Guide du développeur de VMware vrealize Log Insight vrealize Log Insight 2.5 Ce document prend en charge la version de chacun des produits répertoriés, ainsi que toutes les versions publiées par la suite jusqu'au remplacement dudit document par une nouvelle édition. Pour rechercher des éditions plus récentes de ce document, rendez-vous sur : http://www.vmware.com/fr/support/pubs. FR-001660-00
Guide du développeur de VMware vrealize Log Insight Vous trouverez la documentation technique la plus récente sur le site Web de VMware à l'adresse : http://www.vmware.com/fr/support/ Le site Web de VMware propose également les dernières mises à jour des produits. N hésitez pas à nous transmettre tous vos commentaires concernant cette documentation à l adresse suivante : docfeedback@vmware.com Copyright 2014 VMware, Inc. Tous droits réservés. Copyright et informations sur les marques. VMware, Inc. 3401 Hillview Ave. Palo Alto, CA 94304 www.vmware.com VMware, Inc. 100-101 Quartier Boieldieu 92042 Paris La Défense France www.vmware.com/fr 2 VMware, Inc.
Table des matières 1 À propos du Guide du développeur de vrealize Log Insight 5 2 Utilisation de l'api Ingestion de Log Insight 7 3 Appliquer les connexions SSL seulement 9 4 Services de l'api 11 Utilisation du service messages/ingestion 11 Index 15 VMware, Inc. 3
Guide du développeur de VMware vrealize Log Insight 4 VMware, Inc.
À propos du Guide du développeur 1 de vrealize Log Insight Le Guide du développeur de VMware vrealize Log Insight fournit des informations sur l'api Ingestion de Log Insight. Public visé Ces informations s'adressent aux personnes qui veulent utiliser l'api Ingestion de Log Insight. Vous devez maîtriser les concepts REST et le format de sérialisation JSON. VMware, Inc. 5
Guide du développeur de VMware vrealize Log Insight 6 VMware, Inc.
Utilisation de l'api Ingestion de 2 Log Insight Vous pouvez interagir avec l'api Ingestion de Log Insight pour envoyer des événements au serveur Log Insight. Tous les corps de demande et de réponse de l'api sont des chaînes JSON codées en UTF8 avec un champ d'en-tête Content-Type: application/json. Tous les appels qui aboutissent renvoient le code de réponse HTTP 200. VMware, Inc. 7
Guide du développeur de VMware vrealize Log Insight 8 VMware, Inc.
Appliquer les connexions SSL 3 seulement Vous pouvez utiliser l'interface utilisateur Web de Log Insight pour configurer Log Insight Agents et l'api Ingestion pour autoriser uniquement les connexions SSL au serveur. REMARQUE La version actuelle de Log Insight ne prend pas en charge les connexions SSL syslog et fonctionne uniquement pour l'api Ingestion de Log Insight. Prérequis Vérifiez que vous êtes connecté à l'interface utilisateur Web de Log Insight en tant qu'utilisateur disposant de l'autorisation Modifier du contenu d'administration. Le format de l'url est https://log-insight-host, où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel Log Insight. Procédure 1 Cliquez sur l'icône du menu déroulant de configuration et sélectionnez Administration. 2 Dans Configuration, cliquez sur SSL. 3 Sous l'api Server SSL, cochez la case Exiger une connexion SSL. 4 Cliquez sur Enregistrer. L'API Log Insight autorise uniquement les connexions SSL au serveur. Les connexions non-ssl sont refusées. VMware, Inc. 9
Guide du développeur de VMware vrealize Log Insight 10 VMware, Inc.
Services de l'api 4 Liste de services fournis par l'api Ingestion de Log Insight. Utilisation du service messages/ingestion Vous pouvez utiliser le service messages/ingestion pour envoyer des événements à un serveur Log Insight à l'aide de demandes HTTP POST. Le service messages/ingestion utilise la syntaxe suivante. Protocole HTTP HTTPS Valeur http://loginsight_host:9000/api/v1/messages/ingest/agentid https://loginsight_host:9543/api/v1/messages/ingest/agentid Si vous appliquez SSL à partir de l'interface utilisateur Web, vous ne pourrez utiliser que HTTPS. Reportezvous à Chapitre 3, «Appliquer les connexions SSL seulement», page 9. Méthode HTTP POST REMARQUE L'API Log Insight Ingestion a une limite de 100 Ko par demande HTTP POST. VMware, Inc. 11
Guide du développeur de VMware vrealize Log Insight Paramètres Paramètre Type Où transférer Description agentid String Dans l'url L'ID de l'agent émetteur doit respecter la norme UUID. L'agent peut être un agent Log Insight Windows ou Linux officiel ou tout autre client tirant parti de l'api Ingestion. Content-Type: application/json String Dans le corps de publication Le paramètre Content-Type spécifie la nature des données dans le corps de publication. Events array Array Dans le corps de publication Un groupe d'événements. Chaque événement doit avoir le format suivant. {"messages": [{ "text": optional, message text as a string, "timestamp": optional, timestamp encoded as number of milliseconds since Unix epoch, "fields": optional array of [{ "name": the name of the field, "content": optional, the content of the field, "startposition": optional, the start position in the "text", "length": optional, the length of the string in the "text", },...] },...] } REMARQUE Le serveur Log Insight compare le "timestamp" que vous fournissez à l'heure locale du serveur Log Insight. Si vous fournissez un "timestamp" se trouvant hors de la fenêtre de décalage de 10 minutes tolérée par défaut, le serveur Log Insight ignore votre "timestamp" et utilise son heure locale. En l'absence de "timestamp", le serveur Log Insight utilise l'heure d'arrivée. REMARQUE Si le "content" d'un champ est absent, "startposition" et "length" doivent être présents et doivent pointer vers une position valide dans la chaîne du champ "text". Valeurs HTTP de retour Nom Type Description 200 OK Entier Codes de réponse HTTP standard 400 Bad Request 500 Internal Server Error 503 Service Unavailable Cette réponse indique que le serveur est surchargé. L'en-tête de réponse Retry-After indique le laps de temps suggéré devant s'écouler avant une nouvelle tentative en secondes. Exemple de demande POST http://loginsight:9000/api/v1/messages/ingest/4c4c4544-0037-5910-805a-c4c04f585831 Host: loginsight:9000 Connection: keep-alive Content-Type: application/json 12 VMware, Inc.
Chapitre 4 Services de l'api charset: utf-8 Content-Length:?? {"messages": [{ "fields": [ {"name": "Channel", "content": "Security"}, {"name": "EventID", "content": "4688"}, {"name": "EventRecordID", "content": "33311266"}, {"name": "Keywords", "content": "Audit Success"}, {"name": "Level", "content": "Information"}, {"name": "OpCode","content": "Info"}, {"name": "ProcessID", "content": "4"}, {"name": "ProviderName", "content": "Microsoft-Windows-Security-Auditing"}, {"name": "Task", "content": "Process Creation"}, {"name": "ThreadID", "content": "64"} ], "text": "A new process has been created.", "timestamp": 1396622879241 } ] } Exemple de réponse HTTP/1.1 200 OK {"status":"ok","message":"messages ingested","ingested":18} VMware, Inc. 13
Guide du développeur de VMware vrealize Log Insight 14 VMware, Inc.
Index A api services 11 utilisation 7 API, service messages/ingestion 11 appliquer la connexion SSL 9 P Public ciblé 5 VMware, Inc. 15
Guide du développeur de VMware vrealize Log Insight 16 VMware, Inc.