Accueil > vCLog > configuration de l’agent LogInsight pour Windows
Juil/1421

LIagent-WinDepuis la version 2.0 de vCenter Log Insight, un agent Windows est disponible.

L’agent est fourni sous la forme d’un fichier MSI installable de 2Mo qu’il faut aller récupérer sur la page « Administration > Management > Agents » de l’interface Web de Log Insight et cliquer sur « Download Log Insight Windows agent« .

Installation

L’installation est basique, car elle ne demande que d’accepter l’EULA et l’adresse IP ou hostname du serveur Log Insight. Il est cependant possible de scripter une installation silencieuse (s’assurer de l’exécuter avec les privilèges admin), voici les paramètres utilisables:

/quiet pour l’installation silencieuse

SERVICEACCOUNT= pour préciser le compte qui démarre le service (par défaut le compte de service « LocalSystem »)

SERVICEPASSWORD= le mot de passe du compte de service démarrant l’agent Log Insight

SERVERHOST= pour renseigner l’adresse IP ou le hostname du serveur Log Insight

SERVERPROTO= protocole utilisé par l’agent pour envoyer les événements au serveur Log Insight. Valeur: « cfapi » (par défaut et recommandé) ou « syslog« .

SERVERPORT= port réseau utiliser en combinaison avec le protocole. La valeur par défaut est 9000 (ce qui correspond au protocole « cfapi« ), pour du Syslog il faut mettre 514.

Dès l’installation de l’agent terminé, il tourne en tant que service Windows avec démarrage automatique,  nommé simplement « VMware vCenter Log Insight Agent« .

Configuration

Ensuite pour modifier la configuration de l’agent, il faut aller éditer le fichier « C:\ProgramData\VMware\Log Insight Agent\liagent.ini« . Voici la structure de ce fichier de configuration:

La première section [server] correspond aux paramètres définit lors de l’installation: proto=SERVERPROTO / hostname=SERVERHOST / port=SERVERPORT

La seconde section [storage] avec le paramètre « disk_max_buffer= » définit la taille (en Mo) sur disque du cache des événements en attente d’envoi par l’agent ainsi que ces propres logs.

La troisième section [logging] avec le paramètre « debug_level= » définit le niveau de détail des logs propre à l’agent allant de 0 (défaut) à 2.

Et toutes les sections sont des sources de collecte de logs aussi appelées « channel ». Par défaut, on retrouve les journaux d’événements Windows : Application / Security / System. Ces sources peuvent être de 2 sortes : [winlog|….] pour les journaux d’événements Windows ou [logfile|….] pour les fichiers de log. La seconde partie est le nom de la section, sans importance, il est recommandé d’utiliser le nom court de ce channel.

Paramètres pour les sections de type WinLog:

channel= Le nom du journal d’événement Windows à collecter. Pour récupérer son nom aller dans les propriétés du journal d’événement et récupérer le « FullName » du journal.

enabled= activé par défaut, il peut être intéressant de la mettre à « no » pour éviter de devoir supprimer la section lors de troubleshooting.

whitelist= pour restreindre la collecte aux événements correspondants aux critères. Par défaut la valeur est 1, ce qui signifie tout inclure. Le reste de la syntaxe s’écrit avec des champs, des opérateurs et des valeurs.

Les opérateurs disponibles sont « ==« , « !=« , « >=« , « >« , « <=« , « <« , « &« , « and« , « |« , « or« , « ^ » (xor), « ~« , « not » et les parenthèses « ( )« . Les champs disponibles sont « Hostname« , « Text« , « ProviderName« ,  « EventSourceName« , « EventID« , « Channel« , « UserID« , « Level« , « Task« , « OpCode » et « Keywords« . Les valeurs sont à renseigner, mais certaines sont prédéfinies (Cf. documentation LogInsight).

blacklist= pour exclure de la collecte les événements correspondants aux critères. Par défaut la valeur est 0, ce qui signifie aucune exclusion. Fonctionne de la même manière et en complément du paramètre « whitelist« .

Paramètres pour les sections de type LogFile:

enabled= activé par défaut, il peut être intéressant de la mettre à « no » pour éviter de devoir supprimer la section lors de troubleshooting.

directory= chemin complet vers le répertoire contenant les fichiers de logs. Il n’y a pas de récursivité dans les répertoires, il faut créer un channel par répertoire.

include= nom de fichier ou masque de fichier à collecter. Il est possible de faire une liste en les séparant avec « ;« . Par défaut la valeur est *, ce qui signifie inclure tous les fichiers.

exclude= nom de fichier ou masque de fichier à exclurer de la collecte. Il est possible de faire une liste en les séparant avec « ;« . Par défaut la valeur est vide, ce qui signifie aucun fichier exclut.

charset= format de la table de caractère utilisé dans les fichiers de logs. Les formats possibles sont « UTF-8 » (défaut), « UTF-16LE » et « UTF-16BE« .

tags= permet d’ajouter des « Fields » et leurs valeurs pour les retrouver côté serveur Log Insight. La syntaxe est du type {« tag-name1« : »Tag Value 1« , »tag_name2« : »Tag Value 2« ,}. Les noms de tag « timestamp » et « event_id » sont ignorés, car déjà utilisés nativement par l’agent.

event_marker= pour définir une expression régulière (RegEx) qui définit le début d’un nouvel événement dans un fichier de log. Quand elle n’est pas définie, il prend par défaut chaque nouvelle. Il est donc nécessaire de le définir si les messages log peuvent être multilignes.

 NB: L’agent LI pour Windows est une application 32-bits. Sur les OS Windows 64-bits, les demandes d’accès aux fichiers C:\Windows\System32 sont redirigées vers C:\Windows\SysWOW64. Il faut utiliser l’alias Sysnative (à la place de System32) pour permettre à l’agent d’y accéder quand même.

Pour vérifier que l’agent fonctionne bien, il suffit de retourner sur la page de téléchargement de l’agent (Administration > Management > Agents). On doit voir ici l’agent remonter dans la liste et le compteur « events sent » s’incrémenter. De plus en cliquant sur le Hostname de l’agent, on arrive directement aux logs de l’agent reçus par le serveur Log Insight.

Depuis cette page, il est aussi possible de pousser des paramètres de configuration communs à tous les agents LI pour Windows. On utilise ici la même syntaxe que dans le fichier de configuration.

Remarques sur l’agent

L’agent est supporté pour les OS desktop Vista et plus récent et pour les OS serveur Windows 2008 et plus récent.

L’agent supporte un maximum de 60 sources (channel) d’événements Windows.

En complément de l’agent, 2 Content-Packs pour l’agent Windows sont sortis récemment:

Ces Content-Packs permettent de structurer les données reçues par le serveur Log Insight, d’en extraire les Fields, d’y appliquer des alertes et fournir des Dashboards préconfigurés. En voici un aperçu:

LI-CP_Windows LI-CP_AD

 

  1. 04/09/2014 à 21:31 | #1

    Très bon post sur la configuration standard de l’agent pour des applications: http://sflanders.net/2014/09/04/log-insight-windows-agent-configurations-common-applications/

  1. Pas encore de trackbacks