この文書では、vSphere環境(ESXi, vCenterなど)からLog InsightへSyslog転送したログのうち、
任意の条件で絞り込みを行い別のsyslogサーバへsyslog転送する方法について紹介します。
※VersionによってGUIの画面に違いがある可能性がございます。
Log Insightにsyslogを転送するための設定手順は、以下のVMware Documentをご参照下さい。
vRealize Log Insightにログ イベントを転送するための ESXi ホストの構成
1. https://<Log Insight IP or Log Insight hostname> にWebブラウザでアクセスし、admin userにてLoginを実施します。
2. adminユーザーでのログイン後、画面右上の構成ドロップダウンメニューアイコンをクリックし、[Administration]を選択します。
3. [Management]の中から、[Event Forwarding]を選択します。
4. [+NEW DESTINATION]を選択し、下記の項目を入力します。
| Name | 新しく作成する転送先の任意の名前 |
| Host | syslogサーバのIP AddressもしくはFQDN |
| Protocol | Syslog |
| Transport | TCPもしくはUDP(syslogサーバ側の設定により選択してください) |
5. [+ADD FILTER]を選択し、抽出したいログの具体的な内容を入力します。
ここでは、例としてユーザのログインに関するイベントのみを抽出しています。
抽出するイベント内容については、ワイルドカード * を使用することができます。
6. [Run in Intaractive Analystics]をクリックすると、実際に入力した抽出条件に合致するイベントをInteractive Analysisで確認することができます。
これによって、抽出条件として記載した内容が適切かどうかが確認できます。
7. [TEST]をクリックし、Syslogサーバとの通信が問題ないことが確認できたら、[SAVE]を押します。
8. 作成したsyslog転送設定のStatusがActiveになったら設定成功となります。
詳細な設定値等については、以下のVMware Documentをご参照下さい。