使用 VMware Aria 日志操作AWS将日志从 VMware Cloud 发送到 Splunk

由 Deepak Kumar (AWS) 和 Piotr Pitera () 创作 AWS

环境：生产	来源：VMwareCloud on AWS 日志和事件	目标：Splunk 本地终端节点
R 类型：重新定位	工作负载：所有其他工作负载	技术：混合云；基础设施；迁移
AWS服务：开VMware启云端 AWS

Summary

注意：自 2024 年 4 月 30 日起，VMwareCloud on AWS 不再由其渠道 AWS 合作伙伴转售。该服务将继续通过博通提供。我们鼓励您联系您的 AWS 代表了解详情。

此模式描述了如何使用 A VMware ria Operations for Logs 将 Cl VMware oud 上的 AWS 事件或日志转发到系统日志或HTTP端点（例如 Splunk）。

VMwareAria Operations for Logs 是一款日志分析工具，可在 VMware Cloud on AWS 环境中增强可见性并加快故障排除速度。您可以将此工具配置为将 VMware Cloud 中的全部或部分日志或事件发送 AWS 到系统日志或HTTP端点。终端节点可以是软件即服务 (SaaS) 端点，也可以是本地端点，例如 Splunk。（此模式提供了 Splunk 的使用说明。）要了解有关 VMware Aria 日志操作的更多信息，请参阅VMware文档。

VMwareCloud on AWS 是一项 pay-as-you即用（按需）服务，它使各种规模的企业都可以使用各种各样的，在VMwarevSphere基于云的 AWS 服务环境中运行工作负载。在生产环境中，您可以从每个软件定义的数据中心 (SDDC) 集群最少 2 台主机开始，然后将每个集群扩展到最多 16 台主机。有关更多信息，请 AWS访问网站上的VMware云端。要了解更多信息SDDCs，请参阅文档中的软件定义数据中心简介。VMware

先决条件和限制

先决条件

Splunk，在本地配置

限制

你可以注册免费试用 A VMware ria Operations for Logs。此订阅有效期为 30 天，并有以下限制：

您可以转发的最大日志大小：每天 50 GB 日志
您可以创建的最大日志转发配置数：10
您可以激活的最大日志转发配置数：5

要访问所有服务功能，必须升级到高级订阅。

有关试用版和高级版订阅的更多信息，请参阅VMware文档中的 A VMwareria 日志操作 (SaaS) 订阅和计费。有关使用限制的更多信息，请参阅VMware文档中的功能使用限制。

产品版本

VMware AWS SDDC版本 1.24 上的 Cloud
VMware日志的 Aria 操作版本 8.10
本地部署 Splunk 版本 9.x

架构

源技术堆栈

VMwareCloud on AWS
VMware日志的 Aria 操作

目标技术堆栈

本地 Splunk

目标架构

下图显示了企业数据中心与 VMware Aria Operations for Logs in VMware Cloud 之间的连接 AWS。

工具

VMwareCloud on AWS 是由 AWS 和联合开发的集成云产品VMware。
VMwareAria Operations for Logs 是 VMware Cloud on 的日志分析和故障排除工具 AWS。

操作说明

任务	描述	所需技能
在上部署VMware云 AWS SDDC。	按照 AWS 规范性指南中使用 VMware Cloud 开启部署 AWS中的说明进行操作。VMware SDDC AWS	云架构师、云管理员
注册 A VMware ria 操作日志。	有关说明，请参阅VMware文档。	云架构师

任务	描述	所需技能
部署云代理。	要将日志转发到 Splunk 的本地实例，您必须为 VMware Aria 日志操作添加云代理。此代理从本地数据中心接收信息，并将其发送到 VMware Aria Operations 进行日志进行分析。要下载并安装云代理，请执行以下操作：确保您的本地环境和 C VMware loud on 之间的端口 443、22 和 514 处于打开状态。 AWS对于其他端口，您可以使用 1514/ TCP 或 6514/。TCP有关端口的更多信息，请参阅VMware文档中的 VMwareAria 操作日志防火墙建议。登录日志版 VMware Aria 操作。在主页上，在构件中选择 “添加收集器”。在云代理虚拟设备屏幕上，复制令牌密钥。您必须在 24 小时内使用此密钥才能完成以下步骤。选择OVA文件的下载链接。导航到 VMware vSphere Web 客户端，选择您的集群，然后选择部署OVF模板。当系统提示您输入密钥时，请粘贴您在步骤 4 中复制的令牌密钥。选择 “完成” 以安装云代理。	云管理员、云架构师

任务

描述

所需技能

部署云代理。

要将日志转发到 Splunk 的本地实例，您必须为 VMware Aria 日志操作添加云代理。此代理从本地数据中心接收信息，并将其发送到 VMware Aria Operations 进行日志进行分析。

要下载并安装云代理，请执行以下操作：

确保您的本地环境和 C VMware loud on 之间的端口 443、22 和 514 处于打开状态。 AWS对于其他端口，您可以使用 1514/ TCP 或 6514/。TCP有关端口的更多信息，请参阅VMware文档中的 VMwareAria 操作日志防火墙建议。
登录日志版 VMware Aria 操作。
在主页上，在构件中选择 “添加收集器”。
在云代理虚拟设备屏幕上，复制令牌密钥。您必须在 24 小时内使用此密钥才能完成以下步骤。
选择OVA文件的下载链接。
导航到 VMware vSphere Web 客户端，选择您的集群，然后选择部署OVF模板。
当系统提示您输入密钥时，请粘贴您在步骤 4 中复制的令牌密钥。
选择 “完成” 以安装云代理。

云管理员、云架构师

任务描述所需技能

任务	描述	所需技能
配置日志转发。	要将日志转发到 Splunk 端点，请执行以下操作：登录日志版 VMware Aria 操作。导航到 “日志管理”。选择 “日志转发”。选择 “新建配置”，然后完成以下设置：为日志转发配置提供一个名称。对于 “目的地”，选择 “本地”。对于云代理，请选择您之前安装的云代理。为终端节点类型选择 TCP。对于 Endpoint URL，请按以下格式提供您的本地 SplunkURL： `tcp://x.x.x.x (your Splunk IP address):514` （可选）对于标签，您可以指定标签名称和值以方便查询。选择 “应用于所有日志” 或 “应用于特定日志”。如果要将所有 VMware Cloud on AWS 日志发送到 Splunk，请选择 “应用于所有日志”。选择验证。选择保存。有关更多信息，请参阅VMware文档中的转发来自 VMware Aria Operations 的日志以获取日志。

配置日志转发。

要将日志转发到 Splunk 端点，请执行以下操作：

登录日志版 VMware Aria 操作。
导航到 “日志管理”。
选择 “日志转发”。
选择 “新建配置”，然后完成以下设置：
- 为日志转发配置提供一个名称。
- 对于 “目的地”，选择 “本地”。
- 对于云代理，请选择您之前安装的云代理。
- 为终端节点类型选择 TCP。
- 对于 Endpoint URL，请按以下格式提供您的本地 SplunkURL：
```
tcp://x.x.x.x (your Splunk IP address):514
```
- （可选）对于标签，您可以指定标签名称和值以方便查询。
- 选择 “应用于所有日志” 或 “应用于特定日志”。如果要将所有 VMware Cloud on AWS 日志发送到 Splunk，请选择 “应用于所有日志”。
选择验证。
选择保存。

有关更多信息，请参阅VMware文档中的转发来自 VMware Aria Operations 的日志以获取日志。

使用 VMware Aria 日志操作AWS将日志从 VMware Cloud 发送到 Splunk

Summary

先决条件和限制

架构

工具

操作说明

相关资源