NSX-T 系列：第 22部分 - 配置syslog服务

1、概述

本篇文章将介绍如何在 NSX-T Manager 上配置日志记录，以及配置日志服务器的好处：

①可以记录分布式防火墙具体规则的访问进出日志记录。

②可以记录T0 或 T1 网关和网关防火墙的日志记录。

③可以在Loginsight上进行展示，以及后续的故障排错。

2、在NSX-T Manager上启用日志记录

①通过ssh登录到 NSX Manager服务器，切换到 admin 用户，使用以下命令配置日志服务。

nsxmgr01> set logging-server 192.168.230.111 proto udp level info
        WARNING - You are configuring udp-based log forwarding. This will send sensitive information unencrypted over the network. The Splunk App for NSX-T only accepts TLS connections.

nsxmgr01> get logging-servers
Fri Sep 03 2021 UTC 06:50:29.766
192.168.230.111:514 proto udp level info

 3、登录Loginght查看配置

①通过添加对应的筛选器，可以查看到从NSX Manager上传来的Infomation日志信息。

4、发送测试消息

①向日志服务器发送某种类型的消息，这是通过配置“messageid”来完成的。

nsxmgr01> set logging-server 192.168.230.111 proto udp level info messageid FIREWALL,FIREWALL-PKTLO
        WARNING - You are configuring udp-based log forwarding. This will send sensitive information unencrypted over the network. The Splunk App for NSX-T only accepts TLS connections. 

②在Loginsight上进行查看。

5、在Edge节点上启用日志记录

①为了从T0 和 T1 网关接收日志消息，还需要在 Edge 传输节点上启用日志记录。

②通过SSH登录到Edge虚拟机，通过下面命令，配置Edge设备的日志服务

root@edge01:~# su - admin
NSX CLI (Edge 3.1.2.1.0.17975773). Press ? for command list or enter: help
edge01> set logging-server 192.168.230.111 proto udp level info
        WARNING - You are configuring udp-based log forwarding. This will send sensitive information unencrypted over the network. The Splunk App for NSX-T only accepts TLS connections.

edge01> get logging-servers
Fri Sep 03 2021 UTC 07:06:42.859
192.168.230.111:514 proto udp level info

6、测试日志服务器

①在网关防火墙上配置一个规则，启用标签和日志记录以进行测试。

②点击规则右侧的【齿轮】图标， 启用日志记录，给该规则加上标签，点击应用，然后发布。

 

③从NSX外部域网络 ping 测试

④登录Loginsight，查看日志消息（其中192.168.3.237为本PC机的IP）