent administrer Log Insight. Elles sont destinées aux administrateurs Windows ou Linux expérimentés qui maîtrisent les technologies de machine virtuelle et les opérations de centre de données. VMware, Inc. 5

6 Guide d'administration de vrealize Log Insight de VMware 6 VMware, Inc.

7 Administration de Log Insight 1 Les utilisateurs Admin peuvent réaliser des tâches d'administration standard dans la section Administration de l'interface utilisateur Web de Log Insight. Certaines modifications apportées à la configuration de Log Insight ne sont appliquées qu'après redémarrage du service loginsight. Les modifications relatives à la configuration de l'heure, à l'intégration de vsphere et à l'authentification ne requièrent pas de redémarrage. Ce chapitre aborde les rubriques suivantes : «Configurer le mot de passe SSH racine du dispositif virtuel Log Insight», page 8 «Modifier les paramètres réseau du vapp Log Insight», page 9 «Attribuer une licence permanente à Log Insight», page 9 «Mise à niveau de versions antérieures de Log Insight», page 10 «Gérer un cluster Log Insight», page 13 «Activer l'équilibrage de charge intégré», page 18 «Vérifier la santé du dispositif virtuel Log Insight», page 19 «Surveiller les hôtes qui envoient des événements de journaux», page 21 «Surveiller l'état des agents Windows et Linux de Log Insight», page 21 «Gestion des comptes d'utilisateurs dans Log Insight», page 22 «Présentation de Log Insight Windows Agent», page 28 «Présentation de Log Insight Linux Agent», page 45 «Dépannage de Log Insight Agents», page 53 «Configurer les alertes système de Log Insight», page 60 «Synchroniser l'heure sur le dispositif virtuel Log Insight», page 66 «Configurer le serveur SMTP pour Log Insight», page 66 «IntégrationLog Insight à d'autres produits VMware», page 67 «Activer ou désactiver l'archivage des données dans Log Insight», page 83 «Permettre l'authentification utilisateur à travers Active Directory», page 84 «Installez un certificat SSL personnalisé en utilisant l'interface Web de Log Insight», page 86 «Modifier le délai d'expiration par défaut des sessions Web de Log Insight», page 92 «Format des fichiers d'archives de Log Insight», page 92 VMware, Inc. 7

8 Guide d'administration de vrealize Log Insight de VMware «Importer une archive Log Insight dans Log Insight», page 93 «Exporter une archive Log Insight vers un fichier texte brut ou au format JSON», page 93 «Configurer le transfert d'événements de Log Insight avec SSL», page 94 «Ajouter une destination de transfert d événements de Log Insight», page 95 «Redémarrer le service Log Insight», page 96 «Mettre le dispositif virtuel Log Insight hors tension», page 97 «Ajouter de la mémoire et des CPU au dispositif virtuel Log Insight», page 97 «Arrêter d'envoyer des données de suivi à VMware», page 98 Configurer le mot de passe SSH racine du dispositif virtuel Log Insight Par défaut, la connexion SSH au dispositif virtuel est désactivée. Pour activer les connexions SSH, vous devez configurer le mot de passe SSH racine à partir de la VMware Remote Console. Vérifiez que le dispositif virtuel Log Insight est déployé et en cours d'exécution. 1 Dans l'inventaire vsphere Client, cliquez sur le dispositif virtuel Log Insight, puis ouvrez l'onglet Console. 2 Accédez à une ligne de commande en utilisant la combinaison de touches indiquée sur l'écran de démarrage. 3 Dans la console, tapez root, puis appuyez sur la touche Entrée. Laissez le champ du mot de passe vide, puis appuyez sur la touche Entrée. La console affiche le message suivant : Le mot de passe doit être changé. Choisissez un nouveau mot de passe. 4 Laissez le champ de l'ancien mot de passe vide, puis appuyez sur la touche Entrée. 5 Tapez le nouveau mot de passe de l'utilisateur racine, appuyez sur la touche Entrée, tapez une deuxième fois le nouveau mot de passe de l'utilisateur racine, puis appuyez de nouveau sur la touche Entrée. Le mot de passe doit être composé d'un minimum de 8 caractères et doit inclure au moins une majuscule, une minuscule, un chiffre et un caractère spécial. Le même caractère ne doit pas être répété plus de quatre fois. Le message suivant s'affiche : Mot de passe modifié. Suivant Le mot de passe racine ne peut pas être utilisé pour établir des connexions SSH au dispositif virtuel Log Insight. 8 VMware, Inc.

9 Chapitre 1 Administration de Log Insight Modifier les paramètres réseau du vapp Log Insight Vous pouvez modifier les paramètres réseau du dispositif virtuel de Log Insight en modifiant les propriétés du vapp dans vsphere Client. Vérifiez que vous disposez des autorisations requises pour modifier les propriétés du vapp. 1 Mettez le vapp Log Insight hors tension. 2 Cliquez avec le bouton droit sur le vapp Log Insight dans l'inventaire, puis cliquez sur Modifier les paramètres. 3 Cliquez sur l'onglet Options, puis sélectionnez Options vapp > Stratégie d'allocation d'adresses IP. 4 Sélectionnez une option d'allocation d'ip. Option Fixe Transitoire DHCP Description Les adresses IP sont configurées manuellement. Aucune allocation automatique n'est effectuée. Les adresses IP sont allouées automatiquement grâce aux pools IP provenant d'une plage spécifiée quand le vapp est sous tension. Les adresses IP sont libérées quand le dispositif est mis hors tension. Un serveur DHCP est utilisé pour allouer les adresses IP. Les adresses assignées par le serveur DHCP sont visibles dans les environnements OVF des machines virtuelles démarrées dans le vapp. 5 (Facultatif) Si vous sélectionnez Fixe, cliquez sur Options vapp > Propriétés et attribuez une adresse IP, un masque réseau, une passerelle, un nom d'hôte et un DNS pour le vapp de Log Insight. AVERTISSEMENT N'indiquez pas plus de deux serveurs de noms de domaine. Si vous en indiquez plus de deux, le dispositif virtuel Log Insight ignore tous les serveurs de noms de domaine configurés. 6 Mettez le vapp Log Insight sous tension. Attribuer une licence permanente à Log Insight Vous pouvez utiliser Log Insight uniquement si vous disposez d'une clé de licence valide. Lorsque vous téléchargez Log Insightsur le site Web de VMware, vous obtenez une licence d'évaluation qui est valide pendant 60 jours. Une fois que la licence d'évaluation a expiré, vous devez attribuer une licence permanente à Log Insight pour pouvoir continuer à l'utiliser. Utilisez la section Administration de l'interface utilisateur Web de Log Insight pour vérifier l'état de la licence de Log Insight et la gérer. Obtenez une clé de licence valide sur My VMware. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. VMware, Inc. 9

10 Guide d'administration de vrealize Log Insight de VMware 2 Sous Gestion, sélectionnez Licence. 3 Dans la zone de texte Clé de licence, tapez votre clé de licence, puis cliquez sur Définir la clé. 4 Vérifiez que l'état de la licence est Actif, et que le type de licence et sa date d'expiration sont corrects. Mise à niveau de versions antérieures de Log Insight La procédure de mise à niveau à suivre varie en fonction de la version installée de Log Insight que vous souhaitez mettre à niveau. Version installée Version de mise à niveau de mise à niveau Log Insight 1.0 GA et 1.5 TP1 Log Insight 1.5 GA Reportez-vous à «Mettre à niveau Log Insight avec l'interface de ligne de commande», page 10. Log Insight 1.5 TP2 et version ultérieure Log Insight 1.5 GA Reportez-vous à «Mettre à niveau Log Insight 1.5 à l'aide de l'interface Web», page 11. Log Insight 1.5 GA Log Insight 2.0 Bêta Voir «Mettre à niveau Log Insight 1.5 GA et version ultérieure à l'aide de l'interface Web», page 12 et «Mettre à niveau un nœud travailleur dans un cluster de Log Insight», page 16 Log Insight 1.5 GA Log Insight 2.0 GA en mode cluster 1 «Mettre à niveau Log Insight 1.5 GA et version ultérieure à l'aide de l'interface Web», page «Ajouter un nœud travailleur à un cluster Log Insight», page 13 Log Insight 2.0 nœud autonome bêta Log Insight 2.0 GA Reportez-vous à «Mettre à niveau Log Insight 1.5 GA et version ultérieure à l'aide de l'interface Web», page 12 Log Insight 2.0 nœud travailleur bêta Log Insight 2.0 GA Reportez-vous à «Mettre à niveau un nœud travailleur dans un cluster de Log Insight», page 16 Log Insight 2.0 GA nœud autonome Log Insight 2.5 bêta Reportez-vous à «Mettre à niveau Log Insight 1.5 GA et version ultérieure à l'aide de l'interface Web», page 12 Log Insight 2.0 GA nœud travailleur Log Insight 2.5 bêta Reportez-vous à «Mettre à niveau un nœud travailleur dans un cluster de Log Insight», page 16 Log Insight 2.5 bêta nœud autonome Log Insight 2.5 GA Reportez-vous à «Mettre à niveau Log Insight 1.5 GA et version ultérieure à l'aide de l'interface Web», page 12 Log Insight 2.5 nœud travailleur bêta Log Insight 2.5 GA Reportez-vous à «Mettre à niveau un nœud travailleur dans un cluster de Log Insight», page 16 Mettre à niveau Log Insight avec l'interface de ligne de commande Log Insight 1.0 GA et 1.5 TP1 ne dispose pas d'une interface utilisateur pour la mise à niveau. Vous devez donc utiliser une interface de ligne de commande pour mettre à jour ces versions vers Log Insight 1.5. Pour Log Insight 1.5 TP2 et version ultérieure, vous devez effectuer la mise à niveau à l'aide de l'interface utilisateur d'administration. Reportez-vous à «Mettre à niveau Log Insight 1.5 à l'aide de l'interface Web», page VMware, Inc.

11 Chapitre 1 Administration de Log Insight Cette procédure requiert l'utilisation de la console du dispositif virtuel, mais SSH est également valable. REMARQUE Pendant le processus de mise à niveau, tous les utilisateurs actifs de l'instance de Log Insight sont déconnectés. Vérifiez que vous avez défini le mot de passe de l'utilisateur racine sur le dispositif virtuel Log Insight de manière à activer SSH et à permettre les opérations de console. Reportez-vous à «Configurer le mot de passe SSH racine du dispositif virtuel Log Insight», page 8. Créez un snapshot ou une copie de sauvegarde du dispositif virtuel Log Insight. Obtenez une copie du fichier.rpm du bundle de mise à niveau de Log Insight. 1 Téléchargez le fichier.rpm sur un hôte disposant d'un accès SSH au dispositif virtuel Log Insight. 2 Utilisez le protocole SCP (Secure Copy Protocol) pour copier le fichier.rpm sur le dispositif virtuel Log Insight. Système d'exploitation Linux Commande/Outil scp path to the RPM file/loginsight-cloudvm-version-loginsight-buildnumber.x86_64.rpm root@<loginsightiporhostname>:~ Windows Pour les systèmes Windows, téléchargez un client SCP, tel que WinSCP. 3 Utilisez la console de vsphere Client pour vous connecter au dispositif virtuel Log Insight en tant qu'utilisateur racine. 4 Exécutez la commande service loginsight stop. 5 Exécutez la commande rpm -Uvh loginsight-cloudvm-<version>-<log-insight-buildnumber>.x86_64.rpm et attendez que la mise à niveau soit terminé. 6 Exécutez la commande service loginsight start. 7 Vérifiez que vous pouvez vous connecter à l'interface utilisateur Web de Log Insight. RAPPEL Le format de l'url est où log-insight-host correspond à l'adresse IP ou au nom d'hôte du dispositif virtuel Log Insight. Si une page d'erreur s'affiche, connectez-vous en tant qu'utilisateur racine à la console du dispositif virtuel, puis exécutez la commande service loginsight restart pour redémarrer le service loginsight. Mettre à niveau Log Insight 1.5 à l'aide de l'interface Web Les utilisateurs Admin peuvent mettre à niveau Log Insight 1.5 TP2 et version ultérieure à l'aide de l'interface utilisateur d'administration. REMARQUE Pendant le processus de mise à niveau, tous les utilisateurs actifs de l'instance de Log Insight sont déconnectés. Créez un snapshot ou une copie de sauvegarde du dispositif virtuel Log Insight. Obtenez une copie du fichier.rpm du bundle de mise à niveau de Log Insight. VMware, Inc. 11

12 Guide d'administration de vrealize Log Insight de VMware Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Dispositif. 3 Cliquez sur Télécharger RPM et accédez au fichier.rpm. 4 Cliquez sur Mettre à niveau. Log Insight télécharge le fichier.rpm vers le dispositif virtuel et une boîte de dialogue de confirmation s'affiche. 5 Cliquez sur Mettre à niveau pour confirmer. 6 Acceptez le nouveau CLUF pour terminer la procédure de mise à niveau. Mettre à niveau Log Insight 1.5 GA et version ultérieure à l'aide de l'interface Web Les utilisateurs Admin peuvent mettre à niveau Log Insight 1.5 GA et version ultérieure à l'aide de l'interface utilisateur d'administration. REMARQUE Pendant le processus de mise à niveau, tous les utilisateurs actifs de l'instance de Log Insight sont déconnectés. Créez un snapshot ou une copie de sauvegarde du dispositif virtuel Log Insight. Obtenez une copie du fichier.pak du bundle de mise à niveau de Log Insight. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Dispositif. 3 Cliquez sur Télécharger le fichier PAK et recherchez le fichier.pak. 4 Cliquez sur Mettre à niveau. Log Insight télécharge le fichier.pak sur le dispositif virtuel et affiche une boîte de dialogue de confirmation. 5 Cliquez sur Mettre à niveau pour confirmer. 6 Acceptez le nouveau CLUF pour terminer la procédure de mise à niveau. Suivant Vous pouvez déployer une nouvelle instance du dispositif virtuel Log Insight et l'ajouter au nœud Log Insight existant pour former un cluster. Le nœud existant devient un nœud maître et la nouvelle instance de Log Insight déployée devient un nœud travailleur. Reportez-vous à «Ajouter un nœud travailleur à un cluster Log Insight», page VMware, Inc.

13 Chapitre 1 Administration de Log Insight Gérer un cluster Log Insight Vous pouvez ajouter, supprimer ou mettre à niveau les nœuds d'un cluster Log Insight à l'aide de l'interface Web de Log Insight. Ajouter un nœud travailleur à un cluster Log Insight Déployez une nouvelle instance du dispositif virtuel Log Insight et ajoutez-la à un nœud maître Log Insight existant. 1 Déployer le dispositif virtuel Log Insight page 13 Téléchargez le dispositif virtuel Log Insight. VMware distribue le dispositif virtuel Log Insight sous forme de fichier.ova. Vous pouvez déployer le dispositif virtuel Log Insight à l'aide de vsphere Client. 2 Rejoindre un déploiement existant page 15 Une fois que vous avez déployé et configuré un nœud autonome Log Insight, vous pouvez déployer une nouvelle instance de Log Insight et l'ajouter au nœud existant afin de créer un cluster Log Insight. Déployer le dispositif virtuel Log Insight Téléchargez le dispositif virtuel Log Insight. VMware distribue le dispositif virtuel Log Insight sous forme de fichier.ova. Vous pouvez déployer le dispositif virtuel Log Insight à l'aide de vsphere Client. Vérifiez que vous disposez d'une copie du fichier.ova du dispositif virtuel Log Insight. Vérifiez que vous disposez des autorisations requises pour déployer les modèles OVF dans l'inventaire. Vérifiez que votre environnement dispose des ressources nécessaires à la mise en place de la configuration minimale requise pour le dispositif virtuel Log Insight. Reportez-vous à la rubrique Configuration minimale requise du Guide de démarrage de VMware vrealize Log Insight. Assurez-vous de prendre connaissance des recommandations en matière de dimensionnement pour le dispositif virtuel. Reportez-vous à la rubrique Dimensionnement du dispositif virtuel Log Insight du Guide de démarrage de VMware vrealize Log Insight. 1 Dans vsphere Client, sélectionnez Fichier > Déployer le modèle OVF. 2 Suivez les invites de l'assistant Déployer le modèle OVF. 3 Sur la page Configuration de déploiement, sélectionnez la taille du dispositif virtuel Log Insight à partir de la taille de l'environnement dans lequel vous souhaitez collecter les journaux. L'option Petite correspond à la configuration minimale requise pour les environnements de production. Option Taux d'ingestion des journaux vcpu Mémoire IOPS Connexions Syslog Événements par seconde Très petite 3 Go/jour 2 4 Go Petite 15 Go/jour 4 8 Go VMware, Inc. 13

14 Guide d'administration de vrealize Log Insight de VMware Option Taux d'ingestion des journaux vcpu Mémoire IOPS Connexions Syslog Événements par seconde Moyenne 37,5 Go/jour 8 16 Go Grande 112,5 Go/jour Go REMARQUE Si vous choisissez Grande, vous devez effectuer la mise à niveau du matériel virtuel sur la machine virtuelle Log Insight après le déploiement. 4 Sur la page Format de disque, sélectionnez un format de disque. Provisionnement statique mis à zéro en différé crée un disque virtuel dans un format épais par défaut. L'espace nécessaire pour le disque virtuel est alloué lorsque le disque virtuel est créé. Les données restant sur le périphérique physique ne sont pas effacées lors de la création. Elles sont mises à zéro ultérieurement à la demande, lors de la première écriture effectuée par la machine virtuelle. Provisionnement statique immédiatement mis à zéro crée un type de disque virtuel statique qui prend en charge des fonctions de mise en cluster telles que la tolérance aux pannes. L'espace nécessaire au disque virtuel est alloué lors de la création. Contrairement au format plat, les données qui restent sur le périphérique physique sont mises à zéro lors de la création du disque virtuel. La création de disques à ce format peut être plus longue que pour d'autres types de disques. IMPORTANT Autant que possible, déployez le dispositif virtuel Log Insight sur des disques à provisionnement statique immédiatement mis à zéro pour obtenir de meilleures performances et un fonctionnement optimal. Provisionnement dynamique crée un disque dans le format léger. Le disque se développe à mesure que les données qui y sont enregistrées augmentent. Si votre périphérique de stockage ne prend pas en charge les disques à provisionnement statique ou si vous souhaitez conserver l'espace disque inutilisé sur le dispositif virtuel Log Insight, déployez ce dernier à l'aide de disques à provisionnement dynamique. REMARQUE La réduction de disques sur le dispositif virtuel Log Insight n'est pas prise en charge et peut entraîner la corruption ou la perte des données. 5 (Facultatif) Sur la page Propriétés, définissez les paramètres de mise en réseau du dispositif virtuel Log Insight. Si vous n'indiquez pas de paramètres réseau (comme l'adresse IP, les serveurs DNS et la passerelle), Log Insight les définit par le biais du protocole DHCP. AVERTISSEMENT N'indiquez pas plus de deux serveurs de noms de domaine. Si vous en indiquez plus de deux, le dispositif virtuel Log Insight ignore tous les serveurs de noms de domaine configurés. Séparez les serveurs de noms de domaine par une virgule. 6 (Facultatif) Sur la page Propriétés, définissez le mot de passe racine du dispositif virtuel Log Insight. 7 Suivez les invites pour finaliser le déploiement. Pour plus d'informations sur le déploiement des dispositifs virtuels, reportez-vous au Guide de l'utilisateur pour le déploiement des vapps et des dispositifs virtuels. Après la mise sous tension du dispositif virtuel, le processus d'initialisation commence. Ce processus peut prendre plusieurs minutes ; lorsque celui-ci est terminé, le dispositif virtuel redémarre. 14 VMware, Inc.

15 Chapitre 1 Administration de Log Insight 8 Allez à l'onglet Console et vérifiez l'adresse IP du dispositif virtuel Log Insight. Préfixe d'adresse IP Description DHCP est correctement configuré sur le dispositif virtuel. La configuration de DHCP sur le dispositif virtuel a échoué. a b c Mettez le dispositif virtuel Log Insight hors tension. Cliquez avec le bouton droit sur le dispositif virtuel et sélectionnez Modifier les paramètres. Définissez une adresse IP statique pour le dispositif virtuel. Suivant Pour activer les connexions SSH au dispositif virtuel Log Insight, configurez le mot de passe racine dans la console du dispositif virtuel. Reportez-vous à la rubrique Configurer le mot de passe SSH racine du dispositif virtuel Log Insight du Guide d'administration de Log Insight. Si vous souhaitez configurer un déploiement autonome de Log Insight, reportez-vous à la rubrique Configurer un nouveau déploiement de Log Insight du Guide de démarrage de Log Insight. L'interface Web de Log Insight est disponible à l'adresse où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. Rejoindre un déploiement existant Une fois que vous avez déployé et configuré un nœud autonome Log Insight, vous pouvez déployer une nouvelle instance de Log Insight et l'ajouter au nœud existant afin de créer un cluster Log Insight. Log Insight a la possibilité de monter en charge en utilisant plusieurs instances de dispositif virtuel. Grâce à cela, le débit d'ingestion évolue de manière linéaire, les performances des requêtes sont améliorées et l'ingestion est hautement disponible. En mode cluster, Log Insight fournit les nœuds maître et travailleurs. Ces deux types de nœuds sont responsables d'un sous-ensemble de données ; un nœud maître peut interroger tous les sous-ensembles de données et agréger les résultats. IMPORTANT Il est vivement recommandé de configurer au minimum trois nœuds dans un cluster Log Insight afin d'assurer l'ingestion, la configuration et la haute disponibilité de l'espace utilisateur. Dans vsphere Client, notez l'adresse IP du dispositif virtuel Log Insight travailleur. Vérifiez que vous disposez de l'adresse IP ou du nom de domaine du dispositif virtuel Log Insight maître. Vérifiez que vous disposez d'un compte d'administrateur sur le dispositif virtuel Log Insight maître. Vérifiez que les versions des nœuds maître et travailleurs de Log Insight sont synchronisées. N'ajoutez pas une ancienne version travailleur de Log Insight à une nouvelle version de nœud maître de Log Insight. Vous devez synchroniser l'heure sur le dispositif virtuel Log Insight Linux Agent avec un serveur NTP. Reportez-vous à la rubrique Synchroniser l'heure sur le dispositif virtuel Log Insight dans le Guide d'administration de Log Insight. Pour plus d'informations sur les versions du navigateur prises en charge, reportez-vous à la rubrique Configuration minimale requise du Guide de démarrage de VMware vrealize Log Insight. VMware, Inc. 15

16 Guide d'administration de vrealize Log Insight de VMware 1 Utilisez un navigateur pris en charge pour accéder à l'interface utilisateur Web du Log Insight travailleur. Le format de l'url est où log_insight-host correspond à l'adresse IP ou au nom d'hôte du dispositif virtuel Log Insight travailleur. L'assistant de configuration initiale s'ouvre. 2 Cliquez sur Rejoindre un déploiement existant. 3 Entrez l'adresse IP ou le nom d'hôte du Log Insight maître, puis cliquez sur Aller à. Le travailleur envoie au Log Insight maître une demande pour rejoindre le déploiement existant. 4 Cliquez sur le lien Cliquez ici pour accéder à la page Gestion de cluster. 5 Connectez-vous en tant qu'administrateur. La page Cluster se charge. 6 Cliquez sur Autoriser. Le travailleur rejoint le déploiement existant et Log Insight commence à fonctionner dans un cluster. Suivant Pour ajouter un autre travailleur, déployez une nouvelle instance de Log Insight et ajoutez-la au cluster à l'aide de l'assistant de configuration. Reprenez la procédure pour ajouter au minimum deux nœuds travailleurs de Log Insight. Mettre à niveau un nœud travailleur dans un cluster de Log Insight Vous pouvez mettre à niveau un ou plusieurs nœuds travailleurs dans un cluster de Log Insight. Le nœud maître de Log Insight met à jour les nœuds travailleurs centralement par le biais de l'interface utilisateur Web. IMPORTANT Toujours ajouter ou mettre à niveau des nœuds du cluster de Log Insight séquentiellement. Ne pas ajouter ou mettre à niveau des nœuds travailleurs en parallèle, car cela pourrait causer des problèmes de cohérence. Créez un snapshot ou une copie de sauvegarde du dispositif virtuel Log Insight. Obtenez une copie du fichier.pak du bundle de mise à niveau de Log Insight. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. Mettre à niveau le nœud maître du cluster de Log Insight. Reportez-vous à «Mettre à niveau Log Insight 1.5 GA et version ultérieure à l'aide de l'interface Web», page 12. Si vous utilisez un équilibrage de charge externe, sortez le nœud de l'équilibrage de charge avant de le mettre en mode de maintenance. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Cluster. 16 VMware, Inc.

17 Chapitre 1 Administration de Log Insight 3 Dans le tableau Workers, recherchez le nœud souhaité, cliquez sur Le nœud est maintenant en mode de maintenance. et cliquez sur Continuer. REMARQUE Un nœud en mode de maintenance continue à recevoir des journaux. 4 Cliquez sur, puis sur Mettre à niveau un travailleur pour confirmer. REMARQUE L'icône antérieures à celle du nœud maître. L'icône du nœud maître par le travailleur. Suivant est disponible uniquement pour les travailleurs qui exécutent des versions n'est plus visible après la mise à niveau vers la version Une fois la mise à niveau terminée, le travailleur redémarre et se reconnecte au cluster. Mettez à niveau les nœuds travailleurs restants dans votre cluster de Log Insight. Supprimer un nœud travailleur d'un cluster Log Insight Vous pouvez supprimer un nœud travailleur d'un cluster Log Insight et l'ajouter à un autre cluster, ou bien démarrer un déploiement autonome. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. Si vous utilisez un équilibrage de charge externe, sortez le nœud de l'équilibrage de charge avant de le mettre en mode de maintenance. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Cluster. 3 Dans le tableau Workers, recherchez le nœud souhaité, cliquez sur Le nœud est maintenant en mode de maintenance. et cliquez sur Continuer. REMARQUE Un nœud en mode de maintenance continue à recevoir des journaux. 4 Cliquez sur pour supprimer le nœud. Log Insight supprime le nœud du cluster et envoie une notification par . Exemple : Suivant Accédez à l'interface utilisateur Web du nœud supprimé pour le configurer. Vous pouvez ajouter le nœud à un autre cluster Log Insight déjà créé ou démarrer un nouveau déploiement autonome. VMware, Inc. 17

18 Guide d'administration de vrealize Log Insight de VMware Activer l'équilibrage de charge intégré Vous pouvez activer l'équilibrage de charge intégré sur un cluster Log Insight pour vous assurer que le trafic d'ingestion entrant est accepté par Log Insight même si certains nœuds Log Insight ne sont plus disponibles. Il est vivement recommandé d'activer l'équilibrage de charge intégré dans un environnement de cluster Log Insight. L'équilibrage de charge intégré garantit que le trafic d'ingestion entrant est accepté par Log Insight, même si certains nœuds Log Insight ne sont plus disponibles. En outre, l'équilibrage de charge intégré homogénéise équitablement le trafic entrant entre les nœuds Log Insight disponibles. Utilisant à la fois l'interface utilisateur Web et l'ingestion (via Syslog ou l'api d'ingestion), les clients Log Insight doivent se connecter à Log Insight via l'adresse d'équilibrage de charge intégré. L'équilibrage de charge intégré nécessite que tous les nœuds Log Insight résident sur le même réseau de couche 2, par exemple derrière le même commutateur, ou que chaque nœud soit en mesure d'envoyer des requêtes ARP aux autres nœuds et de recevoir les requêtes ARP envoyées par ceux-ci. L'adresse IP d'équilibrage de charge intégré doit être configurée de manière que tout nœud Log Insight puisse l'exploiter et recevoir du trafic pour elle. Par conséquent, l'adresse IP d'équilibrage de charge intégré réside généralement sur le même sous-réseau que l'adresse physique des nœuds Log Insight. Une fois l'adresse IP d'équilibrage de charge intégré configurée, essayez de lui envoyer un ping à partir d'un autre réseau pour vous assurer qu'elle est accessible. Pour simplifier les modifications et les mises à niveau futures, vous pouvez faire pointer les clients vers un nom de domaine complet qui se résoud en l'adresse IP d'équilibrage de charge intégré, au lieu de pointer directement vers l'adresse IP d'équilibrage de charge intégré. Configurez au moins trois nœuds dans un cluster Log Insight. Vérifiez que tous les nœuds Log Insight et l'adresse IP d'équilibrage de charge intégré spécifiée se trouvent sur le même réseau. Les nœuds maîtres et travailleurs Log Insight doivent être dotés des mêmes certificats. Dans le cas contraire, les agents Log Insight configurés pour se connecter par SSL rejettent la connexion. Lorsque vous téléchargez un certificat signé par une autorité de certification vers des nœuds maîtres ou travailleurs Log Insight, définissez le nom commun sur l'adresse IP d'équilibrage de charge intégré lors de la demande de génération de certificat. Reportez-vous à «Générer une demande de signature de certificat», page Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Cluster. 3 Sous Configuration, sélectionnez Activer l'équilibrage de charge intégré et entrez l'adresse IP virtuelle à utiliser pour l'équilibrage de charge intégré. Faites pointer les clients vers un nom de domaine complet, au lieu de pointer directement vers l'adresse IP d'équilibrage de charge intégré configurée. 4 Cliquez sur Enregistrer. 18 VMware, Inc.

19 Chapitre 1 Administration de Log Insight Vérifier la santé du dispositif virtuel Log Insight Vous pouvez vérifier les ressources disponibles et les requêtes actives sur le dispositif virtuel Log Insight ainsi que consulter les statistiques actuelles sur le fonctionnement de Log Insight. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Moniteur système. 3 Si Log Insight s'exécute en tant que cluster, cliquez sur Afficher les ressources de et choisissez le nœud à surveiller. 4 Cliquez sur les boutons de la page Surveillance du système pour afficher les informations qui vous intéressent. Option Ressources Requêtes actives Statistiques Description Affichez des informations sur l'utilisation de la CPU, de la mémoire, des IOPS (en lecture et en écriture) et du stockage sur le dispositif virtuel Log Insight. Les diagrammes situés à droite représentent les données d'historique des dernières 24 heures ; ils sont actualisés toutes les cinq minutes. Les diagrammes situés à gauche affichent les informations des cinq dernières minutes ; ils sont actualisés toutes les trois secondes. Affichez des informations sur les requêtes actives dans Log Insight. Affichez les statistiques concernant les taux et les opérations d'ingestion de journaux. Pour afficher des statistiques plus détaillées, cliquez sur Afficher des statistiques avancées. Suivant Vous pouvez utiliser les informations de la page Surveillance du système pour gérer les ressources du dispositif virtuel Log Insight. Stratégie de stockage des journaux Le dispositif virtuel Log Insight utilise au moins 100 Go de stockage pour les journaux entrants. Lorsque le volume des journaux importés dans Log Insight atteint la limite de 100 Go, les anciens messages de journaux sont retirés de manière automatique et régulière. Les plus anciens sont retirés en premier. Pour conserver les anciens messages, activez la fonctionnalité d'archivage de Log Insight. Reportez-vous à «Activer ou désactiver l'archivage des données dans Log Insight», page 83. Les données stockées par Log Insightne sont pas modifiables. Une fois un journal importé, il ne peut pas être supprimé, à moins d'être retiré de manière automatique. VMware, Inc. 19

20 Guide d'administration de vrealize Log Insight de VMware Augmenter la capacité de stockage du dispositif virtuel Log Insight Vous pouvez augmenter les ressources de stockage allouées à Log Insight à mesure que vos besoins évoluent. L'augmentation de l'espace de stockage s'effectue en ajoutant un nouveau disque virtuel au dispositif virtuel Log Insight. Vous pouvez ajouter autant de disques que vous le souhaitez, en respectant les contraintes de votre environnement. Connectez-vous à vsphere Client en tant qu'utilisateur disposant des privilèges requis pour modifier le matériel des machines virtuelles dans l'environnement. Arrêtez le dispositif virtuel Log Insight en toute sécurité. Reportez-vous à «Mettre le dispositif virtuel Log Insight hors tension», page Dans l'inventaire vsphere Client, cliquez avec le bouton droit sur la machine virtuellelog Insight et sélectionnez Modifier les paramètres. 2 Sous l'onglet Matériel, cliquez sur Ajouter. 3 Sélectionnez Disque dur et cliquez sur Suivant. 4 Sélectionnez Créer un disque virtuel et cliquez sur Suivant. a Indiquez la capacité du disque. Log Insight prend en charge les disques durs virtuels jusqu'à 2 To. Si vous avez besoin d'une capacité supérieure, ajoutez plusieurs disques durs virtuels. b Sélectionnez un format de disque. Option Provisionnement statique mis à zéro en différé Provisionnement statique immédiatement mis à zéro Thin Provision Description Crée un disque virtuel au format statique par défaut. L'espace nécessaire pour le disque virtuel est alloué lorsque le disque virtuel est créé. Les données résidant sur le périphérique physique ne sont pas effacées lors de la création. Elles sont mises à zéro ultérieurement à la demande, après la première écriture effectuée par la machine virtuelle. Crée un type de disque virtuel statique qui prend en charge des fonctions telles que la tolérance aux pannes. L'espace nécessaire au disque virtuel est alloué lors de la création. Contrairement au format plat, les données qui résident sur le périphérique physique sont mises à zéro lors de la création du disque virtuel. La création de disques à ce format peut être plus longue que pour d'autres types de disques. Autant que possible, créez des disques à provisionnement statique immédiatement mis à zéro pour obtenir de meilleures performances et un fonctionnement optimal du dispositif virtuel Log Insight. Crée un disque dans le format léger. Employez ce format pour économiser de l'espace de stockage. c Pour sélectionner une banque de données, accédez à son emplacement et cliquez sur Suivant. 5 Acceptez le nœud du périphérique virtuel par défaut et cliquez sur Suivant. 6 Passez vos informations en revue et cliquez sur Terminer. 7 Cliquez sur OK pour enregistrer vos modifications et fermer la boîte de dialogue. 20 VMware, Inc.

21 Chapitre 1 Administration de Log Insight Lorsque vous mettez le dispositif virtuel Log Insight sous tension, la machine virtuelle détecte le nouveau disque virtuel et l'ajoute automatiquement au volume de données par défaut. AVERTISSEMENT Après avoir ajouté un disque au dispositif virtuel, vous ne pouvez plus le retirer en tout sécurité. Le retrait de disques du dispositif virtuel Log Insight peut provoquer la perte complète des données. Surveiller les hôtes qui envoient des événements de journaux Vous pouvez afficher la liste de tous les hôtes et périphériques qui envoient des événements de journaux à Log Insight et les surveiller. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Hôtes. REMARQUE Si vous avez configuré vcenter Server de manière à envoyer des événements et des alarmes, mais n'avez pas configuré les hôtes ESXi individuels pour envoyer des journaux, la colonne Nom d'hôte répertorie vcenter Server et les hôtes ESXi en tant que source au lieu de ne répertorier que le système vcenter Server. Surveiller l'état des agents Windows et Linux de Log Insight Vous pouvez surveiller l'état des agents Windows et Linux de Log Insight et afficher les statistiques actuelles à propos de leur fonctionnement. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Agents. Suivant Vous pouvez utiliser les informations dans la page Agents pour surveiller le fonctionnement des agents Windows et Linux installés de Log Insight. VMware, Inc. 21

22 Guide d'administration de vrealize Log Insight de VMware Gestion des comptes d'utilisateurs dans Log Insight Les administrateurs peuvent créer des comptes d'utilisateurs pour permettre aux utilisateurs d'accéder à l'interface Web de Log Insight. Seuls les utilisateurs disposant de l'autorisation Modifier Admin peuvent créer et modifier tous les comptes utilisateur. Les utilisateurs ne disposant pas de l'autorisation Modifier Admin peuvent modifier leur propre compte pour changer leur mot de passe de messagerie ou de compte. Présentation de la gestion des utilisateurs Les administrateurs système utilisent une combinaison de noms d utilisateur, de contrôles d'accès basés sur les rôles, d'autorisations et de jeux de données pour gérer les utilisateurs de Log Insight. Le contrôle d'accès basé sur les rôles permet aux administrateurs de gérer les utilisateurs et les tâches qu'ils peuvent effectuer. Les rôles sont des ensembles d'autorisations requises pour effectuer certaines tâches. Les administrateurs système définissent les rôles dans le cadre de la définition des stratégies de sécurité et ils accordent les rôles aux utilisateurs. Pour modifier les autorisations et les tâches associées à une tâche particulière, l'administrateur système met à jour les paramètres du rôle. Les paramètres mis à jour s'appliquent à l'ensemble des utilisateurs associés à ce rôle. Pour autoriser un utilisateur à effectuer une tâche, l'administrateur système lui accorde le rôle correspondant. Pour empêcher un utilisateur d'effectuer une tâche, l'administrateur système révoque le rôle correspondant. La gestion de l'accès, des rôles et des autorisations pour chaque utilisateur est basée sur son compte de connexion utilisateur. Chaque utilisateur peut se voir accorder plusieurs rôles et autorisations. Les utilisateurs qui ne peuvent ni voir ni accéder à certains objets ou qui ne peuvent pas effectuer certaines opérations n'ont pas reçu l'autorisation de le faire. Contrôle d'accès basé sur les rôles Le contrôle d'accès basé sur les rôles permet aux administrateurs système de contrôler l'accès utilisateur à Log Insight et contrôle les tâches que les utilisateurs peuvent effectuer après leur connexion. Pour mettre en œuvre le contrôle d'accès basé sur les rôles, les administrateurs système associent des autorisations et des rôles à des comptes de connexion d'utilisateur ou révoquent ces autorisations et ces rôles Utilisateurs Autorisations Les admirateurs système peuvent contrôler l'accès et les actions de chaque utilisateur en accordant des autorisations et des rôles au compte de connexion de l'utilisateur et en révoquant ces autorisations et ces rôles. Les autorisations contrôlent les actions autorisées dans Log Insight. Les autorisations s'appliquent à des tâches administratives ou utilisateur particulières dans Log Insight. Par exemple, vous pouvez accorder l'autorisation Administrateur affichage pour permettre à un utilisateur de voir les paramètres administratifs de Log Insight. 22 VMware, Inc.

23 Chapitre 1 Administration de Log Insight Jeux de données Rôles Les jeux de données sont composés d'une série de filtres. Vous pouvez utiliser les jeux de données pour accorder aux utilisateurs un accès à du contenu spécifique en associant un jeu de données à un rôle. Les rôles sont des collections d'autorisations et de jeux de données pouvant être associées à des utilisateurs. Les rôles fournissent un moyen pratique de regrouper toutes les autorisations requises pour effectuer une tâche. Plusieurs rôles peuvent être attribués à un utilisateur. Créer un compte d'utilisateur dans Log Insight Les utilisateurs qui reçoivent le rôle de Super administrateur peuvent créer des comptes d'utilisateur pour fournir un accès à l'interface utilisateur Web de Log Insight. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Contrôle d'accès. 3 Cliquez sur Utilisateurs et groupes. 4 Cliquez sur Nouvel utilisateur. 5 Dans le menu déroulant Authentification, sélectionnez Défaut (intégrée). 6 Tapez un nom d'utilisateur et une adresse . L'adresse est en option. 7 Dans la liste Rôles à droite, sélectionnez un ou plusieurs rôles d'utilisateur prédéfinis ou personnalisés. Option Utilisateur Utilisateur de tableau de bord Administrateur affichage seul Super administrateur Description Les utilisateurs peuvent accéder à la fonctionnalité complète de Log Insight pour afficher des événements de journaux, exécuter des requêtes pour rechercher et filtrer des journaux, importer des packs de contenu dans leur espace utilisateur, ajouter des requêtes d'alerte et gérer leur compte d'utilisateur pour modifier leur mot de passe ou leur adresse . Les utilisateurs n'ont pas accès aux options d'administration, ne peuvent pas partager du contenu avec d'autres utilisateurs, ne peuvent pas modifier les comptes d'autres utilisateurs et ne peuvent pas installer un pack de contenu en tant que tel. Les utilisateurs de tableau de bord peuvent uniquement utiliser la page Tableaux de bord de Log Insight. Les utilisateurs Administrateur affichage peuvent voir des informations d'administration, ont un accès utilisateur complet et peuvent modifier du contenu partagé. Les utilisateurs Super administrateur peuvent accéder à la fonctionnalité complète de Log Insight, administrerlog Insight et gérer les comptes de tous les autres utilisateurs. 8 Copiez le mot de passe dans la zone de texte Mot de passe et indiquez-le à l'utilisateur. 9 Cliquez sur Enregistrer. VMware, Inc. 23

24 Guide d'administration de vrealize Log Insight de VMware Ajouter un utilisateur Active Directory à Log Insight Vous pouvez permettre aux utilisateurs Active Directory (AD) d'utiliser leurs informations d'identification de domaine pour se connecter à Log Insight. Lorsque vous activez la prise en charge d'ad dans Log Insight, vous devez configurer un nom de domaine et fournir un utilisateur de liaison appartenant au domaine. Log Insight emploie l'utilisateur de liaison pour vérifier la connexion au domaine AD et pour vérifier l'existence d'utilisateurs et de groupes AD. Les utilisateurs AD que vous ajoutez à Log Insight doivent appartenir au domaine de l'utilisateur de liaison ou à un domaine qui approuve le domaine de l'utilisateur de liaison. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. Vérifiez que vous avez configuré la prise en charge d'ad. Reportez-vous à «Permettre l'authentification utilisateur à travers Active Directory», page Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Contrôle d'accès. 3 Cliquez sur Nouvel utilisateur. 4 Dans le menu déroulant Méthode d'authentification, sélectionnez Active Directory. Le nom de domaine par défaut que vous indiquez lors de la configuration de la prise en charge d'ad s'affiche dans la zone de texte Domaine. Si vous ajoutez des utilisateurs du domaine par défaut, ne changez pas son nom. 5 (Facultatif) Si vous souhaitez ajouter un utilisateur d'un domaine qui approuve le domaine par défaut, tapez le nom du domaine d'approbation dans la zone de texte Domaine. 6 Tapez le nom d'un utilisateur du domaine. 7 Dans la liste Rôles à droite, sélectionnez un ou plusieurs rôles d'utilisateur prédéfinis ou personnalisés. Option Utilisateur Utilisateur de tableau de bord Administrateur affichage seul Super administrateur Description Les utilisateurs peuvent accéder à la fonctionnalité complète de Log Insight pour afficher des événements de journaux, exécuter des requêtes pour rechercher et filtrer des journaux, importer des packs de contenu dans leur espace utilisateur, ajouter des requêtes d'alerte et gérer leur compte d'utilisateur pour modifier leur mot de passe ou leur adresse . Les utilisateurs n'ont pas accès aux options d'administration, ne peuvent pas partager du contenu avec d'autres utilisateurs, ne peuvent pas modifier les comptes d'autres utilisateurs et ne peuvent pas installer un pack de contenu en tant que tel. Les utilisateurs de tableau de bord peuvent uniquement utiliser la page Tableaux de bord de Log Insight. Les utilisateurs Administrateur affichage peuvent voir des informations d'administration, ont un accès utilisateur complet et peuvent modifier du contenu partagé. Les utilisateurs Super administrateur peuvent accéder à la fonctionnalité complète de Log Insight, administrerlog Insight et gérer les comptes de tous les autres utilisateurs. 24 VMware, Inc.

25 Chapitre 1 Administration de Log Insight 8 Cliquez sur Enregistrer. Log Insight vérifie que l'utilisateur existe dans le domaine que vous avez indiqué ou dans ses domaines approuvés. Si l'utilisateur n'existe pas, une boîte de dialogue s'ouvre et vous informe que Log Insight ne peut pas procéder à la vérification de cet utilisateur. Vous pouvez enregistrer l'utilisateur sans qu'il n'ait été vérifié ou bien annuler et corriger le nom d'utilisateur. Les utilisateurs AD que vous ajoutez peuvent se connecter à Log Insight à l'aide des informations d'identification de leur domaine. Ajouter un groupe Active Directory à Log Insight Plutôt que d'ajouter des utilisateurs individuels d'un domaine, vous pouvez ajouter des groupes de domaines afin de permettre à des utilisateurs de se connecter à Log Insight. Lorsque vous activez la prise en charge d'ad dans Log Insight, vous devez configurer un nom de domaine et fournir un utilisateur de liaison appartenant au domaine. Log Insight emploie l'utilisateur de liaison pour vérifier la connexion au domaine AD et pour vérifier l'existence d'utilisateurs et de groupes AD. Les groupes AD que vous ajoutez à Log Insight doivent appartenir au domaine de l'utilisateur de liaison ou à un domaine approuvé par le domaine de l'utilisateur de liaison. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. Vérifiez que vous avez configuré la prise en charge d'ad. Reportez-vous à «Permettre l'authentification utilisateur à travers Active Directory», page Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Contrôle d'accès. 3 Cliquez sur Utilisateurs et groupes. 4 Sous Groupes Active Directory, cliquez sur Nouveau groupe. Le nom de domaine par défaut que vous indiquez lors de la configuration de la prise en charge d'ad s'affiche dans la zone de texte Domaine. Si vous ajoutez des groupes du domaine par défaut, ne changez pas le nom de celui-ci. 5 (Facultatif) Si vous souhaitez ajouter un groupe d'un domaine qui approuve le domaine par défaut, tapez le nom du domaine d'approbation dans la zone de texte Domaine. 6 Tapez le nom du groupe AD que vous voulez ajouter. VMware, Inc. 25

26 Guide d'administration de vrealize Log Insight de VMware 7 Dans la liste Rôles à droite, sélectionnez un ou plusieurs rôles d'utilisateur prédéfinis ou personnalisés. Option Utilisateur Utilisateur de tableau de bord Administrateur affichage seul Super administrateur Description Les utilisateurs peuvent accéder à la fonctionnalité complète de Log Insight pour afficher des événements de journaux, exécuter des requêtes pour rechercher et filtrer des journaux, importer des packs de contenu dans leur espace utilisateur, ajouter des requêtes d'alerte et gérer leur compte d'utilisateur pour modifier leur mot de passe ou leur adresse . Les utilisateurs n'ont pas accès aux options d'administration, ne peuvent pas partager du contenu avec d'autres utilisateurs, ne peuvent pas modifier les comptes d'autres utilisateurs et ne peuvent pas installer un pack de contenu en tant que tel. Les utilisateurs de tableau de bord peuvent uniquement utiliser la page Tableaux de bord de Log Insight. Les utilisateurs Administrateur affichage peuvent voir des informations d'administration, ont un accès utilisateur complet et peuvent modifier du contenu partagé. Les utilisateurs Super administrateur peuvent accéder à la fonctionnalité complète de Log Insight, administrerlog Insight et gérer les comptes de tous les autres utilisateurs. 8 Cliquez sur Enregistrer. Log Insight vérifie si le groupe AD existe dans le domaine que vous avez spécifié ou dans un domaine d'approbation. Si le groupe est introuvable, une boîte de dialogue vous informe que Log Insight ne peut pas vérifier ce groupe. Vous pouvez enregistrer le groupe sans qu'il n'ait été vérifié ou bien annuler pour corriger le nom du groupe. Les utilisateurs qui appartiennent au groupe AD que vous avez ajouté peuvent utiliser leur compte de domaine pour se connecter à Log Insight et avoir le même niveau d'autorisation que le groupe auquel ils appartiennent. Définir un jeu de données Vous pouvez définir un jeu de données pour permettre à des utilisateurs d'accéder à du contenu spécifique. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Contrôle d'accès. 3 Cliquez sur Jeu de données. 4 Cliquez sur Nouveau jeu de données. 5 Cliquez sur Ajouter un filtre. 26 VMware, Inc.

27 Chapitre 1 Administration de Log Insight 6 Utilisez le premier menu déroulant pour sélectionner un champ défini dans Log Insight. Par exemple, hostname. La liste contient tous les champs définis qui sont statistiquement disponibles, en packs de contenu, et sous forme de contenu personnalisé. REMARQUE Les champs numériques contiennent les opérateurs supplémentaires =, >, <, >= et <=, que les champs de chaînes ne contiennent pas. Ces opérateurs effectuent des comparaisons numériques. Leur utilisation produit des résultats différents de ceux obtenus avec les opérateurs de chaîne. Par exemple, le filtre response_time = 02 correspondra à un événement contenant un champ response_time ayant la valeur 2. Le filtre response_time contenant 02 n'aura pas la même correspondance. 7 Utilisez le deuxième menu déroulant pour sélectionner l'opération à appliquer au champ sélectionné dans le premier menu déroulant. Par exemple, sélectionnez contient. Le filtre contains correspond à des jetons complets : la recherche de la chaîne err n'inclut pas error dans les résultats obtenus. 8 Dans la zone de texte à droite du menu déroulant du filtre, entrez la valeur que vous souhaitez utiliser comme filtre. Vous pouvez utiliser plusieurs valeurs. L'opérateur logique entre ces valeurs est OU. REMARQUE La zone de texte n'est pas disponible si vous sélectionnez l'opérateur existe dans le second menu déroulant. 9 (Facultatif) Pour ajouter d'autres filtres, cliquez sur Ajouter un filtre. 10 Cliquez sur Enregistrer. Suivant Associez un jeu de données à un rôle d'utilisateur. Reportez-vous à «Créer et modifier des rôles», page 27. Créer et modifier des rôles Vous pouvez créer des rôles personnalisés ou modifier des rôles prédéfinis afin de permettre aux utilisateurs d'effectuer certaines tâches et d'accéder à des contenus spécifiques. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Contrôle d'accès. 3 Cliquez sur Rôles. 4 Cliquez sur Nouveau rôle ou sur pour modifier un rôle existant. Vous devez commencer par cloner les rôles Super Admin et Utilisateur avant de pouvoir les modifier. 5 Modifiez les zones de texte Nom et Description. VMware, Inc. 27

28 Guide d'administration de vrealize Log Insight de VMware 6 Sélectionnez une ou plusieurs autorisations dans la liste Autorisations. Option Modifier Admin Afficher Admin Modifier partagé Analyse Tableau de bord Description Permet de modifier les informations et les paramètres Admin. Permet d'afficher les informations et les paramètres Admin. Permet de modifier le contenu partagé. Permet d'utiliser la fonction Analyse interactive. Permet d'afficher les tableaux de bord. 7 (Facultatif) Dans la liste Jeu de données de droite, sélectionnez un jeu de données à associer au rôle d'utilisateur. 8 Cliquez sur Enregistrer. Supprimer un compte d'utilisateur à partir de Log Insight Vous pouvez supprimer des comptes d'utilisateur en utilisant l'interface utilisateur d'administration de Log Insight. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Contrôle d'accès. 3 Cliquez sur Utilisateurs et groupes. 4 Cochez la case à côté du nom d'utilisateur que vous souhaitez supprimer. 5 Cliquez sur l'icône Supprimer. Présentation de Log Insight Windows Agent Log Insight Windows Agent collecte des événements provenant de canaux d'événements Windows et des fichiers journaux et les transfère au serveur Log Insight. Un canal d'événements Windows est un pool pour collecter des événements connexes dans un système Windows. Par défaut Log Insight Windows Agent collecte des événements provenant des canaux Application, Système et Sécurité. Dans un système Windows, les applications peuvent stocker les données du journal dans des fichiers textes plats sur le système de fichiers. Log Insight Windows Agent peut contrôler des répertoires et collecter des événements provenant de fichiers journaux textes plats. Log Insight Windows Agent a une limite de 64 Ko par demande au serveurlog Insight. Log Insight Windows Agent s'exécute comme un service Windows et démarre immédiatement après l'installation. Pendant et après l'installation, vous pouvez configurer les options suivantes pour Log Insight Windows Agent : Sélectionnez le serveur Log Insight cible vers lequel Log Insight Windows Agent transfère des événements. Sélectionnez le protocole de communication et le port que Log Insight Windows Agent utilise. 28 VMware, Inc.

29 Chapitre 1 Administration de Log Insight Ajoutez des canaux d'événements Windows à partir desquels Log Insight Windows Agent collecte des événements. Sélectionnez les répertoires Windows à contrôler et ajoutez des fichiers journaux plats à collecter. Log Insight Windows Agent requiert Windows Vista ou version ultérieure ou Windows Server 2008 ou version ultérieure. Pour télécharger le fichier.msi de Log Insight Windows Agent, accédez à la page d'administration de l'interface utilisateur Web de Log Insight dans la section Gestion, cliquez sur Agents, puis cliquez sur le lien Télécharger Log Insight Windows Agent. Installer Log Insight Windows Agent avec la configuration par défaut Installez Log Insight Windows Agent avec la configuration par défaut à l'aide de l'assistant de l'interface graphique. Vérifiez que vous disposez d'une copie du fichier Log Insight Windows Agent.msi. Pour télécharger le fichier Log Insight Windows Agent.msi, accédez à la page Administration de l'interface utilisateur Web de Log Insight, dans la section Gestion cliquez sur Agents, puis sur le lien Télécharger Log Insight Windows Agent. Vérifiez que vous disposez des autorisations pour effectuer des installations et démarrer des services sur la machine Windows. 1 Connectez-vous à la machine Windows sur laquelle vous souhaitez installer Log Insight Windows Agent. 2 Accédez au répertoire dans lequel se trouve le fichier Log Insight Windows Agent.msi. 3 Double-cliquez sur le fichier.msi de Log Insight Windows Agent, acceptez les conditions du contrat de licence et cliquez sur Suivant. 4 Entrez l'adresse IP ou le nom d'hôte du serveur Log Insight, puis cliquez sur Installer. L'assistant installe Log Insight Windows Agent en tant que service Windows automatique sous le compte de service LocalSystem. 5 Cliquez sur Terminer. Suivant Pour configurer Log Insight Windows Agent, modifiez le fichier liagent.ini. Reportez-vous à la rubrique relative à la configuration de Log Insight Windows Agent dans le Guide d'administration de Log Insight Installer Log Insight Windows Agent avec les paramètres Installez Log Insight Windows Agent à l'aide de l'invite de commande Windows et spécifiez les paramètres de configuration. Pour des options de ligne de commande MSI, accédez au site Web de la bibliothèque Microsoft Developer Network (MSDN) et recherchez-y les options de ligne de commande MSI en question. Vérifiez que vous disposez d'une copie du fichier Log Insight Windows Agent.msi. Pour télécharger le fichier Log Insight Windows Agent.msi, accédez à la page Administration de l'interface utilisateur Web de Log Insight, dans la section Gestion cliquez sur Agents, puis sur le lien Télécharger Log Insight Windows Agent. VMware, Inc. 29

30 Guide d'administration de vrealize Log Insight de VMware Vérifiez que vous disposez des autorisations pour effectuer des installations et démarrer des services sur la machine Windows. Si vous utilisez une option d'installation silencieuse (/quiet ou /qn), assurez-vous d'exécuter l'installation en tant qu'administrateur. Si vous lancez l'installation silencieuse en tant qu'utilisateur non-administrateur, l'invite permettant d'entrer les privilèges d'administrateur ne s'affiche pas et l'installation échoue. Pour les diagnostics, utilisez l'option de connexion et les paramètres /lxv* file_name. 1 Connectez-vous à la machine Windows sur laquelle vous souhaitez installer Log Insight Windows Agent. 2 Ouvrez une fenêtre d'invite de commande. 3 Accédez au répertoire dans lequel se trouve le fichier Log Insight Windows Agent.msi. 4 Exécutez la commande suivante pour lancer l'installation : Drive:\path-to-msi_file>VMware-Log-Insight-Agent-*.msi et remplacez * par votre version et votre numéro de build. 5 (Facultatif) Spécifiez un compte de service d'utilisateur sous lequel le service du Log Insight Windows Agent s'exécutera. Drive:\path-to-msi_file>VMware-Log-Insight-Agent-*.msi SERVICEACCOUNT=domain\user SERVICEPASSWORD=user_password REMARQUE Le compte fourni dans le paramètre SERVICEACCOUNT obtient le droit Ouvrir une session en tant que service et l'accès complet en écriture au répertoire %ProgramData%\VMware\Log Insight Agent. Si le compte indiqué n'existe pas, il est créé. Le nom d'utilisateur ne doit pas dépasser 20 caractères. Si vous ne spécifiez aucun paramètre SERVICEACCOUNT, le service Log Insight Windows Agent est installé sous le compte de service LocalSystem. 6 (Facultatif) Entrez le serveur Log Insight, le port et le protocole. Paramètre SERVERHOST SERVERPROTO SERVERPORT Description Adresse IP ou nom d'hôte du dispositif virtuel Log Insight. Protocole que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs possibles sont cfapi et syslog. VMware recommande d'utiliser le paramètre cfapi par défaut. Le numéro de port dépend de la valeur de SERVERPROTO. La valeur par défaut de SERVERPORT est 9 000, ce qui correspond à la valeur par défaut de SERVERPROTO=cfapi. Utilisez SERVERPORT=514 pour SERVERPROTO=syslog. Les paramètres de ligne de commande correspondent à hostname, proto et port dans la section [server] du fichier liagent.ini. 7 Appuyez sur Entrée. La commande installe Log Insight Windows Agent en tant que service Windows. Le service Log Insight Windows Agent démarre automatiquement lorsque vous démarrez la machine Windows. Suivant Vérifiez que les paramètres de ligne de commande que vous définissez sont correctement appliqués dans le fichier liagent.ini. Reportez-vous à «Configurer Log Insight Windows Agent après l'installation», page VMware, Inc.

31 Chapitre 1 Administration de Log Insight Configurer Log Insight Windows Agent après l'installation Vous pouvez configurer Log Insight Windows Agent après l'installation. Vous devez modifier le fichier liagent.ini pour configurer Log Insight Windows Agent afin d'envoyer des événements vers un serveur de Log Insight de votre choix, définir un protocole et un port de communication, ajouter des canaux d'événements Windows et configurer une collecte de journaux de fichiers plats. Configuration par défaut de Log Insight Windows Agent Après l'installation, le fichier liagent.ini contient des paramètres par défaut préconfigurés pour Log Insight Windows Agent. Configuration par défaut du fichier liagent.ini [server] hostname=loginsight ; Log Insight server hostname or ip address ; If omitted the default value is LOGINSIGHT ;hostname=loginsight ; Set protocol to use: ; cfapi - Log Insight REST API ; syslog - Syslog protocol ; If omitted the default value is cfapi ; ;proto=cfapi ; Log Insight server port to connect to. If omitted the default value is: ; for syslog: 514 ; for cfapi without ssl: 9000 ; for cfapi with ssl: 9543 ;port=9543 ;ssl - enable/disable SSL. Applies to cfapi protocol only. ; Possible values are yes or no. If omitted the default value is yes. ;ssl=yes ; Time in minutes to force reconnection to the server ; If omitted the default value is 30 ;reconnect=30 [storage] ;max_disk_buffer - max disk usage limit (data + logs) in MB: ; MB, default 200 ;max_disk_buffer=200 [logging] ;debug_level - the level of debug messages to enable: ; 0 - no debug messages ; 1 - trace essential debug messages ; 2 - verbose debug messages (will have negative impact on performace) ;debug_level=0 [winlog Application] channel=application VMware, Inc. 31

32 Guide d'administration de vrealize Log Insight de VMware [winlog Security] channel=security [winlog System] channel=system Paramètre Valeur Description proto cfapi Protocole que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs possibles sont cfapi et syslog. VMware recommande d'utiliser le paramètre cfapi par défaut. hostname LOGINSIGHT Adresse IP ou nom d'hôte du dispositif virtuel Log Insight. port 9543 Port de communication que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs par défaut sont pour cfapi lorsque SSL est activé, pour cfapi lorsque SSL est désactivé et 514 pour syslog ssl yes Active ou désactive SSL. La valeur par défaut est oui. Applicable à cfapi uniquement. max_disk_buffer 200 Espace disque maximal utilisé par Log Insight Windows Agent (en Mo) pour mettre les événements et ses propres journaux en mémoire tampon. debug_level 0 Définit le niveau de détail des journaux. Reportez-vous à «Définir le niveau de détail des journaux dans le Log Insight Agents», page 53. channel Application, Security, System Canaux de journaux d'événements Windows collectés par défaut par Log Insight Windows Agent. Reportez-vous à «Collecter des événements provenant de canaux d'événements Windows», page 34 Définir le serveur Log Insight cible Vous pouvez définir ou modifier le serveur Log Insight cible auquel Log Insight Windows Agent envoie un événement, si vous n'avez pas défini les valeurs au cours du processus d'installation. Connectez-vous à la machine Windows sur laquelle vous avez installé Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service VMware vrealize Log Insight Agent est installé. Si vous disposez d'un cluster Log Insight pour lequel ILB (Integrated Load Balancer) est activé, reportez-vous à «Activer l'équilibrage de charge intégré», page 18 pour connaître les exigences spécifiques d'un certificat SSL personnalisé. 32 VMware, Inc.

33 Chapitre 1 Administration de Log Insight 1 Accédez au dossier des données du programme de Log Insight Windows Agent. %ProgramData%\VMware\Log Insight Agent 2 Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque. 3 Modifiez les paramètres suivants et définissez les valeurs correspondant à votre environnement. Paramètre proto hostname port ssl reconnect Description Protocole que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs possibles sont cfapi et syslog. VMware recommande d'utiliser le paramètre cfapi par défaut. Adresse IP ou nom d'hôte du dispositif virtuel Log Insight. Port de communication que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs par défaut sont pour cfapi lorsque SSL est activé, pour cfapi lorsque SSL est désactivé et 514 pour syslog Active ou désactive SSL. La valeur par défaut est oui. Applicable à cfapi uniquement. Durée en minutes pour forcer la reconnexion au serveur. La valeur par défaut est 30. [server] ; Log Insight server hostname or ip address ; If omitted the default value is LOGINSIGHT ;hostname=loginsight ; Set protocol to use: ; cfapi - Log Insight REST API ; syslog - Syslog protocol ; If omitted the default value is cfapi ; ;proto=cfapi ; Log Insight server port to connect to. If omitted the default value is: ; for syslog: 514 ; for cfapi without ssl: 9000 ; for cfapi with ssl: 9543 ;port=9543 ;ssl - enable/disable SSL. Applies to cfapi protocol only. ; Possible values are yes or no. If omitted the default value is yes. ;ssl=yes ; Time in minutes to force reconnection to the server ; If omitted the default value is 30 ;reconnect=30 4 Enregistrez et fermez le fichier liagent.ini. VMware, Inc. 33

34 Guide d'administration de vrealize Log Insight de VMware Exemple : Configuration L'exemple de configuration ci-dessous définit un serveur Log Insight cible. [server] proto=cfapi hostname=loginsight port=9543 ssl=yes Suivant Vous pouvez configurer des options SSL supplémentaires pour Log Insight Windows Agent. Reportez-vous à «Configurer la connexion SSL entre le serveur Log Insight et Log Insight Agents», page 89. Collecter des événements provenant de canaux d'événements Windows Vous pouvez ajouter un canal d'événements Windows à la configuration de Log Insight Windows Agent. Log Insight Windows Agent collecte les événements et les envoie au serveur Log Insight. Connectez-vous à la machine Windows sur laquelle vous avez installé Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service VMware vrealize Log Insight Agent est installé. 1 Accédez au dossier des données du programme de Log Insight Windows Agent. %ProgramData%\VMware\Log Insight Agent 2 Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque. 3 Ajoutez les paramètres suivants et définissez les valeurs pour votre environnement. Paramètre [winlog section_name] channel enabled tags Description Nom unique de la section de configuration. Nom complet du canal d'événements, comme indiqué dans l'observateur d'événements, application Windows intégrée. Pour copier le nom de canal correct, cliquez avec le bouton droit sur un canal dans l'observateur d'événements, sélectionnez Propriétés et copiez le contenu du champ Nom complet. Paramètre facultatif permettant d'activer ou de désactiver la section de configuration. Les valeurs possibles sont yes et no. La valeur par défaut est yes. Paramètre facultatif permettant d'ajouter des balises personnalisées aux champs d'événements collectés. Définissez des balises avec la notation JSON. Les noms de balises peuvent contenir des lettres, des chiffres et des traits de soulignement. Un nom de balise ne peut commencer que par une lettre ou un trait de soulignement, et ne doit pas dépasser 64 caractères. Les noms de balises ne respectent pas la casse. Par exemple, si vous utilisez tags={"nom_balise1" : "valeur balise 1", "Nom_Balise1" : "valeur balise 2" }, Nom_Balise1 sera ignoré, car il est en double. Vous ne pouvez pas utiliser event_type et timestamp comme noms de balises. Tous les doublons inclus dans la même déclaration sont ignorés. 34 VMware, Inc.

35 Chapitre 1 Administration de Log Insight Paramètre whitelist, blacklist exclude_fields Description Paramètres facultatifs permettant d'inclure ou d'exclure explicitement les événements de journaux. (Facultatif) Paramètre permettant d'exclure des champs donnés d'une collecte. Vous pouvez fournir plusieurs valeurs sous la forme d'une liste séparée par des points-virgules. Par exemple, exclude_fields=eventid; ProviderName [winlog section_name] channel=event_channel_name enabled=yes_or_no tags={"tag_name1" : "Tag value 1", "tag_name2" : "tag value 2" } 4 Enregistrez et fermez le fichier liagent.ini. Exemple : Configurations Reportez-vous aux exemples de configuration de [winlog fournis ci-dessous. [winlog Events_Firewall ] channel=microsoft-windows-windows Firewall With Advanced Security/Firewall enabled=no [winlog custom] channel=custom tags={"channeldescription": "Events testing channel"} Configurer le filtrage des canaux d'événements Windows Vous pouvez configurer le filtrage des canaux d'événements Windows afin d'inclure ou d'exclure des événements de journaux de façon explicite. Vous pouvez utiliser les paramètres whitelist et blacklist pour évaluer une expression de filtre. L'expression de filtre est une expression booléenne constituée de champs d'événements et d'opérateurs Windows. whitelist ne collecte que les événements de journaux pour lesquels l'expression de filtre a une valeur différente de zéro. Si vous omettez whitelist, la valeur est un 1 implicite. blacklist exclut les événements de journaux pour lesquels l'expression de filtre a une valeur différente de zéro. La valeur par défaut est 0. Pour connaître la liste complète des champs d'événements et des opérateurs Windows, reportez-vous à «Champs d'événements et opérateurs», page 36. Connectez-vous à la machine Windows sur laquelle vous avez installé Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service VMware vrealize Log Insight Agent est installé. 1 Accédez au dossier des données du programme de Log Insight Windows Agent. %ProgramData%\VMware\Log Insight Agent 2 Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque. VMware, Inc. 35

36 Guide d'administration de vrealize Log Insight de VMware 3 Ajoutez un paramètre whitelist ou blacklist à la section [winlog ]. Par exemple [winlog unique_section_name] channel = event_channel_name blacklist = filter_expression 4 Créez une expression de filtre à partir de champs d'événements et d'opérateurs Windows. Par exemple whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO 5 Enregistrez et fermez le fichier liagent.ini. Exemple : Configurations de filtres Vous pouvez configurer l'agent pour qu'il collecte uniquement les événements d'erreur, par exemple [winlog Security-Error] channel = Security whitelist = Level == WINLOG_LEVEL_CRITICAL or Level == WINLOG_LEVEL_ERROR Vous pouvez configurer l'agent pour qu'il collecte uniquement les événements Réseau VMware du canal Application, par exemple [winlog VMwareNetwork] channel = Application whitelist = ProviderName == "VMnetAdapter" or ProviderName == "VMnetBridge" or ProviderName == "VMnetDHCP" Vous pouvez configurer l'agent pour qu'il collecte tous les événements du canal Sécurité, sauf des événements particuliers, par exemple [winlog Security-Verbose] channel = Security blacklist = EventID == 4688 or EventID == 5447 Champs d'événements et opérateurs Utilisez les champs d'événements et les opérateurs de Windows pour générer des expressions de filtre. Opérateurs d'expression de filtre Opérateur Description ==,!= égal à et différent de. À utiliser avec des champs numériques et des champs de chaînes. >=, >, <, <= supérieur ou égal à, supérieur à, inférieur à, inférieur ou égal à. À utiliser uniquement avec des champs numériques. &,, ^, ~ and, or not Opérations AND, OR, XOR au niveau du bit et opérateurs de complément. À utiliser uniquement avec des champs numériques. AND et OR logiques. À utiliser pour générer des expressions complexes en combinant des expressions simples. Opérateur logique NOT unaire. À utiliser pour inverser la valeur d'une expression. () Utilisez des parenthèses dans une expression logique pour modifier l'ordre d'évaluation. Champs d'événements Windows Vous pouvez utiliser les champs d'événements Windows suivants dans une expression de filtre. 36 VMware, Inc.

37 Chapitre 1 Administration de Log Insight Nom du champ Hostname Text ProviderName EventSourceName EventID EventRecordID Channel UserID Level Task OpCode Keywords Type de champ string string string string numeric numeric string string numeric Vous pouvez utiliser les constantes prédéfinies suivantes. WINLOG_LEVEL_SUCCESS = 0 WINLOG_LEVEL_CRITICAL = 1 WINLOG_LEVEL_ERROR = 2 WINLOG_LEVEL_WARNING = 3 WINLOG_LEVEL_INFO = 4 WINLOG_LEVEL_VERBOSE = 5 numeric numeric numeric Vous pouvez utiliser les masques de bits prédéfinis suivants. WINLOG_KEYWORD_RESPONSETIME = 0x ; WINLOG_KEYWORD_WDICONTEXT = 0x ; WINLOG_KEYWORD_WDIDIAGNOSTIC = 0x ; WINLOG_KEYWORD_SQM = 0x ; WINLOG_KEYWORD_AUDITFAILURE = 0x ; WINLOG_KEYWORD_AUDITSUCCESS = 0x ; WINLOG_KEYWORD_CORRELATIONHINT = 0x ; WINLOG_KEYWORD_CLASSIC = 0x ; Exemples Collecte de tous les événements critiques, d'erreur et d'avertissement [winlog app] channel = Application whitelist = level > WINLOG_LEVEL_SUCCESS and level < WINLOG_LEVEL_INFO Collecte uniquement des événements d'erreur d'audit à partir du canal de sécurité [winlog security] channel = Security whitelist = Keywords & WINLOG_KEYWORD_AUDITFAILURE Collecter les événements d'un fichier journal Vous pouvez configurer Log Insight Windows Agent afin de collecter des événements à partir d'un ou de plusieurs fichiers journaux. Connectez-vous à la machine Windows sur laquelle vous avez installé Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service VMware vrealize Log Insight Agent est installé. VMware, Inc. 37

38 Guide d'administration de vrealize Log Insight de VMware 1 Accédez au dossier des données du programme de Log Insight Windows Agent. %ProgramData%\VMware\Log Insight Agent 2 Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque. 3 Ajoutez des paramètres de configuration et définissez les valeurs de votre environnement. Paramètre [filelog section_name] directory include exclude event_marker enabled charset Description Nom unique de la section de configuration. Chemin d'accès complet au répertoire du fichier journal. (Facultatif) Nom de fichier ou masque de fichier (modèle glob) à partir duquel collecter des données. Vous pouvez fournir des valeurs sous la forme d'une liste séparée par des points-virgules. La valeur par défaut est * qui prévoit l'inclusion de tous les fichiers. Le paramètre respecte la casse. REMARQUE Les fichiers.zip et.gz sont exclus par défaut de la collecte. Si vous souhaitez collecter les fichiers.zip et.gz, ajoutez-les à l'aide du paramètre include. IMPORTANT Si vous collectez un fichier journal archivé par rotation, utilisez les paramètres include et exclude pour spécifier un modèle générique correspondant au fichier principal et au fichier archivé par rotation. Si le modèle générique correspond uniquement au fichier journal principal, Log Insight Agents peut ne pas prendre en compte des événements lors de l'archivage par rotation. Log Insight Agents détermine automatiquement l'ordre correct des fichiers archivés par rotation et envoie les événements au serveur Log Insight dans l'ordre approprié. Par exemple, si votre fichier journal principal se nomme myapp.log et si les journaux archivés par rotation sont myapp.log.1, myapp.log.2 etc., vous pouvez utiliser le modèle include suivant : include= myapp.log;myapp.log.* (Facultatif) Nom ou masque de fichier (modèle générique) à exclure de la collecte. Vous pouvez fournir des valeurs sous la forme d'une liste séparée par des points-virgules. La liste est vide par défaut, ce qui signifie qu'aucun fichier n'est exclu. (Facultatif) Expression régulière qui désigne le début d'un événement dans le fichier journal. En cas d'omission, la valeur par défaut est nouvelle ligne. Les expressions que vous tapez doivent utiliser la syntaxe des expressions régulières Perl. (Facultatif) Paramètre permettant d'activer ou de désactiver la section de configuration. Les valeurs possibles sont yes ou no. La valeur par défaut est yes. (Facultatif) Codage de caractères des fichiers journaux que surveille l'agent. Les valeurs possibles sont UTF-8, UTF-16LE et UTF-16BE. La valeur par défaut est UTF VMware, Inc.

39 Chapitre 1 Administration de Log Insight Paramètre tags exclude_fields Description (Facultatif) Paramètre permettant d'ajouter des balises personnalisées aux champs d'événements collectés. Définissez des balises avec la notation JSON. Les noms de balises peuvent contenir des lettres, des chiffres et des traits de soulignement. Un nom de balise ne peut commencer que par une lettre ou un trait de soulignement, et ne doit pas dépasser 64 caractères. Les noms de balises ne respectent pas la casse. Par exemple, si vous utilisez tags={"nom_balise1" : "valeur balise 1", "Nom_Balise1" : "valeur balise 2" }, Nom_Balise1 sera ignoré, car il est en double. Vous ne pouvez pas utiliser event_type et timestamp comme noms de balises. Tous les doublons inclus dans la même déclaration sont ignorés. Les balises peuvent remplacer le champ APP-NAME, si la destination est un serveur syslog. Par exemple, tags={"appname":"vrops"}. (Facultatif) Paramètre permettant d'exclure des champs donnés d'une collecte. Vous pouvez fournir plusieurs valeurs sous la forme d'une liste séparée par des points-virgules. Par exemple, exclude_fields=hostname; filepath [filelog section_name] directory=path_to_log_directory include=glob_pattern Exemple : Configurations [filelog vcentermain] directory=c:\programdata\vmware\vmware VirtualCenter\Logs include=vpxd-*.log exclude=vpxd-alert-*.log;vpxd-profiler-*.log event_marker=^\d{4}-\d{2}-\d{2}[a-z]\d{2}:\d{2}:\d{2}\.\d{3} [filelog ApacheAccessLogs] enabled=yes directory=c:\program Files (x86)\apache Software Foundation\Apache2.2\logs include=*.log exclude=*_old.log tags={"provider" : "Apache"} [filelog MSSQL] directory=c:\program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Log charset=utf-16le event_marker=^[^\s] Configuration centralisée de Log Insight Windows Agents Vous pouvez configurer plusieurs Log Insight Windows Agents à partir de l'interface utilisateur Web de Log Insight. Chaque Log Insight Windows Agent possède une configuration locale et une configuration côté serveur. La configuration locale est stockée dans un fichier liagent.ini sur la machine où est installé Log Insight Windows Agent. La configuration côté serveur est accessible et modifiable à partir de la page Administration > Agents de l'interface utilisateur Web. La configuration de chaque Log Insight Windows Agent est composée de sections et de clés. Les clés possèdent des valeurs configurables. VMware, Inc. 39

40 Guide d'administration de vrealize Log Insight de VMware Les Log Insight Windows Agents interrogent régulièrement le serveur Log Insight et reçoivent la configuration côté serveur. La configuration côté serveur et la configuration locale sont fusionnées pour former la configuration effective. La configuration effective est utilisée par chacun des Log Insight Windows Agent. Les configurations sont fusionnées section par section et clé par clé. Les valeurs de la configuration côté serveur remplacent les valeurs de la configuration locale. Les règles de fusion sont les suivantes : Si une section est présente uniquement dans la configuration locale ou uniquement dans la configuration côté serveur, cette section et tout son contenu sont inclus à la configuration effective. Si une section est présente dans la configuration locale et dans la configuration côté serveur, les clés de cette section sont fusionnées selon les règles suivantes : Si une clé est présente uniquement dans la configuration locale ou uniquement dans la configuration côté serveur, cette clé et sa valeur sont incluses à cette section dans la configuration effective. Si une clé est présente dans la configuration locale et dans la configuration côté serveur, elle est incluse à cette section dans la configuration effective, avec la valeur qui lui est attribuée dans la configuration côté serveur. Tout utilisateur Admin de Log Insight peut appliquer la configuration centralisée à l'ensemble des Log Insight Windows Agents à l'aide de l'interface utilisateur Web de Log Insight. Accédez à la page Administration et, dans la section Gestion, cliquez sur Agents. Entrez les paramètres de configuration dans la zone Configuration de l'agent, puis cliquez sur Enregistrer la configuration pour tous les agents. La configuration s'applique à tous les agents connectés au cours du cycle d'interrogation suivant. REMARQUE Vous pouvez appliquer la configuration centralisée uniquement aux Log Insight Windows Agents qui utilisent le protocole cfapi. Reportez-vous à «Configurer Log Insight Windows Agent après l'installation», page 31. Exemple de fusion de configurations Exemple de fusion de configurations locale et côté serveur de Log Insight Windows Agent. Configuration locale Vous pouvez avoir la configuration locale suivante de Log Insight Windows Agent. [server] proto=cfapi hostname=host port=9000 [winlog Application] channel=application [winlog Security] channel=security [winlog System] channel=system [filelog ApacheAccessLogs] enabled=yes directory=c:\program Files (x86)\apache Software Foundation\Apache2.2\logs include=*.log exclude=*_old.log event_marker=^(\d{1,3}\.){3}\d{1,3} VMware, Inc.

41 Chapitre 1 Administration de Log Insight Configuration côté serveur Vous pouvez utiliser la page Administration > Agents de l'interface utilisateur Web pour appliquer la configuration centralisée à tous les agents. Par exemple, vous pouvez exclure et ajouter des canaux de collecte et modifier le paramètre de reconnexion par défaut. [server] reconnect=20 [winlog Security] channel=security enabled=no [winlog Microsoft-Windows-DeviceSetupManagerOperational] channel=microsoft-windows-devicesetupmanager/operational Configuration valide La configuration valide est le résultat de la fusion des configurations locale et côté serveur. Log Insight Windows Agent est configuré pour : se reconnecter au serveur Log Insight toutes les 20 minutes continuer de collecter les canaux d'événements Application et Système arrêter la collecte du canal d'événements Sécurité démarrer la collecte du canal d'événements Microsoft-Windows-DeviceSetupManager/Operational continuer de collecter les ApacheAccessLogs [server] proto=cfapi hostname=host port=9000 reconnect=20 [winlog Application] channel=application [winlog Security] channel=security enabled=no [winlog System] channel=system [winlog Microsoft-Windows-DeviceSetupManagerOperational] channel=microsoft-windows-devicesetupmanager/operational [filelog ApacheAccessLogs] enabled=yes directory=c:\program Files (x86)\apache Software Foundation\Apache2.2\logs include=*.log exclude=*_old.log event_marker=^(\d{1,3}\.){3}\d{1,3} - - VMware, Inc. 41

42 Guide d'administration de vrealize Log Insight de VMware Transférer des événements vers Log Insight Windows Agent Vous pouvez transférer des événements de machines Windows vers une machine sur laquelle Log Insight Windows Agent est en cours d'exécution. Vous pouvez utiliser le transfert d'événements de Windows pour transférer des événements de plusieurs machines Windows vers une machine sur laquelle Log Insight Windows Agent est installé. Vous pouvez ensuite configurer Log Insight Windows Agent afin qu'il collecte tous les événements transférés et les envoie à un serveur Log Insight. Familiarisez-vous avec le transfert d'événements de Windows. Reportez-vous à et à Reportez-vous à «Collecter des événements provenant de canaux d'événements Windows», page Ajoutez une nouvelle section à la configuration de Log Insight Windows Agent pour collecter des événements du canal d'événements Windows qui reçoit les événements transférés. Le nom de canal par défaut est ForwardedEvents. 2 Configurez le transfert d'événements de Windows. Suivant Accédez à l'interface utilisateur Web de Log Insight et vérifiez que les événements transférés arrivent. Déploiement de Log Insight Windows Agent vers plusieurs machines Vous pouvez déployer Log Insight Windows Agent vers plusieurs machines cibles dans un domaine Windows. Préparation du déploiement du fichier.msi de Log Insight Windows Agent Pour spécifier les paramètres d'installation à utiliser au cours du déploiement, créez un fichier de transformation.mst. Vous pouvez configurer Log Insight Windows Agent pour qu'il envoie des événements à un serveur Log Insight de votre choix et définir le protocole de communication, le port et le compte d'utilisateur pour installer et démarrer le service de l'agent Log Insight. Vérifiez que vous disposez d'une copie du fichier Log Insight Windows Agent.msi. Pour télécharger le fichier Log Insight Windows Agent.msi, accédez à la page Administration de l'interface utilisateur Web de Log Insight, dans la section Gestion cliquez sur Agents, puis sur le lien Télécharger Log Insight Windows Agent. Téléchargez et installez l'éditeur de base de données Orca. Voir 1 Ouvrez le fichier Log Insight Windows Agent.msi dans l'éditeur Orca et cliquez sur Transformation > Nouvelle transformation.. 42 VMware, Inc.

43 Chapitre 1 Administration de Log Insight 2 Modifiez la table de propriétés et ajoutez les paramètres et les valeurs nécessaires pour une installation personnalisée ou une mise à niveau. Paramètre SERVERHOST SERVERPROTO SERVERPORT SERVICEACCOUNT SERVICEPASSWORD Description Adresse IP ou nom d'hôte du dispositif virtuel Log Insight. Protocole que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs possibles sont cfapi et syslog. VMware recommande d'utiliser le paramètre cfapi par défaut. Port de communication que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs par défaut sont pour cfapi lorsque SSL est activé, pour cfapi lorsque SSL est désactivé et 514 pour syslog Compte de service de l'utilisateur sous lequel le service de Log Insight Windows Agent s'exécutera. REMARQUE Le compte fourni dans le paramètre SERVICEACCOUNT doit disposer du privilège Se connecter en tant que service et d'un accès en écriture au répertoire %ProgramData%\VMware\Log Insight Agent pour que le programme d'installation s'exécute correctement. Si vous ne spécifiez pas de paramètre SERVICEACCOUNT, le service Log Insight Windows Agent est installé sous le compte de service LocalSystem. Mot de passe du compte de service de l'utilisateur. 3 Cliquez sur Transformation > Générer une transformation et enregistrez le fichier.mst. Suivant Utilisez les fichiers.msi et.mst pour déployer Log Insight Windows Agent. Réaliser un déploiement en masse de Log Insight Windows Agent Vous pouvez réaliser un déploiement en masse de Log Insight Windows Agent sur des ordinateurs cibles dans un domaine Windows. Familiarisez-vous avec les procédures décrites dans et Vérifiez que vous disposez d'un compte administrateur ou d'un compte avec des privilèges d'administrateur sur le contrôleur de domaine. Vérifiez que vous disposez d'une copie du fichier Log Insight Windows Agent.msi. Pour télécharger le fichier Log Insight Windows Agent.msi, accédez à la page Administration de l'interface utilisateur Web de Log Insight, dans la section Gestion cliquez sur Agents, puis sur le lien Télécharger Log Insight Windows Agent. 1 Connectez-vous au contrôleur de domaine (CD) en tant qu'administrateur ou utilisateur disposant de privilèges d'administration. 2 Créez un point de distribution et copiez le fichier Log Insight Windows Agent.msi vers le point de distribution. 3 Ouvrez la console de gestion de la stratégie de groupe et créez un objet de stratégie de groupe pour le déploiement du fichier Log Insight Windows Agent.msi. 4 Modifiez l'objet de stratégie de groupe pour le déploiement du logiciel et affectez un package. VMware, Inc. 43

44 Guide d'administration de vrealize Log Insight de VMware 5 (Facultatif) Si vous avez généré un fichier.mst avant le déploiement, modifiez un objet de stratégie de groupe pour déployer le package.msi en utilisant la méthode Avancée. Sélectionnez le fichier de configuration.mst dans l'onglet Modifications de la fenêtre Propriétés de l'objet de stratégie de groupe. 6 (Facultatif) Pour mettre à niveau Log Insight Windows Agent, copiez le fichier de mise à niveau.msi vers le point de distribution et accédez à l'onglet Mettre à niveau de la fenêtre Propriétés de l'objet de stratégie de groupe. Ajoutez la version installée initialement du fichier.msi dans la section Packages qui seront mis à niveau par ce package. 7 Déployez Log Insight Windows Agent vers des groupes de sécurité spécifiques qui incluent les utilisateurs de domaine. 8 Fermez toutes les fenêtres de la console de gestion de la stratégie de groupe et de l'éditeur d'objets de stratégie de groupe sur le contrôleur de domaine et redémarrez deux fois les machines du client. 9 Vérifiez que Log Insight Windows Agent est installé sur les machines du client en tant que service local. Si vous avez configuré les paramètres SERVICEACCOUNT etservicepassword pour un déploiement en masse en utilisant un fichier.mst, vous devez vérifier que Log Insight Windows Agent est installé sur les machines du client sous le compte d'utilisateur que vous avez spécifié. Suivant Si le déploiement en masse de Log Insight Windows Agent échoue, reportez-vous à la section «Le déploiement en masse de Log Insight Windows Agent a échoué», page 57. Désinstallez Log Insight Windows Agent Vous pouvez désinstaller Log Insight Windows Agent. Connectez-vous à la machine Windows sur laquelle vous avez installé Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service VMware vrealize Log Insight Agent est installé. 1 Accédez à Panneau de configuration > Programmes et fonctionnalités. 2 Sélectionnez VMware vrealize Log Insight Windows Agent et cliquez sur Désinstaller. Le programme de désinstallation arrête le service VMware vrealize Log Insight Windows Agent et supprime ses fichiers du système. Créer un bundle de support pour Log Insight Windows Agent Si Log Insight Windows Agent ne fonctionne pas comme prévu en raison d'un problème, vous pouvez envoyer une copie des fichiers de configuration et du journal au support VMware. 1 Connectez-vous à la machine cible sur laquelle vous avez installé Log Insight Windows Agent. 2 Cliquez sur le bouton Démarrer de Windows, puis sur VMware > Log Insight Agent - Collect support Bundle. 3 (Facultatif) Si le raccourci n'est pas disponible, accédez au répertoire d'installation de Log Insight Windows Agent et double-cliquez sur loginsight-agent-support.exe. REMARQUE Le répertoire d'installation par défaut est C:\Program Files (x86)\vmware\log Insight Agent 44 VMware, Inc.

45 Chapitre 1 Administration de Log Insight Le bundle est généré et enregistré sous la forme d'un fichier.zip dans le répertoire Mes documents. Suivant Transférez le bundle de support au support VMware, comme requis. Présentation de Log Insight Linux Agent Log Insight Linux Agent collecte les événements des fichiers journaux sur les machines Linux et les transfère vers le serveur Log Insight. Dans un système Linux, les applications peuvent stocker les données des journaux dans des fichiers texte plats sur le système de fichiers. Log Insight Linux Agent peut surveiller les répertoires et collecter les événements des fichiers journaux texte plats. Log Insight Linux Agent s'exécute en tant que démon et démarre immédiatement après l'installation. Après l'installation, vous pouvez configurer les options suivantes : Sélectionnez le serveur Log Insight cible vers lequel Log Insight Linux Agent transfère les événements. Configurez les répertoires que Log Insight Linux Agent surveille. Par défaut, Log Insight Linux Agent est configuré pour collecter les messages et les fichiers syslog du répertoire /var/log. [filelog messages] directory=/var/log include=messages;messages.? [filelog syslog] directory=/var/log include=syslog;syslog.? Log Insight Linux Agent prend en charge les distributions et versions suivantes. RHEL 5 mise à jour 10, RHEL 6 mise à jour 5 SLES 11 SP3 Ubuntu LTS, LTS et LTS Log Insight Linux Agent écrit ses propres fichiers journaux d'opération dans /var/log/loginsightagent/liagent_*.log. Les fichiers journaux permutent lorsque Log Insight Linux Agent redémarre et lorsqu'ils atteignent la taille de 10 Mo. Au moins 50 Mo des fichiers journaux sont conservés. Pour télécharger le package Log Insight Linux Agent, accédez à la page Administration de l'interface utilisateur Web de Log Insight dans la section Gestion, cliquez sur Agents, puis cliquez sur le lien du package correspondant. Installer ou mettre à jour le package RPM de Log Insight Linux Agent Installez le package RPM de Log Insight Linux Agent à l'aide du terminal système ou de l'interface utilisateur graphique. Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console. Log Insight Linux Agent a besoin d'un accès à syslog et aux services de mise en réseau pour fonctionner. Installez et exécutez Log Insight Linux Agent aux niveaux d'exécution 3 et 5. Si vous souhaitez que Log Insight Linux Agent fonctionne sous d'autres niveaux d'exécution, configurez le système en conséquence. VMware, Inc. 45

46 Guide d'administration de vrealize Log Insight de VMware 1 Ouvrez une console et exécutez la commande rpm -i package_name pour installer Log Insight Linux Agent. Remplacez package_name par la version appropriée. Par exemple, rpm -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.rpm REMARQUE Pour configurer le serveur Log Insight cible pendant l'installation, exécutez la commande suivante en remplaçant hostname par l'adresse IP ou le nom d'hôte du serveur Log Insight. sudo SERVERHOST=hostname rpm -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.rpm 2 (Facultatif) Pour mettre à jour Log Insight Linux Agent exécutez la commande suivante. rpm -Uhv VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.rpm REMARQUE Vous pouvez exécuter d'autres commandes RPM telles que -h, --hash, --version,-- allfiles etc., lors de l'installation, de la mise à jour ou de la désinstallation du package RPM de Log Insight Linux Agent, mais elles ne sont pas officiellement prises en charge. 3 (Facultatif) Pour exécuter Log Insight Linux Agent en tant qu'utilisateur non-racine, exécutez la commande suivante. sudo LIAGENTUSER=liagent rpm -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.rpm Si l'utilisateur spécifié n'existe pas, Log Insight Linux Agent crée le compte d'utilisateur pendant l'installation. Le compte créé n'est pas supprimé après la désinstallation. Si vous installez Log Insight Linux Agent avec le paramètre LIAGENTUSER=non_root_user et tentez de procéder à une mise à niveau avec LIAGENTUSER=non_root_user2, cela provoquera un conflit et vous verrez des avertissements, car l'utilisateur non_root_user2 ne dispose pas des autorisations de l'utilisateur non_root_user. 4 (Facultatif) Vous pouvez installer ou mettre à jour Log Insight Linux Agent à l'aide de l'interface utilisateur graphique. Double-cliquez sur la version appropriée du package RPM. REMARQUE La mise à niveau d'anciennes versions de Log Insight Linux Agent de 2.5 TP1, 2.5 TP2 ou 2.5 TP3 vers des versions plus récentes n'est pas prise en charge. Vous devez désinstaller les modules RPM plus anciens. 5 (Facultatif) Pour vérifier la version installée, exécutez rpm -qa grep Log-Insight-Agent Installer ou mettre à jour le package DEB de l' Log Insight Linux Agent Installez le package DEB de l'log Insight Linux Agent en utilisant le terminal du système. Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console. Log Insight Linux Agent a besoin d'accéder au syslog et aux services de mise en réseau pour fonctionner. Par défaut Log Insight Linux Agent s'exécute sur les niveaux d'exécution 2, 3, 4 et 5 et s'arrête sur les niveaux d'exécution 0, 1 et VMware, Inc.

47 Chapitre 1 Administration de Log Insight 1 Ouvrez une console et exécutez la commande dpkg -i package_name pour installer ou mettre à jour Log Insight Linux Agent. Remplacez package_name par la version appropriée. Par exemple, dpkg -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.deb Pour définir le serveur Log Insight cible pendant l'installation, exécutez la commande suivante remplaçant hostname par l'adresse IP ou nom d'hôte du serveur Log Insight. sudo SERVERHOST=hostname dpkg -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.deb 2 (Facultatif) Pour exécuter Log Insight Linux Agent en tant qu'utilisateur non racine, exécutez la commande suivante. sudo LIAGENTUSER=liagent dpkg -i VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER.deb Si l'utilisateur spécifié n'existe pas, Log Insight Linux Agent crée le compte utilisateur pendant l'installation. Le compte créé n'est pas supprimé après la désinstallation. Si vous installez Log Insight Linux Agent avec le paramètre LIAGENTUSER=non_root_user et tentez de le mettre à niveau avec LIAGENTUSER=non_root_user2, cela provoquera un conflit et des avertissements s'afficheront, car l'utilisateur non_root_user2 ne dispose pas des autorisations de l'utilisateur non_root_user. 3 (Facultatif) Vérifiez la version installée en exécutant dpkg -l grep -i VMware-Log-Insight-Agent REMARQUE La mise à niveau des versions antérieures de l'log Insight Linux Agent de 2.5 TP1, 2.5 TP2 ou 2.5 TP3 vers des versions plus récentes n'est pas prise en charge. Vous devez désinstaller les packages DEB plus anciens. Installer le package BIN de Log Insight Linux Agent Installez le package binaire de l'log Insight Linux Agent en utilisant le terminal du système. La mise à niveau du package BIN n'est pas prise en charge officiellement. Si vous avez un Log Insight Linux Agent existant installé utilisant un package BIN, désinstallez-le manuellement avant d'installer une nouvelle version. Effectuez une copie de sauvegarde du fichier liagent.ini situé dans /var/lib/loginsight-agent avant la désinstallation pour conserver la configuration locale. Reportezvous à «Désinstaller le module bin de Log Insight Linux Agent», page 52. Téléchargez et copiez le package Log Insight Linux Agent.bin vers la machine Linux cible. Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console. Log Insight Linux Agent a besoin d'accéder au syslog et aux services de mise en réseau pour fonctionner. 1 Ouvrez une console et exécutez la commande suivante pour modifier le fichier.bin en fichier exécutable. Remplacez la version du nom de fichier par la version appropriée. chmod +x filename-version.bin 2 Installez l'agent en exécutant la commande suivante. Remplacez la version du nom de fichier par la version appropriée../filename-version.bin REMARQUE Pour définir le serveur Log Insight cible pendant l'installation, exécutez la commande suivante remplaçant nom d'hôte par l'adresse IP ou le nom d'hôte du serveur Log Insight. sudo SERVERHOST=hostname./filename-version.bin VMware, Inc. 47

48 Guide d'administration de vrealize Log Insight de VMware 3 (Facultatif) Pour exécuter Log Insight Linux Agent en tant qu'utilisateur non racine, exécutez la commande suivante. sudo LIAGENTUSER=liagent./filename-version.bin Si l'utilisateur spécifié n'existe pas, Log Insight Linux Agent crée le compte utilisateur pendant l'installation. Le compte créé n'est pas supprimé après la désinstallation. Si vous installez Log Insight Linux Agent avec le paramètre LIAGENTUSER=non_root_user et tentez de le mettre à niveau avec LIAGENTUSER=non_root_user2, cela provoquera un conflit et des avertissements s'afficheront, car l'utilisateur non_root_user2 ne dispose pas des autorisations de l'utilisateur non_root_user. Configurer Log Insight Linux Agent Vous pouvez configurer Log Insight Linux Agent après l'avoir installé. Le fichier liagent.ini se trouve dans /var/lib/loginsight-agent/. Modifiez le fichier pour configurer Log Insight Linux Agent afin qu'il envoie les événements à un serveur Log Insight de votre choix, définisse le protocole et le port de communication, et configure la collecte de journaux de fichiers plats. Définir le serveur cible Log Insight Vous pouvez définir ou modifier le serveur cible Log Insight auquel Log Insight Linux Agent envoie des événements. Connectez-vous en tant que racine ou utilisez sudo pour exécuter des commandes de la console. Connectez-vous à la machine Linux sur laquelle vous avez installé Log Insight Linux Agent, ouvrez une console et exécutez pgrep liagent pour vérifier que VMware Log Insight Linux Agent est installé et fonctionne. Si vous disposez d'un cluster Log Insight pour lequel ILB (Integrated Load Balancer) est activé, reportez-vous à «Activer l'équilibrage de charge intégré», page 18 pour connaître les exigences spécifiques d'un certificat SSL personnalisé. 1 Ouvrez le fichier /var/lib/loginsight-agent/liagent.ini dans un éditeur de texte. 2 Modifiez les paramètres suivants et définissez les valeurs correspondant à votre environnement. Paramètre proto hostname port ssl reconnect Description Protocole que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs possibles sont cfapi et syslog. VMware recommande d'utiliser le paramètre cfapi par défaut. Adresse IP ou nom d'hôte du dispositif virtuel Log Insight. Port de communication que l'agent utilise pour envoyer des événements au serveur Log Insight. Les valeurs par défaut sont pour cfapi lorsque SSL est activé, pour cfapi lorsque SSL est désactivé et 514 pour syslog Active ou désactive SSL. La valeur par défaut est oui. Applicable à cfapi uniquement. Durée en minutes pour forcer la reconnexion au serveur. La valeur par défaut est 30. [server] ; Log Insight server hostname or ip address ; If omitted the default value is LOGINSIGHT ;hostname=loginsight 48 VMware, Inc.

49 Chapitre 1 Administration de Log Insight ; Set protocol to use: ; cfapi - Log Insight REST API ; syslog - Syslog protocol ; If omitted the default value is cfapi ; ;proto=cfapi ; Log Insight server port to connect to. If omitted the default value is: ; for syslog: 514 ; for cfapi without ssl: 9000 ; for cfapi with ssl: 9543 ;port=9543 ;ssl - enable/disable SSL. Applies to cfapi protocol only. ; Possible values are yes or no. If omitted the default value is yes. ;ssl=yes ; Time in minutes to force reconnection to the server ; If omitted the default value is 30 ;reconnect=30 3 Enregistrez et fermez le fichier liagent.ini. Exemple : Configuration [server] proto=cfapi hostname=loginsight port=9543 ssl=yes Suivant Vous pouvez configurer d'autres options SSL pour Log Insight Linux Agent. Reportez-vous à «Configurer la connexion SSL entre le serveur Log Insight et Log Insight Agents», page 89. Collecter les événements d'un fichier journal Vous pouvez configurer Log Insight Linux Agent afin de collecter des événements à partir d'un ou de plusieurs fichiers journaux. REMARQUE Par défaut Log Insight Linux Agent collecte des fichiers masqués comme VIM, CVS, SVN, GIT etc. Si vous ne souhaitez pas que Log Insight Linux Agent collecte des fichiers masqués, vous devez ajouter une exclusion exclude=^\.*. Connectez-vous en tant que racine ou utilisez sudo pour exécuter des commandes de console. Connectez-vous à la machine Linux sur laquelle vous avez installé Log Insight Linux Agent, ouvrez une console et exécutez pgrep liagent pour vérifier que Log Insight Linux Agent de VMware vrealize est installé et en cours d'exécution. 1 Ouvrez le fichier /var/lib/loginsight-agent/liagent.ini dans n'importe quel éditeur de texte. VMware, Inc. 49

50 Guide d'administration de vrealize Log Insight de VMware 2 Ajoutez des paramètres de configuration et définissez les valeurs de votre environnement. Paramètre [filelog section_name] directory include exclude event_marker enabled charset tags exclude_fields Description Nom unique de la section de configuration. Chemin d'accès complet au répertoire du fichier journal. (Facultatif) Nom de fichier ou masque de fichier (modèle glob) à partir duquel collecter des données. Vous pouvez fournir des valeurs sous la forme d'une liste séparée par des points-virgules. La valeur par défaut est * qui prévoit l'inclusion de tous les fichiers. Le paramètre respecte la casse. REMARQUE Les fichiers.zip et.gz sont exclus par défaut de la collecte. Si vous souhaitez collecter les fichiers.zip et.gz, ajoutez-les à l'aide du paramètre include. IMPORTANT Si vous collectez un fichier journal archivé par rotation, utilisez les paramètres include et exclude pour spécifier un modèle générique correspondant au fichier principal et au fichier archivé par rotation. Si le modèle générique correspond uniquement au fichier journal principal, Log Insight Agents peut ne pas prendre en compte des événements lors de l'archivage par rotation. Log Insight Agents détermine automatiquement l'ordre correct des fichiers archivés par rotation et envoie les événements au serveur Log Insight dans l'ordre approprié. Par exemple, si votre fichier journal principal se nomme myapp.log et si les journaux archivés par rotation sont myapp.log.1, myapp.log.2 etc., vous pouvez utiliser le modèle include suivant : include= myapp.log;myapp.log.* (Facultatif) Nom ou masque de fichier (modèle générique) à exclure de la collecte. Vous pouvez fournir des valeurs sous la forme d'une liste séparée par des points-virgules. La liste est vide par défaut, ce qui signifie qu'aucun fichier n'est exclu. (Facultatif) Expression régulière qui désigne le début d'un événement dans le fichier journal. En cas d'omission, la valeur par défaut est nouvelle ligne. Les expressions que vous tapez doivent utiliser la syntaxe des expressions régulières Perl. (Facultatif) Paramètre permettant d'activer ou de désactiver la section de configuration. Les valeurs possibles sont yes ou no. La valeur par défaut est yes. (Facultatif) Codage de caractères des fichiers journaux que surveille l'agent. Les valeurs possibles sont UTF-8, UTF-16LE et UTF-16BE. La valeur par défaut est UTF-8. (Facultatif) Paramètre permettant d'ajouter des balises personnalisées aux champs d'événements collectés. Définissez des balises avec la notation JSON. Les noms de balises peuvent contenir des lettres, des chiffres et des traits de soulignement. Un nom de balise ne peut commencer que par une lettre ou un trait de soulignement, et ne doit pas dépasser 64 caractères. Les noms de balises ne respectent pas la casse. Par exemple, si vous utilisez tags={"nom_balise1" : "valeur balise 1", "Nom_Balise1" : "valeur balise 2" }, Nom_Balise1 sera ignoré, car il est en double. Vous ne pouvez pas utiliser event_type et timestamp comme noms de balises. Tous les doublons inclus dans la même déclaration sont ignorés. Les balises peuvent remplacer le champ APP-NAME, si la destination est un serveur syslog. Par exemple, tags={"appname":"vrops"}. (Facultatif) Paramètre permettant d'exclure des champs donnés d'une collecte. Vous pouvez fournir plusieurs valeurs sous la forme d'une liste séparée par des points-virgules. Par exemple, exclude_fields=hostname; filepath [filelog section_name] directory=path_to_log_directory include=glob_pattern 3 Enregistrez et fermez le fichier liagent.ini. 50 VMware, Inc.

51 Chapitre 1 Administration de Log Insight Exemple : Configurations [filelog messages] directory=/var/log include=messages;messages.? [filelog syslog] directory=/var/log include=syslog;syslog.? [filelog Apache] directory=/var/log/apache2 include=* Désinstaller le package RPM de Log Insight Linux Agent Vous pouvez désinstaller le package RPM de Log Insight Linux Agent. Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console. Connectez-vous à la machine Linux sur laquelle vous avez installé Log Insight Linux Agent, ouvrez une console du terminal et exécutez pgrep liagent pour vérifier que Log Insight Linux Agent de VMware est installé et en cours d'exécution. u Exécutez la commande suivante en remplaçant VERSION et BUILD_NUMBER par la version et le numéro de build de l'agent installé. rpm -e VMware-Log-Insight-Agent-VERSION-BUILD_NUMBER Le programme de désinstallation arrête le démon de Log Insight Linux Agent de VMware et supprime tous ses fichiers à l'exception de ses propres journaux provenant du système. Désinstaller le module DEB de Log Insight Linux Agent Vous pouvez désinstaller le module DEB de Log Insight Linux Agent. Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console. Connectez-vous à la machine Linux sur laquelle vous avez installé Log Insight Linux Agent, ouvrez une console de terminal et exécutez pgrep liagent pour vérifier que VMware Log Insight Linux Agent est installé et fonctionne. u Exécutez la commande suivante. dpkg -P vmware-log-insight-agent Le programme de désinstallation arrête le démon VMware Log Insight Linux Agent et supprime l'ensemble de ses fichiers, sauf ses propres journaux du système. VMware, Inc. 51

52 Guide d'administration de vrealize Log Insight de VMware Désinstaller le module bin de Log Insight Linux Agent Vous pouvez désinstaller le module.bin de Log Insight Linux Agent. Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console. Connectez-vous à la machine Linux sur laquelle vous avez installé Log Insight Linux Agent, ouvrez une console de terminal et exécutez la commande pgrep liagent pour vérifier que Log Insight Linux Agent VMware vrealize est installé et qu'il s'exécute. 1 Interrompez le démon de Log Insight Linux Agent en exécutant la commande suivante sudo service liagentd stop ou sudo /sbin/service liagentd stop pour les distributions Linux plus anciennes. 2 Supprimer manuellement les fichiers de Log Insight Linux Agent /usr/lib/loginsight-agent : répertoire des fichiers de licence et binaires de démon /var/lib/loginsight-agent : répertoire de stockage de la base de données et des fichiers de configuration /var/log/loginsight-agent : répertoire des journaux pour le Log Insight Linux Agent /var/run/liagent.pid : fichier PID de Log Insight Linux Agent. Si le fichier n'est pas supprimé automatiquement, supprimez-le manuellement. /etc/init.d/liagentd : répertoire de scriptlet pour le démon de Log Insight Linux Agent Créer un bundle de support pour Log Insight Linux Agent SiLog Insight Linux Agent ne fonctionne pas comme prévu en raison d'un problème, vous pouvez envoyer une copie des fichiers de configuration et du journal au support VMware. 1 Connectez-vous à la machine cible sur laquelle vous avez installélog Insight Linux Agent. 2 Exécutez la commande suivante. /usr/lib/loginsight-agent/bin/loginsight-agent-support Ce bundle est généré et enregistré en tant que fichier.zip dans le répertoire actuel. Suivant Transférez le bundle de support au support VMware, comme requis. 52 VMware, Inc.

53 Chapitre 1 Administration de Log Insight Dépannage de Log Insight Agents Les informations de dépannage connues peuvent vous aider à diagnostiquer et à corriger les problèmes liés à l'utilisation de Log Insight Agents. Définir le niveau de détail des journaux dans le Log Insight Agents Vous pouvez modifier le fichier de configuration de l'agent Log Insight pour changer de niveau de journalisation. Pour Log Insight Linux Agent : Connectez-vous en tant qu'utilisateur racine ou utilisez sudo pour exécuter les commandes de la console. Connectez-vous à la machine Linux sur laquelle vous avez installé Log Insight Linux Agent, ouvrez une console et exécutez la commande pgrep liagent pour vérifier que Log Insight Linux Agent VMware vrealize est installé et qu'il s'exécute. Pour Log Insight Windows Agent : Connectez-vous à la machine Windows sur laquelle vous avez installé Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service VMware vrealize Log Insight Agent est installé. 1 Accédez au dossier contenant le fichier liagent.ini. Système d'exploitation Linux Windows Chemin /var/lib/loginsight-agent/ %ProgramData%\VMware\Log Insight Agent 2 Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque. 3 Modifiez le niveau de débogage de journal dans la section [logging] du fichier liagent.ini. REMARQUE Plus le niveau de débogage est élevé, plus il a d'impact sur l'agent Log Insight. La valeur par défaut est 0. C'est la valeur recommandée. Le niveau de débogage 1 permet d'obtenir plus d'informations. Il est recommandé pour le dépannage de la plupart des problèmes. Le niveau de débogage 2 permet d'obtenir des informations détaillées. Utilisez les niveaux 1 et 2 uniquement lorsque le support VMware vous le demande. [logging] ; The level of debug messages to enable: 0..2 debug_level=1 4 Enregistrez et fermez le fichier liagent.ini. Le niveau de débogage des journaux a changé. VMware, Inc. 53

54 Guide d'administration de vrealize Log Insight de VMware L'interface utilisateur d'administration n'affiche pas Log Insight Agents Aucune information sur les instances de Log Insight Agents ne s'affiche dans la page Agents de l'interface utilisateur d'administration. Problème Après l'installation de Log Insight Agents, vous ne voyez pas Log Insight Agents dans la page Agents de l'interface utilisateur d'administration. Cause Cet incident est le plus souvent dû à des problèmes de connectivité réseau ou à une configuration incorrecte de Log Insight Agents dans le fichier liagent.ini. Solution Vérifiez que le système Windows ou Linux sur lequel les agents Log Insight Agents sont installés dispose d'une connectivité au serveur Log Insight. Vérifiez que Log Insight Agents utilise le protocole cfapi. Lors de l'utilisation du protocole syslog, l'interface utilisateur n'affiche pas Log Insight Windows Agents. Affichez le contenu des fichiers journaux de Log Insight Agents se trouvant dans les répertoires suivants. Windows - %ProgramData%\VMware\Log Insight Agent\log Linux - /var/log/loginsight-agent/ Recherchez les messages de journaux qui contiennent les phrases Config transport error: Couldn't resolve host name et Resolver failed. No such host is known. Vérifiez que le fichier liagent.ini contient la configuration appropriée pour le serveur Log Insight cible. Voir «Définir le serveur Log Insight cible», page 32 et «Définir le serveur cible Log Insight», page 48. Log Insight Agents Ne pas envoyer d'événements Une configuration incorrecte peut empêcher Log Insight Agents de transférer les événements vers le serveur Log Insight. Problème Les instances de Log Insight Agents apparaissent sur la page Administration > Agent, mais aucun événement provenant des noms d'hôtes de Log Insight Agents n'apparaît sur la page Analyse interactive. Cause Une configuration incorrecte peut empêcher Log Insight Agents de transférer les événements vers le serveur Log Insight. 54 VMware, Inc.

55 Chapitre 1 Administration de Log Insight Solution Pour Log Insight Windows Agent, essayez ce qui suit. Affichez le contenu des fichiers journaux de Log Insight Windows Agent situés dans %ProgramData %\VMware\Log Insight Agent\log. Recherchez les messages de journaux liés à la configuration des canaux qui contiennent le texte Abonné au canal CHANNEL_NAME. Les noms de canaux par défaut sont Application, System et Security. Si un canal n'est pas configuré correctement, vous risquez de voir des messages de journaux semblables à Abonnement impossible aux événements du canal CHANNEL_NAME. Code d'erreur : Le canal spécifié est introuvable. Vérifiez la configuration du canal.. Il se peut qu'un code d'erreur différent de soit affiché. Si un canal de collecte de fichiers plats n'est pas configuré correctement, vous risquez de voir des messages tels que Des paramètres incorrects ont été obtenus pour le canal 'CHANNEL_NAME'. Le canal 'CHANNEL_NAME' restera dormant jusqu'à ce qu'il soit correctement configuré. Pour Log Insight Windows Agent et Log Insight Linux Agent, essayez ce qui suit. u Si aucun canal de collecte de fichiers plats n'est configuré, vous risquez de voir des messages semblables à Impossible de trouver la section 'filelog' dans la configuration. Le collecteur de journaux de fichiers plats restera dormant jusqu'à ce qu'il soit correctement configuré. Le contenu des fichiers journaux de Log Insight Agents se trouve dans les répertoires suivants. Windows - %ProgramData%\VMware\Log Insight Agent\log Linux - /var/log/loginsight-agent/ Suivant Pour plus d'informations sur la configuration de Log Insight Agents reportez-vous à «Configurer Log Insight Windows Agent après l'installation», page 31 et à «Configurer Log Insight Linux Agent», page 48. Ajouter une règle d'exception de trafic sortant pour Log Insight Windows Agent Définissez une règle d'exception pour débloquer Log Insight Windows Agent dans le Pare-feu Windows. La procédure s'applique à Windows Server 2008 R2 et version ultérieure, ainsi qu'à Windows 7 et version ultérieure. Vérifiez que vous disposez d'un compte administrateur ou d'un compte doté de privilèges administratifs. 1 Sélectionnez Démarrer > Exécuter. 2 Tapez wf.msc et cliquez sur OK. 3 Cliquez avec le bouton droit sur Règles de trafic sortant dans le volet de gauche et cliquez sur Nouvelle règle. 4 Sélectionnez Personnalisé et suivez les instructions de l'assistant pour définir les options ci-dessous. Option Programme Service Protocole et ports Description liwinsvc.exe LogInsightAgentService TCP 9000 pour cfapi et 514 pour syslog VMware, Inc. 55

56 Guide d'administration de vrealize Log Insight de VMware 5 Sur la page Spécifier les profils pour lesquels cette règle s'applique, sélectionnez le type de réseau approprié. Domaine Public Privée REMARQUE Vous pouvez sélectionner tous les types de réseaux pour vous assurer que la règle d'exception est active quel que soit le type de réseau. Suivant Accédez au répertoire des journaux de Log Insight Windows Agent %ProgramData%\VMware\Log Insight Agent\log et ouvrez le dernier fichier de journal. Si des événements récents contiennent les messages Erreur de transport de configuration : impossible de résoudre le nom d'hôte et Le programme de résolution a échoué. Hôte inconnu, redémarrez le service Log Insight Windows Agent et la machine Windows. REMARQUE La reconnexion entre le service Log Insight Windows Agent et le serveur peut prendre jusqu'à 5 minutes. Autoriser les connexions sortantes à partir de Log Insight Windows Agent dans un Pare-feu Windows Configurez les paramètres de Pare-feu Windows de manière à autoriser les connexions sortantes du Log Insight Windows Agent vers le serveur Log Insight. Une fois le service Log Insight Windows Agent installé et démarré, le pare-feu local ou le domaine Windows peuvent limiter la connectivité avec le serveur Log Insight cible. La procédure s'applique à Windows Server 2008 R2 et version ultérieure, ainsi qu'à Windows 7 et version ultérieure. Vérifiez que vous disposez d'un compte administrateur ou d'un compte doté de privilèges administratifs. 1 Sélectionnez Démarrer > Exécuter. 2 Tapez wf.msc et cliquez sur OK. 3 Dans le volet Actions, cliquez sur Propriétés. 4 Dans l'onglet Profil de domaine, sélectionnez Autoriser (par défaut) dans le menu déroulant Connexions sortantes. Si l'ordinateur n'est pas connecté à un domaine, vous pouvez sélectionner Profil privé ou Profil public, selon le type de réseau auquel l'ordinateur est connecté. 5 Cliquez sur OK. Suivant Définissez une règle d'exception de déblocage pour Log Insight Windows Agent dans le Pare-feu Windows. Reportez-vous à «Ajouter une règle d'exception de trafic sortant pour Log Insight Windows Agent», page VMware, Inc.

57 Chapitre 1 Administration de Log Insight Le déploiement en masse de Log Insight Windows Agent a échoué Le déploiement en masse de Log Insight Windows Agent a échoué sur les machines cibles. Problème Après un déploiement en masse sur les machines d'un domaine Windows à l'aide d'objets de stratégie de groupe, Log Insight Windows Agent ne parvient pas à s'installer en tant que service local. Cause Il est possible que les paramètres de stratégie de groupe empêchent l'installation correcte de Log Insight Windows Agent. Solution 1 Modifiez les paramètres d'objet de stratégie de groupe et redéployez le Log Insight Windows Agent. a b Cliquez avec le bouton droit sur l'objet de stratégie de groupe, sélectionnez Modifier et accédez à Configuration ordinateur > Stratégies > Modèles d'administration > Système > Ouverture de session. Activez la stratégie Toujours attendre le réseau lors du démarrage de l'ordinateur et de l'ouverture de session. c Accédez à Configuration ordinateur > Stratégies > Modèles d'administration > Système > Stratégie de groupe. d Activez la stratégie Temps d'attente de traitement de stratégie de démarrage et définissez Temps d'attente (en secondes) sur Exécutez la commande gpupdate /force /boot sur les machines cibles. Échec de l'installation de la mise à jour du package RPM Les tentatives d'installation d'une mise à jour du package RPM échouent lorsque vous utilisez l'interface graphique Linux. Problème L'installation ou la mise à jour du package RPM de Log Insight Linux Agent échoue lorsqu'elle a été effectuée en utilisant l'interface graphique dans des distributions Linux RHEL et SUSE. Le message d'erreur suivant peut s'afficher PK_TMP_DIR dir:///var/tmp/tmpdir.mtqops] Un référentiel existe déjà. Cause Le cache et la liste des référentiels peuvent ne pas être nettoyés après l'installation de différentes applications. Solution 1 Connectez-vous au système Linux où le RPM de Log Insight Linux Agent est installé et ouvrez une console système. 2 Exécutez les commandes suivantes en tant qu'utilisateur racine. sudo zypper rr 2 sudo zypper rr 1 sudo zypper clean -a sudo zypper ref 3 Double-cliquez sur le package RPM de Log Insight Linux Agent pour installer la mise à jour. VMware, Inc. 57

58 Guide d'administration de vrealize Log Insight de VMware Log Insight Agents rejettent un certificat auto-signé Les agentslog Insight Agents rejettent un certificat auto-signé. Problème Log Insight Agents rejette le certificat auto-signé et ne peut pas établir une connexion avec le serveur. REMARQUE Si vous rencontrez des problèmes de connexion avec l'agent, vous pouvez vérifier les journaux détaillés en modifiant le niveau de débogage pour l'agent Log Insight sur 1. Reportez-vous à «Définir le niveau de détail des journaux dans le Log Insight Agents», page 53. Cause Les messages affichés dans le journal de l'agent Log Insight ont des motifs spécifiques. Message Rejet d'un certificat auto-signé par un pair. La clé publique ne correspond pas à la clé du certificat enregistrée précédemment. Rejet d'un certificat auto-signé par un pair. Vous devez disposer d'un certificat reçu précédemment, signé par une autorité de certification de confiance. Cause Cela peut se produire lorsque le certificat de Log Insight Server a été remplacé. Un certificat signé par une autorité de certification de confiance est enregistré côté agent. Solution u Vérifiez que votre nom d'hôte cible est une instance approuvée de Log Insight puis supprimez manuellement le certificat précédent du répertoire Log Insight Agent cert. Pour Log Insight Windows Agent, accédez à C:\ProgramData\VMware\Log Insight Agent\cert. Pour Log Insight Linux Agent, accédez à /var/lib/loginsight-agent/cert. REMARQUE Certaines plates-formes peuvent utiliser des chemins d'accès non standard pour l'enregistrement des certificats approuvés. Log Insight Agents dispose d'une option pour configurer le chemin d'accès vers le magasin des certificats approuvés en configurant le paramètre de configuration ssl_ca_path=<fullpath>. Remplacez <fullpath> par le chemin d'accès vers le fichier groupé des certificats racines approuvés. Reportez-vous à «Configurer les paramètres SSL de Log Insight Agents», page 90. Le serveur Log Insight rejette la connexion pour trafic non chiffré Le serveur Log Insight rejette la connexion aveclog Insight Agents lorsque vous tentez d'envoyer du trafic non chiffré. Problème Lorsque vous tentez d'utiliser cfapi pour envoyer du trafic non chiffré, le serveur Log Insight rejette votre connexion. Le message d'erreur suivant apparaît dans le journal de l'agent Log Insight. 403 interdit. Cause Log Insight est configuré pour accepter uniquement les connexions SSL, mais les instances de Log Insight Agents sont configurées pour utiliser une connexion non-ssl. 58 VMware, Inc.

59 Chapitre 1 Administration de Log Insight Solution Vous pouvez configurer le serveur Log Insight pour accepter les connexions non-ssl ou configurer Log Insight Agents pour envoyer des données par l'intermédiaire du protocole de connexion SSL cfapi. 1 Configurez le serveur Log Insight pour accepter la connexion non-ssl. a b Cliquez sur l'icône du menu déroulant de configuration Dans Configuration, cliquez sur SSL. et sélectionnez Administration. c d Sous l'en-tête de l'api Server SSL, désélectionnez la case Exiger une connexion SSL. Cliquez sur Enregistrer. 2 Configurez Log Insight Agents pour envoyer des données par l'intermédiaire du protocole de connexion SSL Cfapi. a Accédez au dossier contenant le fichier liagent.ini. Système d'exploitation Linux Windows Chemin /var/lib/loginsight-agent/ %ProgramData%\VMware\Log Insight Agent b c Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque. Remplacez la valeur de la clé ssl dans la section [server] du fichier liagent.ini par yes et celle du protocole par cfapi. proto=cfapi ssl=yes d Enregistrez et fermez le fichier liagent.ini. L'environnement de cluster avec équilibrage de charge externe ne fonctionne pas L'environnement de cluster avec équilibrage de charge externe configuré avec la version de Log Insight antérieure à la version Bêta 2.5 ne fonctionne pas après la mise à niveau. Problème Après la mise à niveau de Log Insight Agents vers la version 2.5 Bêta ou ultérieure, l'environnement de cluster avec équilibrage de charge externe ne fonctionne pas. Cause Log Insight Agents à partir de la version 2.5 Bêta ou ultérieure de Log Insight utilise des paramètres par défaut pour se connecter via SSL sur le port Les versions antérieures de Log Insight Agents utilisaient une connexion non chiffrée. Solution Vous pouvez configurer Log Insight Agents pour utiliser une connexion non chiffrée ou configurer l'équilibrage de charge externe à gérer une connexion SSL. VMware, Inc. 59

60 Guide d'administration de vrealize Log Insight de VMware 1 Configurez Log Insight Agents pour utiliser une connexion non chiffrée. a Accédez au dossier contenant le fichier liagent.ini. Système d'exploitation Linux Windows Chemin /var/lib/loginsight-agent/ %ProgramData%\VMware\Log Insight Agent b Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque. c Modifiez la clé SSL dans la section [server] du fichier liagent.ini sur 0 et le port sur port=9000 ssl=0 d Enregistrez et fermez le fichier liagent.ini. 2 Configurez l'équilibrage de charge externe pour gérer les connexions SSL sur le port REMARQUE Si vous disposez d'un cluster avec un équilibrage de charge externe configuré pour décharger une connexion SSL afin d'envoyer un trafic non chiffré vers des nœuds maîtres, assurezvous que la case Nécessite une connexion SSL est décochée ou que la clé de configuration de [server] ssl est définie sur 0. Si ce n'est pas le cas, Log Insight Server rejette la connexion avec les agents. Configurer les alertes système de Log Insight Un administrateur peut configurer Log Insight de manière à envoyer des notifications relatives à la santé de l'application. Log Insight génère ces notifications lorsqu'un important événement système a lieu (par exemple, lorsque l'espace disque est presque épuisé et que Log Insight doit commencer à supprimer ou à archiver les fichiers journaux anciens). Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Configuration, cliquez sur Général. 60 VMware, Inc.

61 Chapitre 1 Administration de Log Insight 3 Sous l'en-tête Alertes, configurez les notifications système. a Dans la zone de texte Envoyer les notifications système par à, tapez les adresses auxquelles les notifications doivent être envoyées. Utilisez des virgules pour séparer les différentes adresses , le cas échéant. b c Cochez la case Envoyer une notification lorsque la capacité passe en-dessous de, puis définissez le seuil qui déclenche l'envoi des notifications. (Facultatif) Vérifiez que la case Interrompre les alertes de l'utilisateur n'est pas cochée. Cette case vous permet d'interrompre toutes les alertes par définies par l'utilisateur. REMARQUE Vous pouvez désactiver les notifications système en supprimant les adresses indiquées dans la zone de texte Envoyer les notifications système par à (cela n'est pas recommandé). 4 Cliquez sur Enregistrer. 5 Cliquez sur Redémarrer Log Insight pour appliquer vos modifications. Notifications par envoyées par Log Insight Log Insight envoie deux types de notifications par les notifications système et les notifications définies par l'utilisateur. Les administrateurs peuvent configurer Log Insight de manière à envoyer des notifications par lorsque certains événements se produisent dans le système. L'utilisateur Admin configure l'adresse d'expéditeur des s des notifications système dans la zone de texte Expéditeur, située sur la page de configuration SMTP de l'interface utilisateur d'administration. Reportez-vous à «Configurer le serveur SMTP pour Log Insight», page 66. Les utilisateurs Admin peuvent également configurer Log Insight de manière à envoyer des notifications par lorsque la capacité de stockage passe en-dessous d'un certain seuil. Chaque utilisateur de Log Insight peut créer des requêtes d'alertes afin de recevoir des notifications par e- mail de Log Insight lorsque certains critères sont remplis. Les utilisateurs Admin peuvent désactiver toutes les notifications définies par l'utilisateur. VMware, Inc. 61

62 Guide d'administration de vrealize Log Insight de VMware Type Nom de l'alerte Description Système Vous ne pourrez bientôt plus rechercher les données les plus anciennes Cette alerte vous informe que Log Insight va commencer à désaffecter les anciennes données du stockage du dispositif virtuel et vous indique la taille prévue des données pouvant être recherchées selon le taux d'ingestion actuel. Si vous avez configuré l'archivage, les données ayant changé seront archivées ; sinon, elles seront supprimées. L'alerte est envoyée après chaque redémarrage du service Log Insight. Système Durée de rétention du référentiel Cette alerte vous indique la quantité de données pouvant être recherchées et que peut stocker Log Insight, selon les taux d'ingestion actuels et dans l'espace de stockage disponible sur le dispositif virtuel. Les utilisateurs Admin peuvent définir le seuil de notification relatif au stockage. Reportez-vous à «Configurer les alertes système de Log Insight», page 60. Système Événements annulés Cette alerte vous indique que Log Insight n'a pas réussi à ingérer tous les messages de journaux entrants. En cas d'annulation de messages TCP, selon le suivi effectué par le serveur de Log Insight, une alerte système est envoyée dans les deux cas suivants : Une fois par jour Chaque fois que le service Log Insight est redémarré (manuellement ou automatiquement). L' contient le nombre de messages ayant été annulés depuis l'envoi de la dernière alerte par e- mail et le nombre total d'annulations de messages depuis le dernier redémarrage de Log Insight. REMARQUE L'heure indiquée sur la ligne d'envoi dépend du client de messagerie et suit le fuseau horaire local, alors que le corps de texte de l' indique l'heure UTC. 62 VMware, Inc.

63 Chapitre 1 Administration de Log Insight Type Nom de l'alerte Description Système Compartiments d'index corrompus Cette alerte vous informe qu'une partie de l'index sur disque est corrompue, ce qui indique en général de graves problèmes au niveau du système de stockage sous-jacent. La partie corrompue de l'index sera exclue des requêtes de service. Un index corrompu a une incidence sur l'ingestion des nouvelles données. Log Insight vérifie l'intégrité de l'index après le démarrage du service. Si une corruption de l'index est détectée, Log Insight envoie une alerte système dans les deux cas suivants : Une fois par jour Chaque fois que le service Log Insight est redémarré (manuellement ou automatiquement). Système Disque insuffisant Cette alerte vous indique que l'espace disque de Log Insight est en train de s'épuiser. Elle vous informe que Log Insight subit probablement un problème de stockage. Système L'espace d'archivage va être plein Cette alerte vous indique que l'espace disque utilisé pour l'archivage des données Log Insight sur le serveur NFS sera bientôt épuisé. Système Erreur d'archivage Cette alerte vous informe qu'une opération d'archivage des données Log Insight sur le serveur NFS a échoué, ce qui signifie en général que Log Insight rencontre des problèmes lors de la connexion au serveur NFS ou lors de l'écriture sur ce dernier. Système Modification de l'espace disque total Cette alerte vous informe que la taille totale de la partition destinée au stockage des données Log Insight a diminué, ce qui indique en général une erreur grave du système de stockage sous-jacent. Lorsque Log Insight détecte cette condition, l'alerte est envoyée comme suit : Immédiatement Une fois par jour Système Archivages en attente Cette alerte vous informe que Log Insight ne peut pas archiver les données comme prévu, ce qui indique en général des problèmes au niveau du stockage NFS que vous avez configuré pour l'archivage des données. Système La licence est sur le point d'expirer Cette alerte vous indique que Log Insight est sur le point d'expirer. Système La licence a expiré Cette alerte vous indique que Log Insight a expiré. VMware, Inc. 63

64 Guide d'administration de vrealize Log Insight de VMware Type Nom de l'alerte Description Système Connexion au serveur AD impossible Cette alerte vous informe que Log Insight ne parvient pas à se connecter au serveur Active Directory configuré. Définie par l'utilisateur Requêtes d'alerte Cette alerte vous indique qu'une requête a renvoyé des résultats correspondant aux critères définis pour l'alerte. Chaque utilisateur peut définir des requêtes d'alertes afin de recevoir des notifications par lorsque certains critères sont remplis. Reportez-vous à la rubrique Ajouter une requête d'alerte à Log Insight pour l'envoi de notifications par du Guide de l'utilisateur de Log Insight. Alertes système de montée en charge Log Insight envoie des alertes système spécifiques visant à vous informer en cas d'événements de montée en charge, tels qu'un ajout de nœuds et la modification du statut d'une appartenance. Expéditeur Nom de l'alerte Description Nœud maître Nœud maître Nœud maître Nœud maître Nœud maître Un nouveau nœud travailleur nécessite une approbation Un nouveau nœud travailleur a été approuvé Un nouveau nœud travailleur a été refusé Le nombre maximal de nœuds pris en charge a été dépassé à cause du nœud travailleur Le nombre de nœuds autorisés a été dépassé et le nouveau nœud travailleur est refusé Cette alerte vous indique qu'un nœud travailleur a fait une demande d'appartenance. Un utilisateur Admin doit approuver la demande ou la refuser. Cette alerte vous indique qu'un utilisateur Admin a approuvé la demande d'appartenance d'un nœud travailleur à rejoindre un cluster Log Insight. Cette alerte vous indique qu'un utilisateur Admin a refusé la demande d'appartenance d'un nœud travailleur à rejoindre un cluster Log Insight. Si la demande a été refusée par erreur, un utilisateur Admin peut envoyer de nouveau la demande depuis le travailleur, puis l'approuver dans le nœud maître. Cette alerte vous indique que le nombre de nœuds travailleurs du cluster Log Insight est supérieur au nombre maximal pris en charge à cause d'un nouveau nœud travailleur. Cette alerte vous indique qu'un utilisateur Admin a tenté d'ajouter au cluster davantage de nœuds que le nombre maximal autorisé et que l'ajout du nœud a été refusé. Nœud maître Nœud travailleur déconnecté Cette alerte vous indique qu'un nœud travailleur connecté au cluster Log Insight s'en est déconnecté. 64 VMware, Inc.

65 Chapitre 1 Administration de Log Insight Expéditeur Nom de l'alerte Description Nœud maître Nœud travailleur reconnecté Cette alerte vous indique qu'un nœud travailleur s'est reconnecté au cluster Log Insight. Nœud maître Nœud travailleur révoqué par l'administrateur Cette alerte vous indique qu'un utilisateur Admin a révoqué l'appartenance d'un nœud travailleur et que ce dernier ne fait plus partie du cluster Log Insight. Nœud maître Nœud travailleur inconnu rejeté Cette alerte vous indique que le nœud maître Log Insight a rejeté la demande d'un nœud travailleur, car il lui est inconnu. Si le nœud travailleur est valide et qu'il doit être ajouté au cluster, connectez-vous au nœud travailleur, supprimez son fichier de jeton et la configuration utilisateur à l'emplacement /storage/core/login sight/config/, puis exécutez restart loginsight service sur le nœud travailleur. Nœud maître Nœud maître Nœud travailleur Nœud travailleur Le nœud travailleur est passé en mode de maintenance Le nœud travailleur est revenu en mode service Le maître a échoué ou s'est déconnecté du nœud travailleur Nœud maître connecté au nœud travailleur Cette alerte vous indique qu'un nœud travailleur est passé en mode de maintenance. Pour pouvoir modifier la configuration et pour que le nœud travailleur puisse servir des requêtes, un utilisateur Admin doit désactiver ce mode sur le nœud. Cette alerte vous indique qu'un nœud travailleur n'est plus en mode de maintenance et qu'il est revenu en mode service. Cette alerte vous indique que le nœud travailleur qui envoie l'alerte ne peut pas contacter le nœud maître Log Insight. Cela peut indiquer que le nœud maître a échoué et qu'un redémarrage de ce dernier est nécessaire. En cas d'échec du nœud maître, le cluster ne peut pas être configuré et les requêtes ne peuvent pas être envoyées jusqu'à ce que le nœud soit de nouveau en ligne. Les nœuds travailleurs continuent cependant à ingérer des messages. REMARQUE Il peut vous arriver de recevoir plusieurs alertes de ce genre, car plusieurs nœuds travailleurs peuvent détecter la panne du nœud maître et envoyer chacun une notification. Cette alerte vous indique que le nœud travailleur qui envoie l'alerte est reconnecté au nœud maître Log Insight. VMware, Inc. 65

66 Guide d'administration de vrealize Log Insight de VMware Synchroniser l'heure sur le dispositif virtuel Log Insight Vous devez synchroniser l'heure du dispositif virtuel Log Insight avec celle d'un serveur NTP ou avec celle de l'hôte ESX/ESXi sur lequel le dispositif virtuel est déployé. La définition précise de l'heure est essentielle au bon fonctionnement des fonctionnalités principales de Log Insight. Par défaut, l'heure de Log Insight se synchronise avec celle d'une liste prédéfinie de serveurs NTP publics. Si les serveurs NTP publics sont bloqués par un pare-feu, vous pouvez utiliser le serveur NTP interne de votre société. Si aucun serveur NTP n'est disponible, vous pouvez synchroniser l'heure avec celle de l'hôte ESX/ESXi sur lequel le dispositif virtuel Log Insight est déployé. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Configuration, cliquez sur Heure. 3 Dans le menu déroulant Synchroniser l'heure avec, sélectionnez l'origine de l'heure avec laquelle la synchronisation aura lieu. Option serveur NTP Hôte ESX/ESXi Description Synchronise l'heure du dispositif virtuel Log Insight avec celle de l'un des serveurs NTP de la liste. Synchronise l'heure du dispositif virtuel Log Insight avec celle de l'hôte ESX/ESXi sur lequel le dispositif virtuel est déployé. 4 (Facultatif) Si vous avez choisi la synchronisation avec le serveur NTP, répertoriez les adresses de serveurs NTP, puis cliquez sur Tester. REMARQUE Le test de connexion aux serveurs NTP peut prendre jusqu'à 20 secondes par serveur. 5 Cliquez sur Enregistrer. Configurer le serveur SMTP pour Log Insight Vous pouvez configurer un SMTP pour permettre à Log Insight d'envoyer des alertes par . Les alertes système ont lieu lorsque Log Insight détecte un événement système important (par exemple, lorsque la capacité de stockage du dispositif virtuel atteint le seuil défini). Reportez-vous à «Notifications par envoyées par Log Insight», page 61. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 66 VMware, Inc.

67 Chapitre 1 Administration de Log Insight 2 Dans Configuration, cliquez sur SMTP. 3 Tapez le numéro de port et l'adresse du serveur SMTP. 4 Si le serveur SMTP utilise une connexion chiffrée, sélectionnez le protocole de chiffrement. 5 Dans la zone de texte Expéditeur, tapez l'adresse à utiliser pour l'envoi des alertes système. L'adresse de l'expéditeur est celle qui s'affiche dans le champ De des s de notification du système. Il n'est pas nécessaire que ce soit une adresse véritable, et elle peut faire référence à l'instance spécifique de Log Insight. Par exemple, [email protected]. 6 Tapez un nom d'utilisateur et un mot de passe pour l'authentification auprès du serveur SMTP lors de l'envoi d'alertes système. 7 Tapez une adresse de destination, puis cliquez sur Envoyer un de test pour vérifier la connexion. 8 Cliquez sur Enregistrer. Intégration Log Insight à d'autres produits VMware Log Insight peut être intégré à d'autres produits VMware dans le but d'utiliser les données de journaux et d'événements et d'améliorer la visibilité des événements se produisant dans votre environnement virtuel. Intégration à VMware vsphere Les utilisateurs Admin Log Insight peuvent configurer Log Insight de façon à ce qu'il se connecte aux systèmes vcenter Server toutes les deux minutes et collecte les données d'événements, d'alarmes et de tâches de ces systèmes vcenter Server. En outre, Log Insight peut configurer des hôtes ESXi via vcenter Server. Reportez-vous à «Connecter Log Insight à un environnement vsphere», page 68. Intégration à VMware vrealize Operations Manager Vous pouvez intégrer Log Insight au vapp vrealize Operations Manager et à la version installable de vrealize Operations Manager. Pour l'intégrer à la version installable, vous devez apporter des modifications supplémentaires à la configuration de vrealize Operations Manager. Pour plus d'informations sur la configuration de la version installable de vrealize Operations Manager dans le but de l'intégrer à Log Insight, reportez-vous au Guide de démarrage de Log Insight. Il existe deux manières pour intégrer Log Insight à vrealize Operations Manager. Événements de notification Lancement contextuel Les utilisateurs Admin Log Insight peuvent configurer Log Insight pour l'envoi d'événements de notification à vrealize Operations Manager à partir des requêtes que vous créez. Ces événements de notification ne constituent pas des alertes dans vrealize Operations Manager et n'ont aucune incidence sur la valeur des badges Santé, Risque ou Efficacité. Reportez-vous à «Configurer Log Insight pour envoyer des événements de notification à vrealize Operations Manager», page 74. Le lancement contextuel est une fonctionnalité de vrealize Operations Manager qui vous permet, dans un contexte particulier, de lancer une application externe via URL. Le contexte en question est défini par l'élément de l'interface utilisateur actif et par l'objet sélectionné. Avec le lancement contextuel, l'adaptateur Log Insight ajoute des éléments de menu VMware, Inc. 67

68 Guide d'administration de vrealize Log Insight de VMware à différentes vues dans l'interface utilisateur personnalisée et dans l'interface utilisateur vsphere de vrealize Operations Manager. Reportez-vous à «Activer le lancement contextuel de Log Insight dans vrealize Operations Manager», page 78. REMARQUE Les événements de notification ne dépendent pas de la configuration du lancement contextuel. Des événements de notification peuvent être envoyés de Log Insight vers vrealize Operations Manager, même si la fonctionnalité de lancement contextuel n'est pas activée. Si l'environnement change, les utilisateurs Admin de Log Insight peuvent modifier, ajouter ou supprimer des systèmes vsphere à partir de Log Insight, modifier ou supprimer l'instance de vrealize Operations Manager à laquelle sont envoyées les notifications d'alerte et modifier les mots de passe utilisés pour la connexion aux systèmes vsphere et à vrealize Operations Manager. Connecter Log Insight à un environnement vsphere Avant de configurer Log Insight pour la collecte des données d'alarmes, d'événements et de tâches issues de l'environnement vsphere, vous devez connecter Log Insight à un ou à plusieurs systèmes vcenter Server. Log Insight peut collecter deux types de données des instances de vcenter Server et des hôtes ESXi gérés par ces dernières. Les événements, les tâches et les alertes sont des données structurées qui ont une signification particulière. Lorsque Log Insight est configuré à cette intention, les événements, les tâches et les alertes sont extraits des instances de vcenter Server inscrites. Les journaux contiennent des données non structurées qui peuvent être analysées dans Log Insight. Les hôtes ESXi ou les instances de vcenter Server Appliance peuvent transmettre leurs journaux vers Log Insight à travers Syslog. Vérifiez que vos informations d'identification d'utilisateur disposent des privilèges suffisants pour configurer correctement le système vcenter Server et ses hôtes ESXi, selon le niveau d'intégration qui vous intéresse. Niveau d'intégration Collecte d'événements, de tâches et d'alarmes Configuration de Syslog sur les hôtes ESXi Privilèges requis Système.Vue REMARQUE Vue.Système est un privilège défini par le système. Lorsque vous ajoutez un rôle personnalisé et ne lui affectez pas de privilèges, le rôle est créé en tant que rôle en lecture seule avec trois privilèges définis par le système : Système.anonyme, Vue.système et Lecture.système. Hôte.Configuration.Modifier les paramètres Hôte.Configuration.Configuration du réseau REMARQUE Vous devez configurer l'autorisation dans le dossier de niveau supérieur de l'inventaire vcenter Server et vérifier que la case Propager vers les enfants est sélectionnée. Vérifiez que vous connaissez l'adresse IP ou le nom de domaine du système vcenter Server. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 68 VMware, Inc.

69 Chapitre 1 Administration de Log Insight 2 Sous Intégration, cliquez sur vsphere. 3 Tapez l'adresse IP et les informations d'identification d'une instance de vcenter Server, puis cliquez sur Tester la connexion. Il est recommandé d'utiliser les informations d'identification du compte de service. 4 (Facultatif) Pour inscrire une autre instance de vcenter Server, cliquez sur Ajouter vcenter Server et répétez les étapes 3 à 5. REMARQUE N'inscrivez pas des systèmes vcenter Server avec des noms ou des adresses IP en double. Log Insight ne recherche pas les noms d'instances de vcenter Server en double. Vous devez vérifiez que la liste des systèmes vcenter Server inscrits ne contient aucune entrée en double. 5 Cliquez sur Enregistrer. Suivant Commencez à collecter les données d'événements, de tâches et d'alarmes de l'instance de vcenter Server que vous avez inscrite. Reportez-vous à «Configurer Log Insight pour l'extraction des événements, des tâches et des alarmes d'une instance de vcenter Server», page 69. Commencez à collecter les flux Syslog des hôtes ESXi gérés par l'instance de vcenter Server. Reportezvous à «Configurer un hôte ESXi pour le transfert des événements de journaux à Log Insight», page 70. Configurer Log Insight pour l'extraction des événements, des tâches et des alarmes d'une instance de vcenter Server Les événements, les tâches et les alertes sont des données structurées qui ont une signification particulière. Vous pouvez configurer Log Insight de manière à collecter les alarmes, les événements et les tâches d'un ou de plusieurs systèmes vcenter Server. Vous devez utiliser l'interface utilisateur d'administration pour configurer Log Insight pour la connexion aux systèmes vcenter Server. Les informations sont extraites des systèmes vcenter Server à l'aide de vsphere Web Services API. Elles s'affichent sous forme de module de contenu vsphere dans l'interface utilisateur Web de Log Insight. REMARQUE Log Insight ne peut extraire les alarmes, événements et tâches qu'à partir des instances de vcenter ServervCenter Server 5.1 et version ultérieure. Vérifiez que vos informations d'identification disposent des privilèges System.View. REMARQUE Vous devez configurer l'autorisation dans le dossier de niveau supérieur de l'inventaire vcenter Server et vérifier que la case Propager vers les enfants est sélectionnée. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Intégration, cliquez sur vsphere. 3 Localisez l'instance de vcenter Server dont vous souhaitez collecter les données, puis cochez la case Collecter les événements, les tâches et les alarmes de vcenter Server. 4 Cliquez sur Enregistrer. Log Insight se connecte à l'instance de vcenter Server toutes les deux minutes et ingère toutes les informations apparues depuis la dernière interrogation. VMware, Inc. 69

70 Guide d'administration de vrealize Log Insight de VMware Suivant Analysez les événements vsphere à l'aide du module de contenu vsphere ou des requêtes personnalisées. Activez les alertes du module de contenu vsphere ou les alertes personnalisées. Log Insight en tant que serveur Syslog Log Insight inclut un serveur syslog intégré qui est constamment actif lorsque le service de Log Insight est en cours d'exécution. Le serveur syslog écoute sur les ports 514/TCP, 1514/TCP et 514/UDP et est prêt à ajouter les messages de journaux qui sont envoyés à partir d'autres hôtes. Les messages qui sont ingérés par le serveur syslog peuvent faire l'objet d'une recherche dans l'interface utilisateur Web de Log Insighten temps quasi réel. La longueur maximale de message syslog acceptée par Log Insight est de 10 Ko. Configurer un hôte ESXi pour le transfert des événements de journaux à Log Insight Les journaux contiennent des données non structurées qui peuvent être analysées dans Log Insight. Les hôtes ESXi ou les instances de vcenter Server Appliance peuvent transmettre leurs journaux vers Log Insight à travers Syslog. Vous devez configurer les hôtes ESXi ou les instances de vcenter Server Appliance de manière qu'ils transmettent leurs données Syslog vers Log Insight. Un cluster Log Insight peut distribuer les flux Syslog d'esxi et de vcenter Server Appliance entre ses nœuds individuels à l'aide d'un équilibrage de charge. Utilisez l'interface utilisateur d'administration de Log Insight pour configurer les hôtes ESXi sur une instance de vcenter Server inscrite afin que les flux Syslog soient transférés vers Log Insight. AVERTISSEMENT L'exécution de tâches de configuration en parallèle peut entraîner des erreurs de paramètres Syslog sur les hôtes ESXi cibles. Assurez-vous qu'aucun autre utilisateur Admin n'est en train de configurer les mêmes hôtes ESXi que vous. Pour plus d'informations sur la configuration des flux Syslog à partir d'un vcenter Server Appliance, reportez-vous à «Configurer un vcenter Server Appliance pour le transfert des événements de journaux à Log Insight», page 73. REMARQUE Log Insight peut recevoir des données Syslog des hôtes ESXi 5.x et version ultérieure. Vérifiez que l'instance de vcenter Server qui gère l'hôte ESXi est inscrite auprès de votre instance de Log Insight. Vérifiez que vos informations d'identification d'utilisateur disposent des privilèges suffisants pour configurer Syslog sur les hôtes ESXi. Hôte.Configuration.Paramètres avancés Hôte.Configuration.Profil de sécurité et pare-feu REMARQUE Vous devez configurer l'autorisation dans le dossier de niveau supérieur de l'inventaire vcenter Server et vérifier que la case Propager vers les enfants est sélectionnée. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 70 VMware, Inc.

71 Chapitre 1 Administration de Log Insight 2 Sous Intégration, cliquez sur vsphere. 3 Localisez l'instance de vcenter Server qui gère l'hôte ESXi dont vous souhaitez recevoir les flux Syslog. 4 Cochez la case Configurer des hôtes ESXi pour l'envoi de journaux à Log Insight. Par défaut, Log Insight configure tous les hôtes ESXi accessibles exécutant la version 5.x ou ultérieure de manière qu'ils envoient leurs journaux via UDP. Les hôtes ESX ne sont pas pris en charge. 5 (Facultatif) Entrez le nom d'hôte ou l'adresse IP de l'équilibrage de charge à utiliser pour distribuer les flux Syslog. 6 (Facultatif) Pour sélectionner les hôtes ESXi qui transfèrent leurs journaux vers Log Insight, le protocole utilisé pour le transfert des journaux vers Log Insight et la méthode de configuration de Syslog sur les hôtes ESXi 5.x, cliquez sur Options avancées. 7 Cliquez sur Enregistrer. Configurer Syslog manuellement avec vsphere Web Client Vous pouvez utiliser vsphere Web Client pour configurer Syslog sur un hôte ESXi de manière qu'il transfère ses messages de journaux à Log Insight. Pour transférer vers Log Insight des messages de journaux de plusieurs hôtes ESXi appartenant à l'instance de vcenter Server, chaque hôte ESXi doit être configuré. REMARQUE La procédure peut varier selon la version de l'hôte ESXi à configurer et le vsphere Web Client que vous utilisez. REMARQUE Si vous avez déjà configuré un hôte ESXi de manière à transférer les événements de journaux vers Log Insight en suivant la procédure «Configurer un hôte ESXi pour le transfert des événements de journaux à Log Insight», page 70, vous pouvez ignorer la procédure de configuration manuelle. Vérifiez que vos informations d'identification d'utilisateur disposent des privilèges suffisants pour configurer Syslog sur les hôtes ESXi. Hôte.Configuration.Paramètres avancés Hôte.Configuration.Profil de sécurité et pare-feu REMARQUE Vous devez configurer l'autorisation dans le dossier de niveau supérieur de l'inventaire vcenter Server et vérifier que la case Propager vers les enfants est sélectionnée. Vérifiez que vous êtes connecté sur l'instance de vcenter Server qui gère l'hôte ESXi que vous souhaitez configurer. 1 Dans le navigateur d'objets, sélectionnez l'hôte ESXi à configurer, puis cliquez sur l'onglet Gérer. 2 Dans l'onglet Paramètres, cliquez sur Paramètres système avancés. 3 Localisez la propriété Syslog.global.logHost et cliquez sur l'icône Modifier. VMware, Inc. 71

72 Guide d'administration de vrealize Log Insight de VMware 4 Modifiez la propriété Syslog.global.logHost de manière à la faire pointer vers l'adresse IP ou le nom d'hôte de Log Insight, puis cliquez sur OK. Le format est tcp udp ssl://log_insight-host: , où log_insight-host correspond à l'adresse IP ou au nom d'hôte du dispositif virtuel Log Insight. REMARQUE Utilisez le port 514 pour la communication UDP et TCP et le port 1514 pour le protocole SSL. 5 Vérifiez que le pare-feu ne bloque pas les ports de communication. a b c d Dans l'onglet Paramètres, cliquez sur Profil de sécurité et vérifiez que Syslog apparaît dans la liste Connexions sortantes. Si Syslog n'apparaît pas dans la liste des Connexions sortantes, cliquez sur Modifier en haut à droite. Allez à la liste des services, faites-la défiler vers le bas pour localiser le service Syslog, puis cochez la case syslog. Cliquez sur OK. Configurer Syslog manuellement avec la ligne de commande Vous pouvez configurer Syslog pour le transfert d'événements de journaux à Log Insight à l'aide de l'utilitaire esxcli. Vous pouvez exécuter la commande esxcli dans la console d'un hôte ESXi, dans l'interface de ligne de commande vsphere ou dans vsphere Management Assistant. REMARQUE Si vous avez déjà configuré un hôte ESXi de manière à transférer les événements de journaux vers Log Insight en suivant la procédure «Configurer un hôte ESXi pour le transfert des événements de journaux à Log Insight», page 70, vous pouvez ignorer la procédure de configuration manuelle. Pour configurer un hôte ESXi version 5.x, prenez connaissance des informations exposées dans l'article Configuring syslog on ESXi 5.x (KB ) (Configuration de Syslog sur ESXi 5.x) de la base de connaissances VMware. Pour configurer un hôte ESXi version 4.x, prenez connaissance des informations exposées dans l'article Enabling syslog on ESXi 3.5 and 4.x (KB ) (Activation de Syslog sur ESXi 3.5 et 4.x) de la base de connaissances VMware. Vérifiez que vos informations d'identification d'utilisateur disposent des privilèges suffisants pour configurer Syslog sur les hôtes ESXi. Hôte.Configuration.Paramètres avancés Hôte.Configuration.Profil de sécurité et pare-feu REMARQUE Vous devez configurer l'autorisation dans le dossier de niveau supérieur de l'inventaire vcenter Server et vérifier que la case Propager vers les enfants est sélectionnée. 1 Ouvrez une session de console ESXi Shell dans laquelle la commande esxcli est disponible. Vous pouvez par exemple utiliser vma ou ouvrir la session directement sur l'hôte ESXi. 2 Pour afficher les options de configuration actuelles de l'hôte, exécutez la commande suivante. esxcli system syslog config get 72 VMware, Inc.

73 Chapitre 1 Administration de Log Insight 3 Pour modifier la configuration d'un hôte, exécutez la commande suivante afin d'indiquer les options à modifier. esxcli system syslog config set --loghost=tcp udp ssl://log_insight-host:514 REMARQUE Vous devez utiliser udp ou tcp, mais pas les deux. Par exemple, la commande suivante configure Syslog à distance avec udp sur le port 514. esxcli system syslog config set --loghost=udp:// :514 Pour configurer votre hôte ESXi de manière qu'il transfère les journaux vers plusieurs points de terminaison, vous pouvez énumérer les points de terminaison dans la commande en les séparant par des virgules. esxcli system syslog config set --loghost=udp:// :514,tcp:// :514 4 Pour vous assurer que le pare-feu ESXi est configuré de manière à autoriser le trafic Syslog à partir de l'hôte, exécutez les commandes suivantes. esxcli network firewall ruleset set --ruleset-id=syslog --enabled=true esxcli network firewall refresh 5 Chargez la nouvelle configuration en exécutant la commande esxcli system syslog reload. REMARQUE Si vous n'exécutez pas cette commande, les modifications apportées à la configuration n'entrent pas en vigueur. Configurer un vcenter Server Appliance pour le transfert des événements de journaux à Log Insight Vous pouvez configurer un vcenter Server Appliance de manière qu'il envoie à travers Syslog ses messages de journaux à Log Insight. Pour configurer des hôtes ESXi de manière qu'ils transfèrent leurs journaux à Log Insight, reportez-vous à Connecter Log Insight à des systèmes vcenter Server 5.1.x dans le Guide d'administration de Log Insight. Vérifiez que vous disposez des informations d'identification d'utilisateur racine pour le vcenter Server Appliance. Si vous prévoyez de vous connecter au dispositif virtuel Log Insight à l'aide de SSH, vérifiez que le port TCP 22 est ouvert. 1 Établissez une connexion SSH à l'hôte vcenter Server Appliance, puis connectez-vous en tant qu'utilisateur racine. 2 Accédez à /etc/syslog-ng/. 3 Ouvrez le fichier syslog-ng.conf pour le modifier et ajoutez le texte suivant à la fin du fichier. source vpxd { file("/var/log/vmware/vpx/vpxd.log" follow_freq(1) flags(no-parse)); file("/var/log/vmware/vpx/vpxd-alert.log" follow_freq(1) flags(no-parse)); file("/var/log/vmware/vpx/vws.log" follow_freq(1) flags(no-parse)); file("/var/log/vmware/vpx/vmware-vpxd.log" follow_freq(1) flags(no-parse)); VMware, Inc. 73

74 Guide d'administration de vrealize Log Insight de VMware file("/var/log/vmware/vpx/inventoryservice/ds.log" follow_freq(1) flags(no-parse)); }; destination loginsight { udp("<loginsight-host>"); }; log { source(vpxd); destination(loginsight); }; REMARQUE Vous pouvez utiliser tcp à la place de udp. 4 Exécutez service syslog restart pour charger la nouvelle configuration. Configurer Log Insight pour envoyer des événements de notification à vrealize Operations Manager Vous pouvez configurer Log Insight pour envoyer des notifications d'alerte à vrealize Operations Manager. Vous pouvez intégrer Log Insight au vapp vrealize Operations Manager et à la version installable de vrealize Operations Manager. Pour l'intégrer à la version installable, vous devez apporter des modifications supplémentaires à la configuration de vrealize Operations Manager. Pour plus d'informations sur la configuration de la version installable de vrealize Operations Manager dans le but de l'intégrer à Log Insight, reportez-vous au Guide de démarrage de Log Insight. L'intégration des alertes Log Insight à vrealize Operations Manager permet d'afficher toutes les informations relatives à votre environnement dans une interface utilisateur unique. Vous pouvez envoyer des événements de notification à partir de plusieurs instances de Log Insight vers une instance de vrealize Operations Manager unique. Vous pouvez activer le lancement contextuel pour une instance de Log Insight unique par instance de vrealize Operations Manager. Vérifiez que la version de vrealize Operations Manager prend en charge les notifications d'alerte provenant de Log Insight. Pour plus d'informations sur les versions du produit prises en charge, reportez-vous à la rubrique Compatibilité du produit du Guide de démarrage de Log Insight. REMARQUE Log Insight ne vérifie pas la version de l'instance de vrealize Operations Manager cible et vous permet de poursuivre la configuration des notifications. Toutefois, il est possible que les événements de notification ne s'affichent pas comme prévu dans l'interface utilisateur de vrealize Operations Manager. Vérifiez que vous disposez des informations d'identification d'utilisateur minimales, en fonction de la licence vrealize Operations Manager qui vous a été attribuée. Licence de vrealize Operations Manager Standard Advanced ou Enterprise Informations d'identification minimales Informations d'identification d'utilisateur Admin par défaut Informations d'identification d'utilisateur en lecture seule REMARQUE Log Insight ne prend pas en charge l'intégration d'active Directory avec vrealize Operations Manager. Vérifiez que vous connaissez l'adresse IP ou le nom de domaine de l'instance de vrealize Operations Manager cible. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 74 VMware, Inc.

75 Chapitre 1 Administration de Log Insight 2 Sous Intégration, sélectionnez vrealize Operations Manager. 3 Tapez l'adresse IP ou le nom d'hôte et les informations d'identification de l'utilisateur correspondant à la machine virtuelle d'interface utilisateur de l'instance de vrealize Operations Manager, puis cliquez sur Tester la connexion. Log Insight utilise les informations d'identification pour transmettre les événements de notification à vrealize Operations Manager. Il est recommandé d'utiliser les informations d'identification du compte de service. 4 Dans le volet vrealize Operations Manager, sélectionnez Activer l'intégration des alertes. 5 Cliquez sur Enregistrer. Suivant Par défaut, les événements de notification envoyés par Log Insight ne sont pas visibles dans l'interface utilisateur vsphere de vrealize Operations Manager. Accédez à Planification > Événements, puis cliquez sur Afficher les événements de notification. Vous pouvez configurer les requêtes d'alertes pour envoyer des événements de notification à vrealize Operations Manager. Reportez-vous à la rubrique Ajouter une requête d'alerte à Log Insight pour l'envoi d'événements de notification à vrealize Operations Manager du Guide de l'utilisateur de Log Insight. Événements de notification Log Insight dans vrealize Operations Manager Vous pouvez configurer Log Insight de manière à envoyer des événements de notification à vrealize Operations Manager à partir des requêtes d'alertes que vous créez. Lorsque vous configurez une alerte de notification dans Log Insight, vous sélectionnez dans vrealize Operations Manager une ressource associée aux événements de notification. Reportez-vous à la rubrique Ajouter une requête d'alerte à Log Insight pour l'envoi d'événements de notification à vrealize Operations Manager dans le Guide de l'utilisateur de Log Insight. L'emplacement des événements de notification Log Insight dépend de la version de l'interface utilisateur de vrealize Operations Manager que vous utilisez. Tableau 1 1. Sections de l'interface utilisateur de vrealize Operations Manager où apparaissent les événements de notification Interface utilisateur de vrealize Operations Manager Section dans laquelle s'affichent les événements de notification Log Insight Interface utilisateur personnalisée Page Présentation des alertes. Tous les tableaux de bord présentant le widget de tableau de bord Alertes Interface utilisateur de vsphere Onglet Événements, situé sous l'onglet Opérations. Onglet Événements, situé sous l'onglet Planification. Le nom et la description de l'alerte tels qu'indiqués dans Log Insight s'affichent dans la colonne Infos sur l'alerte des listes d'alertes de vrealize Operations Manager. Par défaut, la colonne Infos sur l'alerte n'est pas visible sur l'interface utilisateur personnalisée. Pour activer cette colonne, développez le menu déroulant situé dans l'en-tête du tableau, puis cochez la case Infos sur l'alerte. VMware, Inc. 75

76 Guide d'administration de vrealize Log Insight de VMware Ajouter un domaine de recherche Vous pouvez ajouter un domaine de recherche pour améliorer la correspondance d'inventaire de vrealize Operations Manager. L'ajout d'un domaine de recherche améliore la correspondance lorsque l'intitulé d'une machine virtuelle et un domaine de recherche sont résolus en adresse IP de l'hôte qui envoie des messages de journaux à Log Insight. Par exemple, si vous disposez d'une machine virtuelle nommée linux_01 dans vrealize Operations Manager et si le nom d'hôte linux_01.company.com est résolu en , l'ajout d'un domaine de recherche permet à Log Insight de reconnaître et de correspondre à cette ressource. Vérifiez que vous disposez des informations d'identification de l'utilisateur racine pour vous connecter au dispositif virtuel Log Insight. Reportez-vous à «Configurer le mot de passe SSH racine du dispositif virtuel Log Insight», page 8 Pour activer les connexions SSH, vérifiez que le port TCP 22 est ouvert. 1 Établissez une connexion SSH au dispositif virtuel Log Insight, puis connectez-vous en tant qu'utilisateur racine. 2 Ouvrez /etc/resolv.conf. 3 Ajoutez votre domaine de recherche. Par exemple,search company.com. 4 Enregistrez et fermez le fichier. Installez l'adaptateur Log Insight dans vrealize Operations Manager la version autonome de Log Insight Vous devez installer l'adaptateur Log Insight dans vrealize Operations Manager la version autonome de vrealize Operations Manager pour activer la fonctionnalité de lancement contextuel. L'adaptateur Log Insight fournit les informations nécessaires à vrealize Operations Manager pour le démarrage de Log Insight. Cet adaptateur ne collecte aucune donnée. L'adaptateur Log Insight est installé comme partie intégrante du vapp vrealize Operations Manager 5.7.1, mais pas de la version autonome de vrealize Operations Manager. Vous devez alors installer l'adaptateur Log Insight manuellement dans le cas de la version autonome. L'adaptateur Log Insight est installé comme partie intégrante de vrealize Operations Manager et 5.8. VMware distribue l'adaptateur Log Insight sous forme d'archive.tgz contenant les utilitaires d'installation pour Windows et Linux. Téléchargez le fichier d'installation du module de gestion à l'adresse Vous pouvez télécharger le fichier TGZ depuis l'onglet Ressources de la page du module de gestion. Notez le numéro de build indiqué dans le nom du fichier TGZ. Ce numéro apparaît après le nom du module de gestion, par exemple, managementpack_name-buildnumber.tgz. Vérifiez que vous avez accès au serveur sur lequel s'exécute vrealize Operations Manager et que vous disposez des autorisations requises pour installer le logiciel sur ce serveur. Vérifiez que la version de vrealize Operations Manager est la version ou ultérieure. 76 VMware, Inc.

77 Chapitre 1 Administration de Log Insight Vérifiez que vous connaissez l'adresse IP ou le nom de domaine de l'instance de vrealize Operations Manager cible. Vérifiez que vous disposez des informations d'identification d'utilisateur minimales, en fonction de la licence vrealize Operations Manager qui vous a été attribuée. Licence de vrealize Operations Manager Standard Advanced ou Enterprise Informations d'identification minimales Informations d'identification d'utilisateur Admin par défaut Informations d'identification d'utilisateur en lecture seule REMARQUE Log Insight ne prend pas en charge l'intégration d'active Directory avec vrealize Operations Manager. 1 Ouvrez le fichier TGZ et extrayez le fichier TAR dans un emplacement temporaire sur votre serveur vrealize Operations Manager. 2 Dans ce dossier temporaire, ouvrez le fichier TAR, extrayez le programme d'installation correspondant à la plate-forme de votre système d'exploitation, puis exécutez-le. 3 Connectez-vous à vrealize Operations Manager en tant qu'administrateur. 4 Sélectionnez Admin > Support. 5 Dans l'onglet Info, recherchez le volet des informations de l'adaptateur et cliquez sur l'icône Description ( ). L'icône Description est située en haut à droite du volet des informations de l'adaptateur. 6 Cliquez sur Oui pour lancer le processus de description. 7 Vérifiez que le numéro de build indiqué dans cette colonne, dans le module de gestion, correspond au numéro indiqué dans le fichier TGZ que vous avez téléchargé. Suivant Une fois l'adaptateur installé, activez le lancement contextuel dans l'interface utilisateur Web d'administration de Log Insight. Reportez-vous à la rubrique Activer le lancement contextuel de Log Insight dans vrealize Operations Manager du Guide d'administration de Log Insight. Module de contenu de vrealize Operations Manager pour Log Insight Le module de contenu de vrealize Operations Manager pour Log Insight contient des tableaux de bord, des champs extraits, des requêtes enregistrées et des alertes qui s'utilisent pour analyser tous les journaux redirigés depuis une instance de vrealize Operations Manager. Le module de contenu de vrealize Operations Manager vous permet d'analyser tous les journaux redirigés depuis une instance de vrealize Operations Manager. Il contient des tableaux de bord, des requêtes et des alertes grâce auxquels l'administrateur de vrealize Operations Manager peut réaliser des actions de dépannage et de diagnostic. Pour faciliter leur gestion, les tableaux de bord sont groupés en fonction des composants principaux de vrealize Operations Manager, tels qu'analyse, Interface utilisateur et Adaptateurs. Vous pouvez activer différentes alertes pour l'envoi d' s et d'événements de notification de vrealize Operations Manager aux administrateurs. REMARQUE Le module de contenu de vrealize Operations Manager requiert Log Insight version 1.5 et vrealize Operations Manager version 5.8. VMware, Inc. 77

78 Guide d'administration de vrealize Log Insight de VMware Vous pouvez télécharger le module de contenu de vrealize Operations Manager à l'adresse Reportez-vous à la rubrique Utilisation des modules de contenu du Guide de l'utilisateur de Log Insight. Activer le lancement contextuel de Log Insight dans vrealize Operations Manager Vous pouvez configurer vrealize Operations Manager de manière à afficher des éléments de menu relatifs à Log Insight et à lancer Log Insight avec une requête spécifique à l'objet. Vous pouvez intégrer Log Insight au vapp vrealize Operations Manager et à la version installable de vrealize Operations Manager. Pour l'intégrer à la version installable, vous devez apporter des modifications supplémentaires à la configuration de vrealize Operations Manager. Pour plus d'informations sur la configuration de la version installable de vrealize Operations Manager dans le but de l'intégrer à Log Insight, reportez-vous au Guide de démarrage de Log Insight. IMPORTANT Une instance de vrealize Operations Manager ne prend en charge le lancement contextuel que pour une seule instance de Log Insight. Log Insight ne vérifie pas si d'autres instances sont déjà inscrites auprès de vrealize Operations Manager ; vous pouvez donc être amené à remplacer les paramètres d'un autre utilisateur. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. Vérifiez que vous connaissez l'adresse IP ou le nom de domaine de l'instance de vrealize Operations Manager cible. Vérifiez que vous disposez des informations d'identification d'utilisateur minimales, en fonction de la licence vrealize Operations Manager qui vous a été attribuée. Licence de vrealize Operations Manager Standard Advanced ou Enterprise Informations d'identification minimales Informations d'identification d'utilisateur Admin par défaut Informations d'identification d'utilisateur en lecture seule REMARQUE Log Insight ne prend pas en charge l'intégration d'active Directory avec vrealize Operations Manager. Vérifiez que la version de vrealize Operations Manager est la version ou ultérieure. REMARQUE Log Insight ne vérifie pas la version de l'instance de vrealize Operations Manager cible et vous autorise à continuer. Cependant, vrealize Operations Manager ou version ultérieure est requis pour le bon fonctionnement du lien vers Log Insight et pour l'ouverture de l'alerte ayant généré l'événement de notification. Pour plus d'informations sur les versions du produit prises en charge, reportez-vous à la rubrique Compatibilité du produit du Guide de démarrage de Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Intégration, sélectionnez vrealize Operations Manager. 78 VMware, Inc.

79 Chapitre 1 Administration de Log Insight 3 Tapez l'adresse IP ou le nom d'hôte et les informations d'identification de l'utilisateur correspondant à la machine virtuelle d'interface utilisateur du vapp vrealize Operations Manager. Cliquez ensuite sur Tester la connexion. REMARQUE Vous devez fournir les informations d'identification d'un utilisateur administrateur de vrealize Operations Manager. 4 Cliquez sur Enregistrer. Log Insight configure l'instance de vrealize Operations Manager. Cette opération peut prendre quelques minutes. Des éléments relatifs à Log Insight apparaissent dans les menus de vrealize Operations Manager. Suivant Lancez une requête Log Insight depuis l'instance de vrealize Operations Manager. Reportez-vous à «Lancement contextuel de Log Insight», page 79 Lancement contextuel de Log Insight Vous pouvez configurer vrealize Operations Manager ou version ultérieure de manière à déclencher des actions relatives à Log Insight. Lorsque vous activez la fonction de lancement contextuel dans Log Insight, une ressource Log Insight est créée sous l'adaptateur HTTP Post dans vrealize Operations Manager. L'identificateur de la ressource contient l'adresse IP de l'instance de Log Insight ; il est utilisé par vrealize Operations Manager pour ouvrir Log Insight. Lancement contextuel dans l'interface utilisateur vsphere de vrealize Operations Manager Les options de lancement contextuel relatives à Log Insight s'affichent dans le menu déroulant Actions de l'interface utilisateur vsphere. Ces éléments de menu vous permettent d'ouvrir Log Insight et de rechercher des événements de journaux à partir d'un objet de vrealize Operations Manager. L'action de lancement contextuel disponible dépend de l'objet sélectionné dans l'inventaire vrealize Operations Manager. L'intervalle de temps des requêtes est limité à 60 minutes avant l'activation d'une option de lancement contextuel. Tableau 1 2. Objets de l'interface utilisateur vsphere de vrealize Operations Manager et leurs options et actions de lancement contextuel Objet sélectionné dans vrealize Operations Manager Option de lancement contextuel dans le menu déroulant Actions Action dans vrealize Operations Manager Action dans Log Insight Monde Ouvrir vrealize Log Insight Ouvre Log Insight. Log Insight affiche l'onglet Analyse interactive. vcenter Server Ouvrir vrealize Log Insight Ouvre Log Insight. Log Insight affiche l'onglet Analyse interactive. Centre de données Rechercher des journaux dans vrealize Log Insight Ouvre Log Insight et transfère le nom des ressources de tous les systèmes hôtes en dessous de l'objet de centre de données sélectionné. Log Insight affiche l'onglet Analyse interactive et lance une requête afin de rechercher les événements de journaux contenant des noms d'hôtes dans le centre de données. VMware, Inc. 79

80 Guide d'administration de vrealize Log Insight de VMware Tableau 1 2. Objets de l'interface utilisateur vsphere de vrealize Operations Manager et leurs options et actions de lancement contextuel (suite) Objet sélectionné dans vrealize Operations Manager Option de lancement contextuel dans le menu déroulant Actions Action dans vrealize Operations Manager Action dans Log Insight Cluster Rechercher des journaux dans vrealize Log Insight Ouvre Log Insight et transfère le nom des ressources de tous les systèmes hôtes en dessous de l'objet de cluster sélectionné. Log Insight affiche l'onglet Analyse interactive et lance une requête afin de rechercher les événements de journaux contenant des noms d'hôtes dans le cluster. Système hôte Rechercher des journaux dans vrealize Log Insight Ouvre Log Insight et transfère le nom de la ressource de l'objet d'hôte sélectionné. Log Insight affiche l'onglet Analyse interactive et lance une requête afin de rechercher les événements de journaux contenant le nom du système hôte sélectionné. Machine virtuelle Rechercher des journaux dans vrealize Log Insight Ouvre Log Insight et transfère l'adresse IP de la machine virtuelle sélectionnée et le nom de la ressource du système hôte associé. Log Insight affiche l'onglet Analyse interactive et lance une requête afin de rechercher les événements de journaux contenant l'adresse IP de la machine virtuelle et le nom de l'hôte où réside la machine virtuelle. Si, dans l'onglet Alertes, vous sélectionnez une alerte et choisissez Rechercher des journaux dans Log Insight dans le menu contextuel, l'intervalle de temps de la requête est limité à une heure avant le déclenchement de l'alerte. Cela signifie que si une alerte a été déclenchée à 14 h 00, par exemple, la requête dans Log Insight affiche tous les messages de journaux se produisant entre 13 h 00 et 14 h 00. Cela vous aide à identifier les événements ayant pu déclencher l'alerte. Vous pouvez ouvrir Log Insight depuis le diagramme de mesures de vrealize Operations Manager. L'intervalle de temps de la requête exécutée par Log Insight correspond à celle du diagramme de mesures. REMARQUE L'heure du diagramme de mesures de Log Insight et celle du diagramme de mesures de vrealize Operations Manager peuvent varier si le paramètre d'heure des dispositifs virtuels est configuré différemment. Lancement contextuel dans l'interface utilisateur personnalisée de vrealize Operations Manager L'icône de lancement contextuel apparaît sur plusieurs pages de l'interface utilisateur personnalisée, mais vous pouvez lancer Log Insight uniquement depuis les pages qui affichent des événements de notification de Log Insight : Page Présentation des alertes. La page Résumé de l'alerte d'une alerte de notification Log Insight. Les widgets Alertes de vos tableaux de bord, lorsqu'une alerte de notification Log Insight est sélectionnée. Lorsque vous sélectionnez un événement de notification Log Insight dans l'interface utilisateur personnalisée, vous avez le choix entre deux actions de lancement contextuel. 80 VMware, Inc.

81 Chapitre 1 Administration de Log Insight Tableau 1 3. Options et actions de lancement contextuel dans l'interface utilisateur personnalisée de vrealize Operations Manager Option de lancement contextuel dans vrealize Operations Manager Action dans vrealize Operations Manager Action dans Log Insight Ouvrir vrealize Log Insight Ouvre Log Insight. Log Insight affiche l'onglet Tableaux de bord et charge le tableau de bord de présentation de vsphere. Rechercher des journaux dans vrealize Log Insight Ouvre Log Insight et transfère l'id de la requête qui a déclenché l'événement de notification. Log Insight affiche l'onglet Analyse interactive et lance la requête qui a déclenché l'événement de notification. Lorsque vous sélectionnez une alerte qui ne provient pas de Log Insight, l'élément Rechercher les journaux de machines virtuelles et d'hôtes dans vrealize Log Insight apparaît dans le menu de lancement contextuel. Si vous le sélectionnez, vrealize Operations Manager ouvre Log Insight et transfère les identificateurs de l'objet ayant déclenché l'alerte. Log Insight lance une recherche dans les événements de journaux disponibles à l'aide des identificateurs des ressources. Désactiver le lancement contextuel de Log Insight dans vrealize Operations Manager Pour supprimer les éléments de menu relatifs à Log Insight dans l'interface utilisateur de vrealize Operations Manager, désinstallez l'adaptateur Log Insight de l'instance de vrealize Operations Manager. Utilisez l'interface utilisateur d'administration de Log Insight pour désactiver le lancement contextuel. S vous n'avez pas accès à Log Insight ou si l'instance de Log Insight est supprimée avant la désactivation de la connexion à vrealize Operations Manager, vous pouvez annuler l'inscription de Log Insight dans l'interface utilisateur d'administration de vrealize Operations Manager. Pour ce faire, reportez-vous à l'aide dans le portail d'administration de vrealize Operations Manager. AVERTISSEMENT Une instance de vrealize Operations Manager ne prend en charge le lancement contextuel que pour une seule instance de Log Insight. Si une autre instance de Log Insight a été inscrite après l'inscription de l'instance à désactiver, la dernière instance écrase les paramètres de la précédente sans vous avertir. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Intégration, sélectionnez vrealize Operations Manager. 3 Décochez la case Activer le lancement contextuel. 4 Cliquez sur Enregistrer. Log Insight configure l'instance de vrealize Operations Manager de manière à supprimer l'adaptateur de Log Insight. Cette opération peut prendre quelques minutes. VMware, Inc. 81

82 Guide d'administration de vrealize Log Insight de VMware Supprimer l'adaptateur Log Insight d'une instance de vrealize Operations Manager Lorsque vous activez le lancement contextuel d'une instance de vrealize Operations Manager, Log Insight crée une instance de l'adaptateur Log Insight sur l'instance de vrealize Operations Manager. Cette instance de l'adaptateur reste sur l'instance de vrealize Operations Manager lorsque vous désinstallez Log Insight. Par conséquent, les éléments de menu du lancement contextuel continuent à apparaître dans les menus d'actions et pointent vers une instance de Log Insight qui n'existe plus. Pour désactiver la fonctionnalité de lancement contextuel dans vrealize Operations Manager, vous devez supprimer l'adaptateur Log Insight de l'instance de vrealize Operations Manager. Vous pouvez envoyer des demandes HTTP POST à vrealize Operations Manager à l'aide de l'utilitaire de ligne de commande curl. Vérifiez que curl est installé sur votre système. Vérifiez que vous connaissez l'adresse IP ou le nom de domaine de l'instance de vrealize Operations Manager cible. Vérifiez que vous disposez des informations d'identification d'utilisateur minimales, en fonction de la licence vrealize Operations Manager qui vous a été attribuée. Licence de vrealize Operations Manager Standard Advanced ou Enterprise Informations d'identification minimales Informations d'identification d'utilisateur Admin par défaut Informations d'identification d'utilisateur en lecture seule REMARQUE Log Insight ne prend pas en charge l'intégration d'active Directory avec vrealize Operations Manager. 1 Dans curl, recherchez l'adaptateur Log Insight en exécutant la requête suivante dans le dispositif virtuel vrealize Operations Manager. curl -k --user admin username:passwd -d "action=getrelationships&resourcename=log Insight Server&adapterKindKey=LogInsight&resourceKindKey=LogInsightLogServer& getchildren=true&getparents=false" Dans cette requête, admin username et passwd représentent les informations d'identification de l'administrateur, et URL représente l'adresse IP de l'instance de vrealize Operations Manager. La requête renvoie un résultat au format suivant. resourcename=log Insight Server&adapterKindKey=LogInsight&resourceKindKey=LogInsightLogServer Parents: Children: resourcename=log Insight Serverlog insight location& adapterkindkey=loginsight& resourcekindkey=loginsightlogserverhost& identifiers=host::log insight location 82 VMware, Inc.

83 Chapitre 1 Administration de Log Insight Dans cette requête, log insight location représente la valeur HOST de l'objet enfant de la ressource ayant été interrogée. Vous pouvez utiliser cette valeur dans la commande qui permet de supprimer l'instance de l'adaptateur. 2 Supprimez l'adaptateur Log Insight en exécutant la commande suivante. curl -k --user admin username:passwd -d "action=addremoveparentchildrelationship&parentresource=log Insight Server&adapterKindKey=LogInsight& resourcekindkey=loginsightlogserver&addflag=false& childresources=log Insight Serverlog insight location,loginsight,loginsightlogserverhost,host::log insight location" Dans cette commande, admin username et passwd représentent les informations d'identification de l'utilisateur Admin, URL représente l'adresse IP de l'instance de vrealize Operations Manager, et log insight location représente l'emplacement de l'hôte de la ressource enfant de la relation que vous souhaitez supprimer. Les éléments relatifs au lancement contextuel de Log Insight sont supprimés des menus de vrealize Operations Manager. Pour plus d'informations sur le lancement contextuel, reportez-vous à la rubrique Lancement contextuel de Log Insight, dans l'aide de Log Insight. Activer ou désactiver l'archivage des données dans Log Insight L'archivage des données vous permet de conserver les anciens événements de journaux, qui risqueraient d'être supprimés du dispositif virtuel Log Insight en raison des contraintes de stockage. Log Insight peut stocker des données archivées sur des montages NFS. Log Insight collecte et enregistre des journaux sur le disque dans une série de compartiments d'1 Go. Un compartiment est constitué de fichiers journaux compressés et d'un index. Un compartiment contient tout ce qui est nécessaire pour effectuer des requêtes pendant un intervalle de temps spécifique. Lorsque la taille du compartiment dépasse 1 Go, Log Insight cesse d'écrire, ferme tous les fichiers dans le compartiment et scelle celui-ci. Lorsque l'archivage des données est activé, Log Insight copie les fichiers journaux compressés bruts à partir du compartiment vers un montage NFS lorsque le compartiment est scellé. Les compartiments qui ont été scellés avant d'activer l'archivage des données ne sont pas archivés rétroactivement. REMARQUE Log Insight ne gère pas le montage NFS utilisé pour l'archivage. Si les notifications système sont activées, Log Insight envoie un lorsque le montage NFS est bientôt épuisé ou lorsqu'il est indisponible. Si le montage NFS ne dispose pas d'un espace libre suffisant ou s'il est indisponible pendant une période supérieure à la période de rétention du dispositif virtuel, Log Insight arrête d'ingérer de nouvelles données et attend que le montage NFS dispose de suffisamment d'espace libre ou soit disponible, ou que l'archivage soit désactivé. Vérifiez que vous avez accès à une partition NFS qui remplit les critères suivants. La partition NFS doit permettre aux comptes invités de réaliser des opérations de lecture et d'écriture. Le montage ne doit nécessiter aucune authentification. Le serveur NFS doit prendre en charge NFS v3. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. VMware, Inc. 83

84 Guide d'administration de vrealize Log Insight de VMware 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Configuration, cliquez sur Stockage. 3 Cochez la case Activer l'archivage des données, entrez le chemin d'accès à la partition NFS où les journaux seront archivés, puis cliquez sur Tester pour vérifier la connexion. Si l'archivage des données est activé, les anciens fichiers journaux sont enregistrés sur la partition NFS. 4 Cliquez sur Enregistrer. REMARQUE L'archivage des données vous permet de conserver les anciens journaux qui sont supprimés du dispositif virtuel Log Insight en raison des contraintes de stockage. Vous ne pouvez plus rechercher les événements de journaux ayant été supprimés du dispositif virtuel Log Insight et archivés. Si vous souhaitez rechercher des journaux archivés, vous devez les importer dans une instance de Log Insight. Pour plus d'informations sur l'importation des fichiers de journaux archivés, reportez-vous à «Importer une archive Log Insight dans Log Insight», page 93. Suivant Après le redémarrage de Log Insight, vérifiez que les flux syslog provenant de ESXi continuent à arriver dans Log Insight. Pour le dépannage, reportez-vous à la rubrique associée aux journaux ESXi dans le Guide d'administration de Log Insight. Permettre l'authentification utilisateur à travers Active Directory Log Insight dispose d'une méthode d'authentification intégrée que vous pouvez utiliser pour authentifier les utilisateurs. Lorsque vous créez de nouveaux comptes d'utilisateurs à l'aide de la méthode d'authentification intégrée, les utilisateurs sont pourvus d'un mot de passe qu'ils doivent utiliser pour se connecter à Log Insight. Pour que les utilisateurs n'aient pas à mémoriser plusieurs mots de passe, vous pouvez activer la prise en charge de l'authentification Active Directory. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Configuration, cliquez sur Authentification. 3 Cochez la case Activer la prise en charge d'active Directory. 4 Dans la zone de texte Domaine par défaut, tapez un nom de domaine. Par exemple, company-name.com. REMARQUE Vous ne pouvez pas indiquer plusieurs domaines dans la zone de texte Domaine par défaut. Si le domaine par défaut que vous indiquez est approuvé par d'autres domaines, Log Insight utilise le domaine par défaut et l'utilisateur de liaison pour vérifier les utilisateurs et les groupes AD dans les domaines d'approbation. 84 VMware, Inc.

85 Chapitre 1 Administration de Log Insight 5 Tapez les informations d'identification d'un utilisateur de liaison appartenant au domaine par défaut. Log Insight utilise le domaine par défaut et l'utilisateur de liaison pour vérifier les utilisateurs et les groupes AD dans le domaine par défaut et dans les domaines qui approuvent ce dernier. 6 Cliquez sur Enregistrer. Suivant Accordez aux utilisateurs et aux groupes AD les autorisations requises pour accéder à l'instance actuelle de Log Insight. Reportez-vous à «Ajouter un utilisateur Active Directory à Log Insight», page 24. Configurer le protocole à utiliser pour Active Directory Par défaut, Log Insight tente d'abord de se connecter à Active Directory en utilisant le protocole LDAP sans SSL puis, si besoin, en utilisant le protocole LDAP avec SSL. Si vous souhaitez utiliser un seul protocole pour la communication Active Directory ou si vous souhaitez modifier l'ordre dans lequel les protocoles sont utilisés, vous devez appliquer des configurations supplémentaires au dispositif virtuel Log Insight. Vérifiez que vous disposez des informations d'identification de l'utilisateur racine pour vous connecter au dispositif virtuel Log Insight. Reportez-vous à «Configurer le mot de passe SSH racine du dispositif virtuel Log Insight», page 8 Pour activer les connexions SSH, vérifiez que le port TCP 22 est ouvert. 1 Établissez une connexion SSH au dispositif virtuel Log Insight, puis connectez-vous en tant qu'utilisateur racine. 2 Ouvrez le fichier /usr/lib/loginisight/application/etc/loginsight-config-base.xml pour le modifier. Si vous utilisez un éditeur VI, la commande est vi loginsight-config-base.xml. 3 Dans la section Authentication, ajoutez la ligne correspondant à la configuration que vous souhaitez appliquer : Option <ad-protocols value="ldap" /> <ad-protocols value="ldaps" /> <ad-protocols value="ldap,ldaps" /> <ad-protocols value="ldaps,ldap" /> Description Pour utiliser LDAP sans SSL Pour utiliser uniquement LDAP avec SSL Pour utiliser LDAP en premier lieu, puis LDAP avec SSL en second lieu Pour utiliser LDAP en premier lieu, puis LDAP sans SSL en second lieu Si vous ne sélectionnez aucun protocole, Log Insight tente d'abord d'utiliser LDAP, puis LDAP avec SSL. 4 Enregistrez et fermez le fichier. 5 Exécutez la commande service loginsight restart. VMware, Inc. 85

86 Guide d'administration de vrealize Log Insight de VMware Installez un certificat SSL personnalisé en utilisant l'interface Web de Log Insight Par défaut, Log Insight installe un certificat SSL auto-signé sur le dispositif virtuel. Le certificat autosigné génère des avertissements de sécurité lorsque vous vous connectez à l'interface Web de Log Insight. Si vous ne souhaitez pas utiliser un certificat de sécurité autosigné, vous pouvez installer un certificat SSL personnalisé. Le transfert d'événements via SSL est la seule fonctionnalité nécessitant un certificat SSL personnalisé. Si vous avez une configuration de cluster dans laquelle ILB est activé, lisez «Activer l'équilibrage de charge intégré», page 18 pour connaître les exigences spécifiques d'un certificat SSL personnalisé. REMARQUE L'interface utilisateur Web de Log Insight et le protocole Log Insight Ingestion cfapi utilisent le même certificat pour l'authentification. Vérifiez que votre certificat SSL personnalisé répond aux exigences suivantes. Le fichier de certificat contient une clé privée valide et une chaîne de certificats valide. La clé privée est générée par l'algorithme RSA ou DSA. La clé privée n'est pas chiffrée par une phrase secrète. Si le certificat est signé par une chaîne d'autres certificats, tous les autres certificats sont inclus dans le fichier de certificat que vous prévoyez d'importer. La clé privée et tous les certificats inclus dans le fichier de certificat utilisent le codage PEM. Log Insight ne prend pas en charge les certificats et les clés privées codées DER. La clé privée et tous les certificats inclus dans le fichier de certificat sont au format PEM. Log Insight ne prend pas en charge les certificats des formats PFX, PKCS12, PKCS7 ou autres formats. Vérifiez que vous concaténez l'intégralité du corps de chaque certificat dans un seul fichier texte dans l'ordre suivant. a b c d La clé privée - your_domain_name.key Le certificat principal- your_domain_name.crt Le certificat intermédiaire - DigiCertCA.crt Le certificat racine - TrustedRoot.crt Vérifiez que vous incluez les balises de début et de fin de chaque certificat dans le format suivant BEGIN RSA PRIVATE KEY----- (Your Private Key: your_domain_name.key) -----END RSA PRIVATE KEY BEGIN CERTIFICATE----- (Your Primary SSL certificate: your_domain_name.crt) -----END CERTIFICATE BEGIN CERTIFICATE----- (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE BEGIN CERTIFICATE----- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE VMware, Inc.

87 Chapitre 1 Administration de Log Insight Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Générer une demande de signature de certificat page 87 Utilisez l'outil OpenSSL pour Windows pour générer une demande de signature de certificat. 2 Demander la signature d'une autorité de certification page 88 Envoyez votre demande de signature de certificat à l'autorité de certification de votre choix et demandez une signature. 3 Concaténer les fichiers de certificat page 88 Combinez vos fichiers de clé et de certificat sous forme de fichier PEM. 4 Télécharger un certificat signé page 89 Télécharger votre certificat signé à l'aide de l'interface Web de Log Insight. 5 Configurer la connexion SSL entre le serveur Log Insight et Log Insight Agents page 89 La fonction SSL vous permet de fournir des connexions SSL seulement entre Log Insight Agents et le serveur Log Insight par l'intermédiaire du flux sécurisé de l'api Ingestion. Vous pouvez également configurer divers paramètres SSL de Log Insight Agents. Générer une demande de signature de certificat Utilisez l'outil OpenSSL pour Windows pour générer une demande de signature de certificat. Téléchargez le programme d'installation d'openssl approprié à l'adresse et exécutez-le pour installer cet outil sur Windows. Modifiez le fichier openssl.cfg pour ajouter d'autres paramètres requis. Assurez-vous que le paramètre req_extensions est défini dans la section [req]. [req].. req_extensions=v3_req # Ajoutez une entrée Autre nom du sujet pour le nom d'hôte ou l'adresse IP de votre serveur, par exemple server-01.loginsight.domain. Vous ne pouvez pas spécifier de modèle pour le nom d'hôte. [v3_req].. subjectaltname=dns:server-01.loginsight.domain #subjectaltname=ip: Créez un dossier dans lequel enregistrer vos fichiers de certificat, par exemple C:\Certs\LI Ouvrez une invite de commande et générez votre clé privée en exécutant la commande suivante. C:\Certs\LI-2.5>openssl genrsa -out server.key 2048 VMware, Inc. 87

88 Guide d'administration de vrealize Log Insight de VMware 3 Créez une demande de signature de certificat en exécutant la commande suivante. C:\Certs\LI-2.5>openssl req -new -key server.key -out server.csr REMARQUE Cette commande s'exécute de manière interactive et vous pose un certain nombre de questions. Votre autorité de certification vérifiera la correspondance de vos réponses avec les informations incluses dans les documents légaux relatifs à l'inscription de votre société. 4 Suivez les instructions à l'écran et entrez les informations qui seront incorporées à votre demande de certificat. IMPORTANT Dans le champ Nom commun, entrez le nom d'hôte ou l'adresse IP de votre serveur, par exemple mail.your.domain. Si vous souhaitez inclure tous les sous-domaines, entrez *your.domain. Votre fichier de demande de signature de certificat server.csr est généré et enregistré. Demander la signature d'une autorité de certification Envoyez votre demande de signature de certificat à l'autorité de certification de votre choix et demandez une signature. u Envoyez votre fichier server.csr à une autorité de certificat. REMARQUE Demandez à l'autorité de certificat que le fichier soit codé au format PEM. L'autorité de certificat traite votre demande et vous renvoie un fichier server.crt codé au format PEM. Concaténer les fichiers de certificat Combinez vos fichiers de clé et de certificat sous forme de fichier PEM. 1 Créez un nouveau fichier server.pem et ouvrez-le dans un éditeur de texte. 2 Copiez le contenu de votre fichier server.key et collez-le dans le fichier server.pem selon le format suivant BEGIN RSA PRIVATE KEY----- (Your Private Key: server.key) -----END RSA PRIVATE KEY Copiez le contenu de votre fichier server.crt et collez-le dans le fichier server.pem selon le format suivant BEGIN CERTIFICATE----- (Your Primary SSL certificate: server.crt) -----END CERTIFICATE Si les Autorités de certification vous ont fourni un certificat intermédiaire ou lié, ajoutez-le à la fin du fichier de certificat public selon le format suivant BEGIN RSA PRIVATE KEY----- (Your Private Key: server.key) -----END RSA PRIVATE KEY BEGIN CERTIFICATE----- (Your Primary SSL certificate: server.crt) -----END CERTIFICATE BEGIN CERTIFICATE VMware, Inc.

89 Chapitre 1 Administration de Log Insight (Your Intermediate certificate: DigiCertCA.crt) -----END CERTIFICATE BEGIN CERTIFICATE----- (Your Root certificate: TrustedRoot.crt) -----END CERTIFICATE Enregistrez votre fichier server.pem. Télécharger un certificat signé Télécharger votre certificat signé à l'aide de l'interface Web de Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Configuration, cliquez sur Certificat SSL. 3 Accédez à votre certificat SSL personnalisé et cliquez sur Ouvrir. 4 Cliquez sur Enregistrer. 5 Redémarrez Log Insight. Suivant Après le redémarrage de Log Insight, vérifiez que les flux syslog provenant de ESXi continuent à arriver dans Log Insight. Pour le dépannage, reportez-vous à la rubrique associée aux journaux ESXi dans le Guide d'administration de Log Insight. Configurer la connexion SSL entre le serveur Log Insight et Log Insight Agents La fonction SSL vous permet de fournir des connexions SSL seulement entre Log Insight Agents et le serveur Log Insight par l'intermédiaire du flux sécurisé de l'api Ingestion. Vous pouvez également configurer divers paramètres SSL de Log Insight Agents. Principales fonctions SSL Comprendre les principales fonctions SSL peut vous aider à configurer correctement Log Insight Agents. L'agent Log Insight stocke les certificats et les utilise pour vérifier l'identité du serveur durant toutes les connexions, sauf la première connexion à un serveur particulier. Si l'identité du serveur ne peut pas être confirmée, l'agent Log Insight rejette la connexion au serveur et écrit un message d'erreur correspondant dans le journal. Les certificats reçus par l'agent sont stockés dans le dossier cert. Pour Windows, accédez à C:\ProgramData\VMware\Log Insight Agent\cert. Pour Linux, accédez à /var/lib/loginsight-agent/cert. Lorsque l'agent Log Insight établit une connexion sécurisée avec le serveur Log Insight, il vérifie la validité du certificat reçu du serveur Log Insight. L'agent Log Insight utilise des certificats racines approuvés par le système. Log Insight Linux Agent charge les certificats approuvés à partir de /etc/pki/tls/certs/ca-bundle.crt ou de /etc/ssl/certs/ca-certificates.crt. Log Insight Windows Agent utilise les certificats racines du système. Si l'agent Log Insight dispose d'un certificat auto-signé stocké localement et reçoit un certificat auto-signé valide différent avec la même clé publique, il accepte le nouveau certificat. Cela peut se produire lorsqu'un certificat auto-signé est régénéré au moyen de la même clé privée, mais avec des informations différentes telles qu'une nouvelle date d'expiration. Sinon, la connexion est rejetée. VMware, Inc. 89

90 Guide d'administration de vrealize Log Insight de VMware Si l'agent Log Insight dispose d'un certificat auto-signé stocké localement et reçoit un certificat valide signé par une autorité de certification, l'agent Log Insight remplace le nouveau certificat accepté en mode silencieux. Si l'agent Log Insight reçoit un certificat auto-signé après avoir eu un certificat signé par une autorité de certification, il le rejette. L'agent Log Insight accepte le certificat auto-signé reçu du serveur Log Insight uniquement lorsqu'il se connecte à ce serveur pour la première fois. Si l'agent Log Insight dispose d'un certificat signé par une autorité de certification stocké localement et reçoit un certificat valide signé par une autre autorité de certification approuvée, il le rejette. Vous pouvez modifier les options de configuration de l'agent Log Insight pour qu'il accepte le nouveau certificat. Reportez-vous à «Configurer les paramètres SSL de Log Insight Agents», page 90. Appliquer les connexions SSL seulement Vous pouvez utiliser l'interface utilisateur Web de Log Insight pour configurer Log Insight Agents et l'api Ingestion pour autoriser uniquement les connexions SSL au serveur. REMARQUE La version actuelle de Log Insight ne prend pas en charge les connexions SSL syslog et fonctionne uniquement pour l'api Ingestion de Log Insight. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Dans Configuration, cliquez sur SSL. 3 Sous l'api Server SSL, cochez la case Exiger une connexion SSL. 4 Cliquez sur Enregistrer. L'API Log Insight autorise uniquement les connexions SSL au serveur. Les connexions non-ssl sont refusées. Configurer les paramètres SSL de Log Insight Agents Vous pouvez modifier le fichier de configuration de l'agent Log Insight pour changer la configuration SSL et ajouter le chemin vers les certificats racines approuvés, spécifier si des certificats sont acceptés par l'agent Log Insight, etc. Cette procédure s'applique à la fois à Log Insight Agents Linux et Windows. Pour Log Insight Linux Agent : Connectez-vous en tant que racine ou utilisez sudo pour exécuter des commandes de la console. Connectez-vous à la machine Linux sur laquelle vous avez installé Log Insight Linux Agent, ouvrez une console et exécutez pgrep liagent pour vérifier que VMware vrealize Log Insight Linux Agent est installé et fonctionne. Pour Log Insight Windows Agent : Connectez-vous à la machine Windows sur laquelle vous avez installé Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service VMware vrealize Log Insight Agent est installé. 90 VMware, Inc.

91 Chapitre 1 Administration de Log Insight 1 Accédez au dossier contenant le fichier liagent.ini. Système d'exploitation Linux Windows Chemin /var/lib/loginsight-agent/ %ProgramData%\VMware\Log Insight Agent 2 Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque. 3 Ajoutez les clés suivantes à la section [server]du fichier liagent.ini. Clé ssl_ca_path ssl_accept_any ssl_accept_any_trusted ssl_cn Description Le chemin d'accès au fichier bundle des certificats racines approuvés. En l'absence d'indication, Log Insight Windows Agent utilise les certificats racines du système. Log Insight Linux Agent tente de charger les certificats approuvés à partir de /etc/pki/tls/certs/ca-bundle.crt ou de /etc/ssl/certs/ca-certificates.crt. Indique si des certificats sont acceptés par l'agent Log Insight. Les valeurs possibles sont yes, 1, no ou 0. Lorsque la valeur est définie sur yes ou 1, l'agent Log Insight accepte n'importe quel certificat du serveur et établit une connexion sécurisée pour l'envoi des données. La valeur par défaut est no. REMARQUE Si ssl_accept_any est défini sur yes ou 1, l'agent Log Insight accepte les certificats n'ayant pas de Common Name correspondant. Les valeurs possibles sont yes, 1, no ou 0. Si l'agent Log Insight dispose d'un certificat signé approuvé par une autorité de certification stocké localement et reçoit un certificat valide différent signé par une autre autorité de certification approuvée, il vérifie l'option de configuration. Si la valeur est définie sur yes ou sur 1, l'agent accepte le nouveau certificat valide. Si la valeur est définie sur no ou sur 0, il rejette le certificat et met fin à la connexion. La valeur par défaut est no. Le certificat auto-signé Common Name. La valeur par défaut est VMware vcenter Log Insight. Vous pouvez définir un Common Name personnalisé devant être vérifié par rapport au champ Common Name du certificat. L'agent Log Insight vérifie le champ Common Name du certificat reçu par rapport au nom d'hôte configuré pour la connexion par la clé hostname dans la section [server]. En l'absence de correspondance, l'agent vérifie le champ Common Name par rapport à la clé ssl_cn dans le fichier liagent.ini. Si les valeurs correspondent, l'agent Log Insight Agent accepte le certificat. REMARQUE Les clés sont utilisées uniquement si le protocole de la section [server] est défini sur cfapi et si SSL est activé. 4 Enregistrez et fermez le fichier liagent.ini. VMware, Inc. 91

92 Guide d'administration de vrealize Log Insight de VMware Exemple : Configuration Vous trouverez ci-dessous un exemple de la configuration SSL. proto=cfapi port=9543 ssl=yes ssl_ca_path=/etc/pki/tls/certs/ca-bundle.crt ssl_accept_any=no ssl_accept_any_trusted=yes ssl_cn=loginsight Modifier le délai d'expiration par défaut des sessions Web de Log Insight Par défaut, afin de maintenir votre environnement en sécurité, les sessions Web de Log Insight expirent au bout de 30 minutes. Vous pouvez modifier ce paramètre et définir un délai d'expiration plus court ou plus long. Vous pouvez modifier le délai d'expiration en utilisant l'interface utilisateur Web. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Configuration, cliquez sur Général. 3 Dans le volet Session de navigateur, spécifiez une valeur du délai d'expiration en minutes. La valeur -1 désactive le délai d'expiration des sessions. 4 Cliquez sur Enregistrer. Format des fichiers d'archives de Log Insight Log Insight archive les données dans un format spécifique. Log Insight stocke les fichiers d'archives sur un serveur NFS et les organise en répertoires hiérarchiques en fonction de l'heure d'archivage. Par exemple, /backup/2014/08/07/16/bd234b2d-df98-44ae-991a-e0562f10a49/data.blob où /backup est l'emplacement NFS, 2014/08/07/16 est l'heure d'archivage, bd234b2d-df98-44ae-991ae0562f10a49 est l'id de compartiment et data.blob correspond aux données archivées du compartiment. Les données d'archive data.blob sont un fichier compressé qui utilise un codage interne de Log Insight. Il renferme le contenu d'origine de tous les messages stockés dans le compartiment, avec les champs statiques tels qu'horodatage, nom d'hôte, source et nom d'application. Vous pouvez importer des données archivées dans Log Insight, exporter des données d'archive dans un fichier texte brut et extraire du contenu de message provenant de données d'archive. Voir «Exporter une archive Log Insight vers un fichier texte brut ou au format JSON», page 93 et «Importer une archive Log Insight dans Log Insight», page VMware, Inc.

93 Chapitre 1 Administration de Log Insight Importer une archive Log Insight dans Log Insight Vous pouvez utiliser la ligne de commande pour importer des journaux qui ont été archivé dans Log Insight. REMARQUE Bien que Log Insight puisse gérer à la fois des données historiques et des données en temps réel, il est recommandé de déployer une instance séparée de Log Insight pour le traitement des fichiers journaux importés. Vérifiez que vous disposez des informations d'identification de l'utilisateur racine pour vous connecter au dispositif virtuel Log Insight. Vérifiez que vous avez accès au serveur NFS sur lequel les journaux Log Insight sont archivés. Vérifiez que l'espace disque disponible sur le dispositif virtuel Log Insight est suffisant pour prendre en charge les fichiers journaux importés. L'espace libre minimal dans la partition /storage/core sur le dispositif virtuel doit correspondre à environ 10 fois la taille du journal archivé à importer. 1 Établissez une connexion SSH au vapp Log Insight, puis connectez-vous en tant qu'utilisateur racine. 2 Montez le dossier partagé sur le serveur NFS où se trouvent les données archivées. 3 Pour importer un répertoire de journaux Log Insight archivés, exécutez la commande suivante. /usr/lib/loginsight/application/bin/loginsight repository import Path-To-Archived-Log-Data- Folder. REMARQUE Selon la taille du dossier importé, l'importation de données archivées peut prendre beaucoup de temps. 4 Fermez la connexion SSH. Suivant Vous pouvez rechercher, filtrer et analyser les événements des jounaux importés. Exporter une archive Log Insight vers un fichier texte brut ou au format JSON Vous pouvez utiliser la ligne de commande pour exporter une archive de Log Insight vers un fichier texte brut standard ou au format JSON. REMARQUE Il s'agit d'une procédure avancée. Les formats de sortie et de syntaxe de commande peuvent être modifiés dans les versions ultérieures de Log Insight sans compatibilité descendante. Vérifiez que vous disposez des informations d'identification de l'utilisateur racine pour vous connecter au dispositif virtuel Log Insight. Vérifiez que le dispositif virtuel de Log Insight dispose de l'espace disque nécessaire pour enregistrer les fichiers exportés. VMware, Inc. 93

94 Guide d'administration de vrealize Log Insight de VMware 1 Établissez une connexion SSH au vapp Log Insight, puis connectez-vous en tant qu'utilisateur racine. 2 Créez un répertoire d'archivage sur le vapp de Log Insight. mkdir /archive 3 Montez le dossier partagé sur le serveur NFS où les données archivées résident en exécutant la commande suivante. mount -t nfs archive-fileshare:archive directory path /archive 4 Vérifiez l'espace de stockage disponible sur le vapp de Log Insight. df -h 5 Exportez une archive de Log Insight vers un fichier texte brut. /usr/lib/loginsight/application/sbin/repo-exporter d archive-file-directory output-file Par exemple, /usr/lib/loginsight/application/sbin/repo-exporter d /archive/2014/08/07/16/bd234b2ddf98-44ae-991a-e0562f10a49 /tmp/output.txt 6 Exportez un contenu de message d'archivage de Log Insight au format JSON. /usr/lib/loginsight/application/sbin/repo-exporter -F d archive-file-directory output-file. Par exemple, /usr/lib/loginsight/application/sbin/repo-exporter F d /archive/2014/08/07/16/bd234b2ddf98-44ae-991a-e0562f10a49 /tmp/output.json 7 Fermez la connexion SSH. Configurer le transfert d'événements de Log Insight avec SSL Vous pouvez configurer un serveur Log Insight pour qu'il transfère les événements entrants vers une cible syslog ou API Ingestion avec SSL. Le transfert d'événements avec SSL ne fonctionne pas avec le certificat auto-signé installé sur les serveurs de destination par défaut. Un certificat SSL personnalisé doit être créé et chargé. Reportez-vous à «Installez un certificat SSL personnalisé en utilisant l'interface Web de Log Insight», page 86 1 Copiez le certificat racine approuvé dans un répertoire temporaire sur l'instance du redirecteur. Par exemple /home. 2 SSH vers l'instance du redirecteur et exécutez les commandes suivantes. localhost:~ # cd /usr/java/jre1.7.0_51/lib/security/ localhost:/usr/java/jre1.7.0_51/lib/security #../../bin/keytool -import -alias loginsight - file /home/cacert.pem -keystore cacerts Le mot de passe par défaut du keystore est changeit. REMARQUE Les versions de Java peuvent varier dans le temps. 3 Redémarrez l'instance de Log Insight. 94 VMware, Inc.

95 Chapitre 1 Administration de Log Insight Suivant Activez la connexion SSL. Reportez-vous à «Appliquer les connexions SSL seulement», page 90. Ajoutez la destination du transfert d'événements. Reportez-vous à «Ajouter une destination de transfert d événements de Log Insight», page 95. Ajouter une destination de transfert d événements de Log Insight Outre le stockage et l'indexation des événements. vous pouvez configurer un serveur Log Insight pour qu'il transfère des événements entrants vers une cible API Ingestion ou un syslog. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Transfert d événements. 3 Cliquez sur Nouvelle destination et indiquez les informations requises. Option Nom Hôte Protocole Description Nom unique pour la nouvelle destination. Adresse IP ou nom de domaine complet. API Ingestion ou syslog. La valeur par défaut est API Ingestion. 4 (Facultatif) Ajoutez des balises. Les balises vous permettent d'ajouter des champs avec des valeurs prédéfinies à des événements pour faciliter l'exécution d une requête. REMARQUE Les balises sont disponibles uniquement lors de l'utilisation de l'api Ingestion. 5 (Facultatif) Pour restreindre les événements à transférer, cliquez sur Ajouter un filtre. Si vous ne sélectionnez pas de filtre, tous les événements sont transférés. VMware, Inc. 95

96 Guide d'administration de vrealize Log Insight de VMware 6 (Facultatif) Cliquez sur Afficher les paramètres avancés pour modifier les options de transfert suivantes. Option Port Cache de disque Nombre de travailleurs Description Port vers lequel les événements sont envoyés sur la destination distante. Valeur par défaut est définie sur la base du protocole spécifié. Ne pas modifier, sauf si la destination distante écoute sur un port différent. Quantité d'espace disque local à réserver pour la mise en mémoire tampon des événements que vous avez configurés pour être transférés. La mise en mémoire tampon est utilisée lorsque la destination distante est indisponible ou dans l'incapacité de traiter les événements qui lui sont envoyés. Si la mémoire tampon locale devient saturée et que la destination distante n'est toujours pas disponible, alors les événements locaux les plus anciens sont abandonnés et ne sont pas transférés vers la destination distante, même lorsque la destination distante est à nouveau en ligne. La valeur par défaut est de 200 Mo. Nombre de connexions sortantes simultanées à utiliser. Définissez un nombre de travailleurs plus élevé pour une latence du réseau plus élevée vers la destination transférée et pour un nombre plus élevé d'événements transférés par seconde. La valeur par défaut est 2. 7 Pour vérifier votre configuration, cliquez sur Tester. 8 Cliquez sur Enregistrer. Suivant Vous pouvez modifier ou cloner une destination de transfert d'événements. Redémarrer le service Log Insight Vous pouvez utiliser la page d'administration de l'interface utilisateur Web pour redémarrer Log Insight. AVERTISSEMENT Le redémarrage de Log Insight entraîne la fermeture de toutes les sessions utilisateurs actives. Les utilisateurs de l'instance de Log Insight seront forcés à se connecter de nouveau. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Dispositif. 3 Cliquez sur Redémarrer l'hôte principal, puis sur Redémarrer. Suivant Après le redémarrage de Log Insight, vérifiez que les flux syslog provenant de ESXi continuent à arriver dans Log Insight. Pour le dépannage, reportez-vous à la rubrique associée aux journaux ESXi dans le Guide d'administration de Log Insight. 96 VMware, Inc.

97 Chapitre 1 Administration de Log Insight Mettre le dispositif virtuel Log Insight hors tension Afin d'éviter la perte de données lorsqu'un nœud maître ou travailleur Log Insight est mis hors tension, vous devez suivre les étapes de mise hors tension dans un ordre strict. Vous devez mettre le dispositif virtuel Log Insight hors tension avant d'apporter des modifications à son matériel virtuel. Mettez le dispositif virtuel Log Insight hors tension à l'aide de l'option de menu Alimentation > Arrêter l'invité dans vsphere Client, avec la console du dispositif virtuel ou bien en établissant une connexion SSH avec le dispositif virtuel Log Insight et en exécutant une commande. Si vous prévoyez de vous connecter au dispositif virtuel Log Insight à l'aide de SSH, vérifiez que le port TCP 22 est ouvert. Vérifiez que vous disposez des informations d'identification de l'utilisateur racine pour vous connecter au dispositif virtuel Log Insight. 1 Établissez une connexion SSH au vapp Log Insight, puis connectez-vous en tant qu'utilisateur racine. 2 Pour mettre le dispositif virtuel Log Insight hors tension, exécutez shutdown -h now. Suivant Vous pouvez apporter des modifications au matériel virtuel du dispositif virtuel Log Insight en toute sécurité. Ajouter de la mémoire et des CPU au dispositif virtuel Log Insight Après le déploiement, vous pouvez modifier la quantité de mémoire et le nombre de CPU alloués à un dispositif virtuel Log Insight. Vous pouvez être amené à modifier l'allocation des ressources (par exemple, si le nombre d'événements dans votre environnement augmente). Connectez-vous à vsphere Client en tant qu'utilisateur disposant des privilèges requis pour modifier le matériel des machines virtuelles dans l'environnement. Arrêtez le dispositif virtuel Log Insight en toute sécurité. Reportez-vous à «Mettre le dispositif virtuel Log Insight hors tension», page Dans l'inventaire vsphere Client, cliquez avec le bouton droit sur la machine virtuellelog Insight et sélectionnez Modifier les paramètres. 2 Sous l'onglet Matériel, cliquez sur Ajouter. 3 Vous pouvez ajuster le nombre de CPU et la quantité de mémoire à votre guise. 4 Passez vos informations en revue et cliquez sur Terminer. 5 Cliquez sur OK pour enregistrer vos modifications et fermer la boîte de dialogue. Au moment où vous mettez le dispositif virtuel Log Insight sous tension, la machine virtuelle commence à utiliser les nouvelles ressources. VMware, Inc. 97

98 Guide d'administration de vrealize Log Insight de VMware Arrêter d'envoyer des données de suivi à VMware Si vous ne souhaitez plus participer au programme d'amélioration du produit, vous pouvez interrompre le transfert de données de suivi anonymes à VMware. Si vous avez des questions ou des doutes concernant le programme d'amélioration du produit dans Log Insight, contactez Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Configuration, cliquez sur Général. 3 Dans le volet du programme d'amélioration du produit, décochez la case Envoyer des données de suivi hebdomadaires à VMware dans le cadre du programme d'amélioration du produit. 4 Cliquez sur Enregistrer. Log Insight n'envoie plus aucune donnée de suivi à VMware. 98 VMware, Inc.

99 Dépannage de Log Insight 2 Vous pouvez tenter de résoudre vous-même les problèmes courants relatifs à l'administration de Log Insight avant de contacter le support VMware. Ce chapitre aborde les rubriques suivantes : «Les journaux ESXi cessent d'arriver dans Log Insight», page 99 «L'espace disque de Log Insight est épuisé», page 100 «Télécharger un bundle de support Log Insight», page 101 «Créer un bundle de support de Log Insight à l'aide de la console du dispositif virtuel», page 101 «Réinitialiser le mot de passe de l'utilisateur Admin», page 102 «Réinitialiser le mot de passe de l'utilisateur racine», page 102 «Des alertes n'ont pas pu être envoyées à vrealize Operations Manager», page 103 «Impossible de se connecter à l'aide des informations d'identification Active Directory», page 104 «SMTP ne fonctionne pas lorsque l'option STARTTLS est activée», page 104 «La mise à niveau échoue du fait que la signature du fichier.pak ne peut pas être validée», page 105 «La mise à niveau échoue en générant une erreur de serveur interne», page 106 Les journaux ESXi cessent d'arriver dans Log Insight Après le redémarrage du service Log Insight, les messages Syslog provenant des hôtes ESXi n'arrivent plus dans Log Insight. Problème Tout changement de configuration dans Log Insight requiert le redémarrage du service Log Insight. Cependant, après le redémarrage, les flux Syslog d'esxi ne sont plus disponibles. Cause Certaines versions d'esxi cessent d'envoyer des journaux en cas d'interruption, même momentanée, de la connectivité à l'écouteur Syslog à distance. Ce problème survient sur les versions d'esxi suivantes, selon le protocole de communication utilisé. VMware, Inc. 99

100 Guide d'administration de vrealize Log Insight de VMware Tableau 2 1. Versions d'esxi qui cessent d'envoyer des messages Syslog Protocole de communication Version d'esxi affectée TCP ESXi 5.0.x ESXi 5.1.x UDP ESXi 5.0 et 5.0 Update 1 IMPORTANT Ce problème est résolu dans les versions ESXi 5.1 Update 2 et ESXi 5.0, correctif ESXi BG. VMware vous recommande d'appliquer la mise à jour ou le correctif afin de vous assurer que les hôtes ESXi n'interrompent pas l'envoi de messages Syslog à leurs destinations distantes. Pour plus d'informations, reportez-vous à ainsi qu'à l'article de la base de connaissances VMware ESXi 5.0, Patch ESXi BG: Updates esx-base ( ) (VMware ESXi 5.0, correctif ESXi BG : mises à jour esx-base). Si vous ne souhaitez pas appliquer la mise à jour ou le correctif, mettez à exécution la solution suivante. Solution 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Intégration, cliquez sur vsphere. 3 Pour chaque instance de vcenter Server disposant du lien Afficher les détails de la configuration Syslog d'esxi, cliquez sur le lien Afficher les détails de la configuration Syslog d'esxi. 4 Sélectionnez tous les hôtes qui disposaient d'une configuration au préalable, puis cliquez sur Configurer. REMARQUE Le processus de configuration peut prendre plusieurs minutes. Vous devez répéter la procédure à chaque redémarrage de Log Insight. Pour plus de détails sur les problèmes et solutions syslog, reportez-vous à Un hôte VMware ESXi 5.x arrête d'envoyer des journaux syslog à un serveur distant ( ). L'espace disque de Log Insight est épuisé Si vous utilisez un disque virtuel de petite taille et que l'archivage n'est pas activé, l'espace disque d'un nœud maître ou travailleur Log Insight peut arriver à épuisement. Problème L'espace disque de Log Insight arrive à épuisement lorsque le débit d'entrée des journaux par minute est supérieur à 3 % de l'espace de stockage. Cause Dans une situation normale, l'espace disque de Log Insight ne s'épuise jamais, car le système vérifie toutes les minutes si l'espace disponible est inférieur à 3 %. Si l'espace disponible sur le dispositif virtuel Log Insight passe en dessous de 3 %, les compartiments de données anciens sont retirés. Toutefois, si le disque est de petite taille et que le taux d'ingestion des journaux est élevé au point de remplir l'espace disque disponible (3 %) en moins d'une minute, l'espace disque de Log Insight arrive à épuisement. Si l'archivage est activé, Log Insight archive le compartiment avant de le retirer. Si l'espace disponible est rempli avant l'archivage et le retrait du compartiment ancien, l'espace disque de Log Insight arrive à épuisement. 100 VMware, Inc.

101 Chapitre 2 Dépannage de Log Insight Solution u Augmentez la capacité de stockage du dispositif virtuel Log Insight. Reportez-vous à «Augmenter la capacité de stockage du dispositif virtuellog Insight», page 20. Télécharger un bundle de support Log Insight Si Log Insight ne fonctionne pas comme prévu en raison d'un problème, vous pouvez envoyer une copie des fichiers de configuration et du journal au support VMware. Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Sous Gestion, cliquez sur Dispositif. 3 Sous l'en-tête Support, cliquez sur Télécharger un bundle de support. Le système Log Insight collecte les informations pour le diagnostic et transmet les données à votre navigateur sous forme d'archive tarball compressée. 4 Dans la boîte de dialogue Téléchargement du fichier, cliquez sur Enregistrer. 5 Sélectionnez l'emplacement d'enregistrement de l'archive tarball, puis cliquez sur Enregistrer. Suivant Vous pouvez rechercher les messages d'erreur dans le contenu des fichiers journaux. Lorsque vous résolvez un problème ou que vous y mettez fin, supprimez le bundle de support obsolète pour économiser de l'espace disque. Créer un bundle de support de Log Insight à l'aide de la console du dispositif virtuel Si vous ne pouvez pas accéder à l'interface utilisateur Web de Log Insight, vous pouvez télécharger le bundle de support à l'aide de la console du dispositif virtuel ou après avoir établi une connexion SSH avec le dispositif virtuel Log Insight. Vérifiez que vous disposez des informations d'identification de l'utilisateur racine pour vous connecter au dispositif virtuel Log Insight. Si vous prévoyez de vous connecter au dispositif virtuel Log Insight à l'aide de SSH, vérifiez que le port TCP 22 est ouvert. 1 Établissez une connexion SSH au vapp Log Insight, puis connectez-vous en tant qu'utilisateur racine. 2 Pour générer le bundle de support, exécutez loginsight-support. Les données de support sont collectées et enregistrées dans un fichier *.tar.gz dont le nom est généré comme suit : loginsight-support-yyyy-mm-dd_hhmmss.xxxxx.tar.gz, où xxxxx correspond à l'id du processus d'exécution de loginsight-support. VMware, Inc. 101

102 Guide d'administration de vrealize Log Insight de VMware Suivant Transférez le bundle de support au support VMware, comme requis. Réinitialiser le mot de passe de l'utilisateur Admin Si un utilisateur Admin oublie le mot de passe de l'interface utilisateur Web, il ne peut plus accéder à son compte. Problème Si un seul utilisateur Admin a été défini pour Log Insight et que celui-ci oublie son mot de passe, l'application ne peut plus être administrée. Si l'utilisateur Admin est, de surcroît, le seul utilisateur défini pour Log Insight, l'ensemble de l'interface utilisateur Web devient inaccessible. Cause Un utilisateur Admin qui oublie son mot de passe ne dispose pas d'une interface utilisateur dans Log Insight qui lui permette de réinitialiser lui-même son mot de passe. REMARQUE Les utilisateurs Admin qui sont en mesure de se connecter peuvent réinitialiser le mot de passe d'autres utilisateurs Admin. Réinitialisez le mot de passe de l'utilisateur Admin uniquement lorsque les mots de passe de tous les comptes d'utilisateurs Admin ont été oubliés. Solution Suivant Vérifiez que vous disposez des informations d'identification de l'utilisateur racine pour vous connecter au dispositif virtuel Log Insight. Reportez-vous à «Configurer le mot de passe SSH racine du dispositif virtuel Log Insight», page 8 Pour activer les connexions SSH, vérifiez que le port TCP 22 est ouvert. 1 Établissez une connexion SSH au dispositif virtuel Log Insight, puis connectez-vous en tant qu'utilisateur racine. 2 Tapez li-reset-admin-passwd.sh et appuyez sur Entrée. Le script réinitialise le mot de passe de l'utilisateur Admin, en génère un nouveau et l'affiche à l'écran. Utilisez le nouveau mot de passe pour vous connecter à l'interface utilisateur Web de Log Insight, puis modifiez le mot de passe de l'utilisateur Admin. Réinitialiser le mot de passe de l'utilisateur racine Si vous oubliez le mot de passe de l'utilisateur racine, vous ne pouvez plus établir de connexion SSH ni utiliser la console du dispositif virtuel Log Insight. Problème Sans pouvoir établir de connexion SSH ni utiliser la console du dispositif virtuel Log Insight, vous ne pouvez pas réaliser certaines tâches administratives ni réinitialiser le mot de passe de l'utilisateur Admin. Solution 1 Dans vsphere Client, redémarrez le système d'exploitation invité du dispositif virtuel Log Insight, puis ouvrez la console de la machine virtuelle. 102 VMware, Inc.

103 Chapitre 2 Dépannage de Log Insight 2 Cliquez dans la console, attendez que le menu GRUB s'affiche, puis appuyez sur n'importe quelle lettre sur votre clavier. REMARQUE L'écran d'invite de GRUB reste à l'écran pendant 7 secondes avant de lancer le redémarrage. 3 Dans le menu GRUB, sélectionnez SUSE Linux Enterprise Server for VMware à l'aide des touches de direction. 4 Appuyez sur la barre d'espace, tapez init=/bin/sh, puis appuyez sur Entrée. Le noyau démarre en mode interpréteur de commandes. 5 Dans l'interpréteur de commandes, tapez passwd, appuyez sur Entrée, puis suivez les instructions à l'écran pour modifier le mot de passe racine. Le mot de passe doit être composé d'un minimum de 8 caractères et doit inclure au moins une majuscule, une minuscule, un chiffre et un caractère spécial tel que $ ou &. Le même caractère ne doit pas être répété plus de quatre fois. 6 Dans l'interpréteur de commandes, tapez reboot. Suivant Une fois que Log Insight a redémarré, vérifiez que la connexion en tant qu'utilisateur racine fonctionne. Des alertes n'ont pas pu être envoyées à vrealize Operations Manager Log Insight vous informe en cas d'échec de l'envoi d'un événement d'alerte à vrealize Operations Manager. Log Insight retente d'envoyer l'alerte toutes les minutes, jusqu'à résolution du problème. Problème Un symbole rouge avec un point d'exclamation s'affiche sur la barre d'outils de Log Insight si une alerte n'a pas pu être envoyée à vrealize Operations Manager. Cause Des problèmes de connectivité empêchent Log Insight d'envoyer des notifications d'alerte à vrealize Operations Manager. Solution Cliquez sur l'icône rouge pour ouvrir la liste des messages d'erreur, puis faites défiler cette dernière vers le bas pour consulter le dernier message. Le symbole rouge sur la barre d'outils disparaît dès que vous ouvrez la liste des messages d'erreur ou si le problème est résolu. Pour résoudre le problème de connectivité avec vrealize Operations Manager, tentez ce qui suit. Vérifiez que le vapp vrealize Operations Manager n'est pas arrêté. Vérifiez que vous pouvez vous connecter à vrealize Operations Manager en utilisant le bouton Tester la connexion situé dans la section vrealize Operations Manager de la page Administration de l'interface utilisateur Web de Log Insight. Vérifiez que vous disposez des informations d'identification correctes en vous connectant directement à vrealize Operations Manager. Recherchez les éventuels messages concernant des problèmes de connectivité dans les journaux de Log Insight et de vrealize Operations Manager. VMware, Inc. 103

104 Guide d'administration de vrealize Log Insight de VMware Vérifiez qu'aucune alerte n'a été éliminée dans l'interface utilisateur vsphere de vrealize Operations Manager. Impossible de se connecter à l'aide des informations d'identification Active Directory Vous ne pouvez pas vous connecter à l'interface utilisateur Web de Log Insight si vous utilisez les informations d'identification Active Directory. Problème Un administrateur a correctement ajouté votre compte Active Directory à Log Insight, mais vous ne pouvez pas vous connecter à Log Insight avec les informations d'identification du domaine Active Directory. Cause Les causes les plus fréquentes sont les suivantes : mots de passe expirés, informations d'identification incorrectes, problèmes de connectivité ou manque de synchronisation entre l'horloge du dispositif virtuel Log Insight et celle d'active Directory. Solution Vérifiez que vos informations d'identification sont valides, que votre mot de passe n'a pas expiré et que votre compte Active Directory n'est pas verrouillé. Si vous n'avez pas indiqué de domaine spécifique à utiliser avec l'authentification Active Directory, vérifiez que vous disposez d'un compte sur le domaine par défaut stocké dans la configuration de Log Insight à l'emplacement /usr/lib/loginsight/application/etc/loginsight-config-base.xml Vérifiez la connectivité entre Log Insight et le serveur Active Directory. Allez à la section Authentification dans la page Administration de l'interface utilisateur Web de Log Insight, indiquez vos informations d'identification, puis cliquez sur le bouton Tester la connexion. Recherchez les éventuels messages relatifs à des problèmes avec DNS dans Log Insight /storage/var/loginsight/runtime.log. Vérifiez que l'horloge de Log Insight et celle d'active Directory sont synchronisées. Recherchez les éventuels messages relatifs à des variations d'horloge dans Log Insight /storage/var/loginsight/runtime.log. Utilisez un serveur NTP pour synchroniser l'horloge de Log Insight et celle d'active Directory. SMTP ne fonctionne pas lorsque l'option STARTTLS est activée Lorsque vous activez l'option STARTTLS lors de la configuration du serveur SMTP, les s de test échouent. Pour résoudre ce problème, ajoutez au magasin d'approbations Java votre certificat SSL du serveur SMTP. Vérifiez que vous disposez des informations d'identification de l'utilisateur racine pour vous connecter au dispositif virtuel Log Insight. Si vous prévoyez de vous connecter au dispositif virtuel Log Insight à l'aide de SSH, vérifiez que le port TCP 22 est ouvert. 1 Établissez une connexion SSH au vapp Log Insight, puis connectez-vous en tant qu'utilisateur racine. 104 VMware, Inc.

105 Chapitre 2 Dépannage de Log Insight 2 Copiez le certificat SSL du serveur SMTP sur le vapp Log Insight. 3 Exécutez la commande suivante. `/usr/java/latest/bin/keytool -import -alias certificate_name -file path_to_certificate - keystore /usr/java/latest/lib/security/cacerts` REMARQUE Pour insérer les guillemets placés en début et en fin de commande, utilisez le symbole accent grave, situé sur la même touche que le symbole tilde sur un clavier anglais. N'utilisez pas de guillemets simples à la place. 4 Entrez le mot de passe par défaut changeit. 5 Exécutez la commande service loginsight restart. Suivant Accédez à Administration > Smtp, puis utilisez l'option Envoyer l' de test pour tester vos paramètres. Reportez-vous à «Configurer le serveur SMTP pour Log Insight», page 66 La mise à niveau échoue du fait que la signature du fichier.pak ne peut pas être validée La mise à niveau de Log Insight échoue en raison d'un fichier.pak endommagé, d'une licence expirée ou d'un espace disque insuffisant. Problème La mise à niveau de Log Insight échoue et vous obtenez le message d'erreur La mise à niveau a échoué. Échec de la mise à niveau : la signature du fichier PAK n'a pas pu être validée. Cause Cette erreur peut avoir les causes suivantes : Le fichier téléchargé n'est pas un fichier.pak. Le fichier.pak téléchargé est incomplet. La licence de Log Insight a expiré. Le système de fichiers racine du dispositif virtuel Log Insight ne dispose pas de suffisamment d'espace disque. Solution Vérifiez que vous téléchargez un fichier.pak. Vérifiez le total de contrôle md5sum du fichier.pak sur le site de téléchargement VMware. Vérifiez qu'au moins une licence valide est configurée sur Log Insight. Connectez-vous au dispositif virtuel Log Insight et exécutez df -h pour vérifier l'espace disque disponible. REMARQUE Ne placez pas de fichiers dans le système de fichiers racine du dispositif virtuel Log Insight. VMware, Inc. 105

106 Guide d'administration de vrealize Log Insight de VMware La mise à niveau échoue en générant une erreur de serveur interne La mise à niveau de Log Insight échoue en générant une erreur de serveur interne du fait d'un problème de connexion. Problème La mise à niveau de Log Insight échoue et le message d'erreur Échec de la mise à niveau s'affiche. Erreur de serveur interne. Cause Un problème de connexion est survenu entre le client et le serveur. Cela se produit, par exemple, lorsque vous tentez d'effectuer la mise à niveau à partir d'un client qui se trouve sur un WAN. Solution u Mettez LI à niveau à partir d'un client qui se trouve sur le même LAN que le serveur. 106 VMware, Inc.

107 Index A accès par les utilisateurs à des données spécifiques 26 Active Directory groupes 25 utilisateurs 24 AD authentification 84 groupes 25 SSL 84, 85 TCL 84 utilisateurs 24 adaptateur Log Insight 76, 82 administration, présentation 7 adresse IP changer 9 configuration 9 agent, installer avec les paramètres 29 Agent Linux collecte de fichiers plats 49 collecter les événements d'un fichier journal 49 définir le serveur cible 48 désinstaller le module bin 52 désinstaller le module deb 51 désinstaller le package rpm 51 installer le package bin 47 installer le package deb 46 installer le package RPM 45 présentation 45 Agent Linux Log Insight 59 agent non affiché 54 agent Windows 29 Agent Windows 28, 90 Agent Windows Log Insight 59 Agents Log Insight 58, 90 ajout de disques 20 ajouter de la mémoire 97 ajouter des CPU 97 ajouter un domaine de recherche 76 ajouter un travailleur 13 ajouter une exception de pare-feu 55 alarmes 69 alertes de montée en charge 64 alertes système 66 alertes système par 66 API 90 appliquer la connexion SSL 90 archivage des données 83 attribution de licence 9 augmentation du stockage 20 autorisations 22 autoriser les connexions via le pare-feu 56 B bundle de support 52, 101 bundle de support de l'agent Linux 52 bundle de support de l'agent Windows, bundle de support 44 C canal d'événements Windows ajouter 34 ajouter un filtre 35 champs d'événements et opérateurs 36 carte 76 certificat auto-signé 58 certificat signé, télécharger 89 certificat SSL personnalisé, télécharger 89 certificat SSL pour STARTTLS 104 certificats personnalisés 86 certificats ssl 86 cluster, environnement environnement de cluster 59 cluster Log Insight, ajout de nœuds travailleurs 13 collecte de fichiers plats 37 collecter les événements d'un fichier journal 37 compte de domaine 24 comptes d'utilisateurs nouveau 23 suppression 28 configuration centralisée 39 configuration d'agent 31 Configuration d'esxi 70 configuration de l'agent Linux 48 configuration de plusieurs agents 39 configuration de Syslog 70 configuration incorrecte de l'agent 54 configuration par défaut 31 VMware, Inc. 107

108 Guide d'administration de vrealize Log Insight de VMware configuration SSL 90 configuration valide de l'agent 40 configurer ESXi 70 configurer l'agent 42 configurer la connexion SSL 89 connexion impossible 104 connexion sécurisée 89 connexion sortante 56 connexion SSL 58 connexions d'utilisateur 22 contrôle d'accès basé sur les rôles 22, 26 créer un rôle d'utilisateur 27 D déconnexion de tous les utilisateurs 96 déconnexion forcée 96 définir le serveur cible 32 délai d'expiration, modification 92 délai d'expiration de la session 92 délai d'expiration par défaut 92 délai d'expiration, désactivation 92 demande de signature d'autorité de certificat 88 demande de signature de certificat, générer 87 dépannage journaux ESXi 99 mise à jour du package rpm 57 dépannage d'agent 54, 57 dépannage SMTP 104 dépannage STARTTLS 104 dépanner la configuration de l'agent 54 dépanner les agents Log Insight 53 dépanner Log Insight Linux Agent 53 dépanner Windows Log Insight Agent 53 déploiement 13 déploiement du dispositif 13 déploiement du dispositif virtuel 13 déploiement en masse 42 déploiement en masse de l'agent 43 déploiement vers plusieurs machines 42 désactivation des données de suivi 98 désactivation du lancement contextuel 82 désactiver le délai d'expiration 92 désinstaller l'agent 44 disque insuffisant 100 données de suivi, arrêt de l'envoi 98 E échec de la mise à niveau 105, 106 échec du déploiement en masse 57 envoi d'alertes impossible 103 épuisement du disque 100 équilibrage de charge 70 équilibrage de charge d'ingestion 18 équilibrage de charge externe 59 équilibrage de charge intégré 18 erreur de fichier PAK 105 erreur de serveur interne 106 événements, collecter à partir d'un canal d'événements Windows 34 événements de notification 67, 75 exemple de configuration de l'agent 40 exportation d'une archive, exportation d'une archive vers JSON, exportation d'une archive vers fichier texte 93 F fichier de certificat, combiner 88 fichier PEM, créer 88 fichiers de journalisation 101 Fonctionnalité SSL 89 Format d'archive de Log Insight 92 fusionner des configurations 40 G gérer un cluster 13 groupes de domaines 25 I importation de journaux 93 informations d'identification Active Directory 104 installation 13 installer avec la configuration par défaut 29 intégration vcenter Server 68 vrealize Operations Manager 74 vsphere 68 intégration de Log Insight 67 intégration de vcops 76 intégration de vsphere 68 intégrité 19 J jeu de données 26 journaux système 101 L lancement contextuel activation 78 désactivation 81 LDAP SSL 85 le serveur rejette la connexion 58 liste d'hôtes 21 Log Insight, mise à niveau par le biais de l'interface utilisateur, mise à niveau vers le cluster VMware, Inc.

109 Index Log Insight Linux Agent 58, 89 Log Insight Windows Agent 58, 89 Loginsight, exécution en tant que serveur syslog 70 M mettre à niveau des chemins d'accès 10 mettre à niveau un cluster 16 mettre à niveau un nœud 13, 16 mettre à niveau un travailleur 16 mise à jour du package rpm 57 mise à niveau CLI 10 par le biais de l'interface utilisateur 11, 12 mise à niveau basée sur l'interface utilisateur 11, 12 mise à niveau dans l'interface de ligne de commande 10 mise à niveau en masse de l'agent 43 mise hors tension 97 mises à niveau pris en charge 10 mode cluster 15 modèle de sécurité 22 modifier le niveau de débogage des journaux 53 modifier un rôle d'utilisateur 27 module de contenu 77 module de contenu de vrealize Operations Manager 77 mot de passe de l'administrateur 102 Mot de passe racine 8, 102 mot de passe SSH 8 N NFS 83 niveau de débogage des journaux 53 niveau de détails des journaux 53 nœud maître 15 nœud travailleur 15 nœud travailleur, ajout à un cluster 13 notification système 60 notifications, Log Insight 75 notifications Log Insight 75 notifications système 61, 64 O Objet de stratégie de groupe 43 P paramètres d'agent par défaut 31 Paramètres d adresse IP 9 paramètres SSL 90 password administrateur 102 root 102 présentation de l'agent 28 présentation des hôtes 21 Public ciblé 5 R racine SSH 8 redémarrage 96 règle d'exception de trafic sortant 55 rejeter un certificat auto-signé 58 rejoindre un cluster 15 rôles 22 rôles d'utilisateur 27 S santé du dispositif virtuel 19 santé du système 19 service, redémarrage 96 SMTP 66 SSH racine 8 SSL 85, 94 stratégie de sécurité 22 stratégies de journaux 19 supprimer un nœud 13, 17 supprimer un travailleur 17 surveillance des hôtes 21 surveiller les agents 21 symbole rouge sur la barre d'outils 103 synchronisation de l'heure 66 syslog 70 T tâches 69 trafic non chiffré 58 transférer des événements Windows 42 transfert d'événements, transférer des événements vers l'agent Windows Log Insight 42 transfert d'événements, configurer le transfert d'événements, transférer des événements 94 transfert d événements, configurer transfert d événements, transférer des événements 95 transfert de journaux ESXi 70 syslog 72 Syslog ESXi 71 vcenter Server Appliance 73 VMware, Inc. 109

110 Guide d'administration de vrealize Log Insight de VMware U utilisateurs, gestion 22 V vcenter Server alarmes 69 événements 69 tâches 69 vcenter Server Appliance 73 vrealize Operations Manager 67, 77 W Windows Log Insight Agent VMware, Inc.