事件转发到系统日志服务器

最后更新
另存为PDF

Views:: 445

Visibility:: Public

Votes:: 1

Category:: ontap-9

Specialty:: core

Last Updated:

适用场景

ONTAP 9
集群模式Data ONTAP 8.
Data ONTAP 7-模式

问题解答

概述

系统日志是事件触发的消息、其严重性范围不等
EMS事件遵循系统日志标准
该标准由IETF在RFC 5424中定义

如何配置系统日志转发

通常、配置系统日志转发包括三个步骤

在ONTAP中创建系统日志目标服务器
- cluster-1::> event notification destination create -name syslog-ems -syslog syslog-server-address
  - 事件通知目标创建
创建一个事件筛选器、用于确定要转发到所选目标服务器的EMS事件列表
- cluster-1::> event filter create -filter-name important_raid_event
  - 事件筛选器创建
- cluster-1::> event filter rule add -filter-name important_raid_events -type include -message-name raid.aggr.*
  - 添加事件筛选器规则
- cluster-1::> event filter show
  - 事件筛选器显示
创建事件通知以将选定事件筛选器转发到系统日志服务器：
- cluster-1::> event notification create -filter-name important-raid-events -destinations syslog-ems
  - 事件通知创建

有关ONTAP中系统日志记录的其他指南

系统日志快速/管理指南
有关其他深入配置详细信息、请参阅技术指南- 在集群模式Data ONTAP中登录
- 目前、只能将EMS事件转发到系统日志服务器

7-模式与集群模式Data ONTAP之间的差异

ONTAP 9

ONTAP 9.X中对EMS配置和事件通知系统的更改
EMS操作已针对ONTAP 9.X进行了重新设计
现在、可以使用 "event notation" 命令设置通知
在9.X中已弃用‘event route’和‘event Destination’命令系列
- 从已弃用的ONTAP命令更新EMS事件映射
从8.3.x升级
- 升级到ONTAP 9.X后、请使用ONTAP文档页面从已弃用的ONTAP命令更新EMS事件映射以更改当前事件通知
- 要在ONTAP 9.x中删除任何旧的8.3.x配置并从头开始执行EMS事件映射、请执行以下操作：

::> event route remove-destinations -message-name !callhome.* -destinations *

::> event route modify -message-name callhome.* -destinations asup

集群模式Data ONTAP (8.X)

在集群模式Data ONTAP中、已弃用/etc/syslog.conf文件
因此、访问远程系统日志主机的内容由设置控制
系统日志可以使用event route和event Destination命令进行设置

7-模式

在Data ONTAP 7-Mode中、syslogd守护进程会将系统消息记录到控制台、日志文件以及由其配置文件(syslog.conf)指定的其他远程系统
syslogd守护进程会在启动操作步骤期间启动时或修改/etc/syslog.conf文件后的30秒内读取其配置文件
有关配置文件格式的信息，请参见 na_slog.conf(5)。
- 7-模式中的配置文件示例

 # Log all kernel messages, and anything of level err or # higher to the console. *.err;kern.* /dev/console # Log anything of level info or higher to /etc/messages. *.info /etc/messages # Also log the messages that go to the console to a remote # loghost system called adminhost. *.err;kern.* @adminhost # Also log the messages that go to the console to the local7 # facility of another remote loghost system called adminhost2 # at level info. *.err;kern.* local7.info@adminhost2 # The /etc/secure.message file has restricted access. auth.notice /etc/secure.message

什么是系统日志转换器？

系统日志转换程序可帮助您了解或诊断控制台和/etc/messages文件上显示的NetApp系统错误消息。
有关详细信息、请参见知识库文章：如何了解或诊断使用系统日志翻译器显示在控制台和/etc/messages文件上的NetApp系统错误消息
系统日志翻译器链接

故障排除

在对系统日志相关问题进行故障排除时、最常见的问题是：
- 配置问题
  - 查看上面链接的设置指南和相关文章以获得更多帮助
- 连接到系统日志服务器
  - 对于连接测试：
    - 如果在Syslog服务器上无法接收消息，则可以使用免费的数据包捕获程序，例如，在进行数据包捕获时使用。
    - 此程序提供了在数据包发送到网络接口卡(NIC)时捕获数据包的功能。通过筛选和分析此流量、您将能够确定网络设备是否实际向系统发送了预期的信息

从系统日志服务器测试连接(网络)问题：

下载并安装程序 [1]
使用“捕获”菜单打开“捕获选项”表单
选择连接到ONTAP节点的NIC、然后定义一个捕获筛选器、该筛选器将查找发送到UDP端口514 (默认系统日志端口)的所有数据包
按“Start (开始)”按钮，您将看到正在发送的数据包
停止捕获并查看数据。它应显示协议为系统日志的数据包
如果未收到任何消息、请使用ping和traceroute命令检查与系统日志服务器的连接

ONTAP 9

在ONTAP 9中、您可以运行以下命令来验证是否已创建EMS消息、并验证与系统日志服务器的连接

::> set diag

::*> event notification destination check -node {nodename>|local} -destination-name <dest>

::*> event notification history show

event Notification Destination check 命令通过向目标发送测试消息来检查与目标的连接
- 必须已使用event Notification Destination命令配置目标
- 命令将显示一个结果、指示消息是否已成功发送到目标
- 如果出现故障、可以在notifyd.log文件中找到更详细的信息
  - 注意：目前、此命令只能检查与REST-API类型的目标的连接
event Notification hist历史记录show 命令可显示已发送到通知目标的事件消息列表
- 命令为每个事件显示的信息与event log show命令显示的信息相同
- 此命令显示发送到通知目标的事件、而event log show命令显示已记录的所有事件

追加信息

系统日志消息将根据路由规则选择源接口
对于ONTAP 9： EMS配置概述
对于ONTAP 8.3：《集群模式Data ONTAP 8.3 EMS配置快速指南》
ONTAP 9.2及更高版本如何选择路由？
使用路由组升级到9.2或更高版本后、网络流量未通过意外接口发送或发送
使用TCP或UDP以及自定义端口创建系统日志转发目标
从已弃用的ONTAP命令更新EMS事件映射