如何在VMAX3 eManagement vApp Manager上配置Syslog服务

转载请在文首保留原文出处：EMC中文支持论坛https://community.emc.com/go/chinese

      最近我被问到好几次如何在VMAX3配置Syslog这一问题，我想还是写一篇文章来说明一下。

      我们可以利用运行在eMGMT上的storevntd进程，将信息转发到Syslog服务器。以下是storeventd进程可监控项列表：

          stordaemon action storevntd -cmd list -categories

          Symmetrix：

      status

      events

      array subsystem

      checksum

      diagnostic

      environmental

      device pool

      service processor

      srdf system

      srdf link

      srdfa session

      srdf consistency group

      director

      device

      disk

      groups

      optimizer - Not Supported VMAX3 or All Flash

      smc

      spa

      有关监控项的更多信息可参考：https://support.emc.com/docu78907_Solutions-Enabler-8.3.0-Installation-and-Configuration-Guide.pdf?language=en_US

1.     登录vApp Manager的eMGMT0、1，注意需要分别在两边配置，以确保告警的高可用性。添加下图所示条目，并保存配置。配置中我设置转发多种日志，如果只转发审计日志（audit）的话也是可以的：

             

2.     接下来我们需要验证一下配置。在vApp Manager主页面选择Export log and data files。如图下载所有Solutions Enabler日志文件：

3.     下载最近的symevnt-xxxxx.log zip文件并确认进程是否运行正常。如果这里出现错误的话可能需要重新确认第一步中的操作是否正确：

      接下来，我们演示用Splunk日志管理工具来索引从eMGMT服务器传来的Syslog日志。

1.     在Splunk的管理选项或主界面中选择Add Data：

2.     选择TCP / UDP源 > 选择UDP，端口514（除非你更改了eMGMT vApp中的端口设定）。可以更改源名称方便索引和查找，也可以限制来自特定IP地址的连接：

          

3.     选择Syslog和源类型：

          

      然后向导会提示开始根据所输入的参数进行搜索。如果你想更改VMAX上的设定来测试这一功能，注意默认抓取间隔是60秒。建议去倒一杯咖啡，回来后再搜索应该能看到类似下面的内容。示例中我创建和删除一些存储组，来生成对应的监控审计条目：

          

Paul Martin

Consulting Corporate Systems Engineer, Core Technologies Division

注：本文翻译自英文博客文章：https://community.emc.com/people/PaulCork/blog/2017/03/13/configuring-syslog-server-with-vmax3-emanagment-vapp-manager-and-forwarding-audit-data-to-splunk