[[195040]]

集中式日志系統在任何環(huán)境都能夠發(fā)揮重要作用，而對于VMware NSX和其眾多分布式組件來說，其更是不可或缺的。這就是為什么VMware為NSX添加 vRealize Log Insight，一種專門收集 vSphere和NSX日志的Log Insight版本。從NSX 6.2.3開始， VRealize Log Insight被正式加入到所有版本的NSX中。

vRealize Log Insight for NSX和普通Log Insight之間的主要區(qū)別在于前者的用戶許可(EULA)只限于 vSphere和NSX日志數據。如果你仍舊在使用NSX 6.1.x，并且能夠升級到NSX 6.2.3，那么可以下載全新版本的Log Insight。

下面我們將會詳細介紹NSX需要啟用哪些日志組件、如何啟用它們，以及一些使用 vRealize Log Insight NSX的小技巧。

NSX和vRealize Log Insight之間的授權許可詳細對應關系如下：NSX標準版、高級版和企業(yè)版授權為用戶提供了針對每個NSX CPU的一個 Log Insight Standard CPU。NSX Term標準版、高級版和企業(yè)版授權為用戶提供了針對每個NSX Term CPU的一個 Log Insight Standard CPU。針對Term授權的Log Insight Standard CPU最終會過期;授權會顯示過期日期。***，NSX for Desktop 高級和企業(yè)板授權針對每50個NSX Desktop CPU提供了一個Log Insight Standard CPU。

從部署 vRealize Log Insight appliance開始;管理員可以使用appliance的配置向導完成初始化配置過程，配置 vRealize Log Insight從ESXi主機接收日志信息。比如，對于分布式防火墻來說，日志出現在特定虛擬機所在的主機上——但是由于虛擬機很有可能在集群主機之間變換位置，因此使用集中式日志工具十分重要。

Content packs

部署vRealize Log Insight之后，管理員還需要安裝ESX content pack，其能夠允許 vRealize Log Insight翻譯從NSX接收到的信息。這些content pack是集中式日志服務器和應用程序之間的橋梁;沒有它們，應用程序便不能產生日志條目。

安裝content pack需要首先定位到 vRealize Log Insight的右上角菜單，訪問管理界面的應用市場。之后安裝vSphere Content Pack(如圖A所示)。

圖A. 安裝Install the NSX-vSphere Content Pack.

之后需要配置NSX組件。首先是NSX Manager，這是監(jiān)控和配置其他NSX組件的web界面。

管理員可以在Manage選項中找到vRealize Log Insight服務器的入口點。

由于每個NSX Manager 都連接到 vCenter實例 ，因此這種整合方式允許管理員查看和NSX服務器以及vCenter同時相關的日志條目。因此如果NSX在vCenter中進行配置遇到問題，那么這些問題都將會出現在日志條目中。

圖B. NSX管理界面

許多其他組件在NSX中創(chuàng)建和配置之后就會自動啟動日志功能。比如，如圖C所示，管理員可以看到在哪里為分布式邏輯路由器配置syslog服務器;同樣的方式也適用于 NSX Edge appliance，因為二者都擁有Manage和Setting選項卡。

圖C.為Distributed Logical Router配置分布式syslog服務器

如果管理員還想要配置NSX控制器向syslog服務器發(fā)送日志，那么必須直接使用HTTP REST API進行配置。

如果想要將ESXi日志轉發(fā)到 vRealize Log Insight，那么分布式防火墻日志也將會被自動轉發(fā)。這是因為防火墻日志條目存儲在/var/log/dfwpktlogs.log中，當為ESXi主機配置集中syslog服務器時這些也將會被自動轉發(fā)。

防火墻默認不會記錄任何日志信息，所以管理員必須在vSphere Web Client中更改防火墻規(guī)則以啟用防火墻日志功能。

部署NSX和vRealize Log Insight整合之后，就可以使用Interactive Analytics來找到被NSX轉發(fā)的日志條目了。比如，你會發(fā)現針對 SpoofGuard的報警作為分布式防火墻日志的一部分而被轉發(fā)。

圖D. NSX命令行界面 SpoofGuard

這些信息允許管理員基于查詢創(chuàng)建報警，因為不論何時發(fā)生一些事情，管理員都可以通過郵件或者vRealize Operations Manager收到報警。Dashboard是 NSX和vRealize Log Insight整合的另外一個重要組成部分;這些 dashboard可以幫助管理員定位NSX環(huán)境的問題。