平常却不普通 VMware架构下集中事件日志的方法

2010-12-10 11:05:24

云计算

虚拟化 虚拟机事件日志可提供对基本设施的健康和状态监控，这些事件日志对于了解和排除虚拟机故障特别重要。

虚拟机事件日志可提供对基本设施的健康和状态监控，这些事件日志对于了解和排除虚拟机故障特别重要。

对于日常管理员，访问VMware vCenter事件日志比较简单，因为VCenter在Windows下运行，容易在操作系统中配置基本事件转发。但架构要符合严格的规定——例如PCI DSS或者HIPAA——可能会需要中央加载系统，此系统可从ESX或者ESXi主机收集数据。

对于IT管理员和安全维护人员，中央加载系统可以为重要机密数据提供存储库，在各国法律对保留和隐私的部分存在异议的情况下，它也可以提高处理国际商业操作的效率。

在本文中，作者介绍在VMware架构下集中事件日志的几种不同方法，包括如何设置基本事件进程系统和高级中央加载机制。

Windows下事件日志转发

在Windows Server 2008、Windows Server 2008 R2、Windows Vista和Windows 7事件日志服务下，事件日志转发易于操作，在每一个Windows加载类型（系统层、应用层、安全层）的特性中，可以设置加载转发。

图1：在Windows Server上配置事件转发，利用经销商的网站信息资源。
 

但这种配置不会造成对中央vCenter事件日志数据的影响，因为对于自身的活动主体，vCenter不使用Windows事件日志服务。VCenter和vSphere主机能在不同位置保留特殊应用日志文件。

#p#

通过Syslog服务器转发事件日志

对于vCenter安装的ESXi方面，Syslog的收集可能是中央加载的***选项。作为网络服务，Syslog服务器提供了基本标准方法。在TCP 514端口运行，Syslog可将来自于主机的信息发送到中央加载服务器，例如Syslog服务器。

可采用几种Syslog服务器产品，Solarwinds Software的Kiwi Syslog Server是一种较受欢迎的产品。大部分情况下，Kiwi Syslog Server可提供足够的基本功能，付费的版本包含额外的特性，例如Windows事件日志收集和数据库加载，可将它用在vCenter 服务器上获得全面的中央加载方案。

设置Kiwi Syslog Server

Kiwi Syslog Server在Windows平台下运行，并且运用.NET结构。可作为应用和服务来运行。在大部分情况下，***选择是基本服务安装，只要系统重新启动，数据的收集就会继续，因此易于管理。

图2：为了确定安装类型，Kiwi Syslog Server给出以下选项
 

一旦安装了Kiwi Syslog Server，需要配置ESXi server向指定的服务器传送Syslog数据。不管Kiwi Syslog Server是否被vCenter管理，它能够接收到来自ESX或者ESXi的信息。

在vSphere主机上，Syslog的配置服务是在高级选项卡中设置（软件）。

图3：在ESX主机上配置Syslog

这个例子里有TCP/IP地址，但是假如ESXi主机能解析此域名，它也可以是完全被限定的DNS。下一步，主机会立刻向Syslog服务器发送Syslog信息。不需要服务和系统重新启动。

只要操作完成，Kiwi Syslog Server会收到来自ESXi主机信息。

图4：此图片显示了一台主机向Kiwi Syslog Server发送报告

ESXi Syslog 选项可被应用在vSphere host profile。有益于确保运用中央加载和其他特征来获得不间歇主机配置。

图5：在主机分布图中，Syslog值在源主机上记录

一旦附加的系统向Kiwi Syslog Server报告Syslog数据，每一个发送报告的主机将会在应用控制台滚动显示。屏幕上的大量数据需要管理，通常逐一浏览每条信息不太现实。因此自动化将是下一步必然的趋势来诠释整合结果。

自由版本的Kiwi Syslog Serve拥有对数据摘要的基本邮件功能，并且在Kiwi Syslog Server的设置窗口中配置。

图6

基于特定的标准，授权版本可以执行某些操作，例如ESX加载文本的特定字符串。它能够发送邮件或者寻呼机报警，运行程序或者脚本，在数据库中加载信息或者负责通知。

自由的编辑模式可提供事件日志的日常摘要，但对于vCenter Alarms数据摘要不应该是一种取代。相反，对于vCenter Alarms或者vSphere Client应该是不可见的项目警报。

图7：来自于Kiwi Syslog Server的邮件摘要

随着时间的推移，我们应该能够为主机创建普通的运转状态模式。假如有针对Syslog server的事件信息分配，例如，假如一台主机发出了Syslog Server90%的信息，就可能会有一个问题存在。在这种情况下，可能是系统本身或者它与其他部分连接方式上存在异常。

***，中央加载对于确定系统发生问题的方面是需要判定的，依据几点因素，事件日志默认的保留期限可能太短，使用Syslog，系统事件可被保留更长的时间。在大多情况下，只是存储空间受限。

#p#

运行客户环境下的测试

在客户环境下测试产品可能是评定不同的经销商如何实现理想结果的***方式。

测试软件比较容易,但是硬件测试会困难些，因为许多硬件销售商不允许客户在没有购买产品之前让顾客试用他们的产品，那将不会阻止顾客询问问题，因为部分经销商会让顾客评估硬件—尤其是可能会带来大量购买的情况下。就像在没有亲自驾驶体验之前用户不会买一辆车，为数据中心购买产品也是如此。

【编辑推荐】

1. 思杰、VMware应用虚拟化能否对抗微软？
2. 甲骨文松口 支持在VMware上运行RAC
3. 这是真的吗 VMware将支持Hyper-V？
4. 讲述：一个VMware维护人员每天、每周及每月的工作
5. 虚拟化工具：什么是VMware ThinApp？