遠(yuǎn)程Linux服務(wù)器是存儲(chǔ)VMware ESXi syslog事件的好地方，尤其是發(fā)生災(zāi)難時(shí)。

　　例如，發(fā)生安全漏洞，最基本的你要分析是啥出錯(cuò)了。VMware ESXi使用syslog記錄重要事件的信息，如如網(wǎng)絡(luò)接口狀態(tài)的更改，或鏈接到存儲(chǔ)區(qū)域網(wǎng)絡(luò)的改變。通過檢查ESXi syslog事件，可以追溯虛擬環(huán)境中的問題。

　　但是，如果VMware ESXi syslog事件存儲(chǔ)在產(chǎn)生它們的同個(gè)服務(wù)器上時(shí)，發(fā)生問題時(shí)就不能訪問關(guān)鍵信息。這也是為什么要使用遠(yuǎn)程服務(wù)器在外部存儲(chǔ)syslog信息的原因，便于保護(hù)登錄架構(gòu)。擁有一些額外的硬軟件，加上ESXi hypervisor，可設(shè)置便宜的遠(yuǎn)程Linux服務(wù)器來記錄VMware ESXi syslog事件。

　　為ESXi syslog事件配置遠(yuǎn)程Linux服務(wù)器

　　默認(rèn)下，syslog在主機(jī)上存儲(chǔ)ESXi登錄。***設(shè)置一臺(tái)外部登錄主機(jī)，Linux是最方便的平臺(tái)。

　　Linux有各種版本，無論選擇何種作為登錄主機(jī)都行。我在本文中使用的是OpenSUSE，它是個(gè)免費(fèi)的Linux版本，是SUSE Linux Enterprise Server的基礎(chǔ)。

　　執(zhí)行OpenSUSE默認(rèn)安裝后，需要配置運(yùn)行在OpenSUSE上的登錄服務(wù)器rsyslogd。首先，配置syslog從其他主機(jī)接收日志消息，選擇是否想通過Transmission Control Protocol (TCP)或User Datagram Protocol (UDP)接收日志文件。默認(rèn)下，rsyslogd使用UDP作為傳輸機(jī)制。如果底層網(wǎng)絡(luò)受信任，這是個(gè)很好的選擇。但是，如果日志信息通過不受信任的網(wǎng)絡(luò)連接傳輸?shù)脑?，就有可能丟失包，這時(shí)TCP就是確保信息傳輸?shù)饺罩局鳈C(jī)的好選擇。

　　***次使用rsyslog日志主機(jī)時(shí)，我推薦UDP。不過在需要增加可靠性時(shí)，你可以輕松切換到TCP。

　　要在syslog主機(jī)上啟動(dòng)UDP日志接收的話，打開配置文件/etc/rsyslog.d/remote.conf并編輯，如gedit或vi。確保以下兩行位于文件前列：

　　$ModLoad imudp.so

　　$UDPServerRun 514

　　現(xiàn)在已在遠(yuǎn)程Linux服務(wù)器上啟用了rsyslog，重啟。使用命令服務(wù)rsyslogd進(jìn)行重啟。接下來，配置ESXi主機(jī)發(fā)送它們的syslog事件到你新配置的遠(yuǎn)程Linux服務(wù)器。

　　原文鏈接：http://www.searchvirtual.com.cn/showcontent_58007.htm