Bessere Lichtverhältnisse

von Gerd Pflueger

vRealize Log Insight ist VMwares Syslog-Server, der von Netzwerkgeräten gesandte Standardnachrichten empfängt und speichert. Da in Rechenzentren eine Vielzahl an Systemen Daten an den Syslog-Server senden, ist die Auswertung komplex. Log Insight will diesen Vorgang vereinfachen und helfen, Reaktionen zu automatisieren. Unser Workshop zeigt die Inbetriebnahme und die Arbeit mit dem Werkzeug.

VMware beschreibt vRealize Log Insight (vRLI) [1, 2] als ein Tool für die Protokollanalyse in physischen, virtuellen und Cloudumgebungen. Es entstand aus "vCenter Log Insight", das Meldungen vom vCenter verarbeitet, und wurde zu einem System weiterentwickelt, das eine Vielzahl von Geräten supportet, die das Syslog-Protokoll senden können. Dazu zählen zum Beispiel vCenter, ESXi-Hosts, NSX, Netzwerkgeräte und Linux/UNIX-VMs. Für Geräte, die Syslog nicht von Haus aus unterstützen, sind Agenten verfügbar.

Mit "vRealize Log Insight Cloud" können Sie Betriebssysteme, Anwendungen, virtuelle Maschine, Container, Firewalls, Netzwerkgeräte in Multiclouds (AWS, Azure und GCP) sowie VMware-Clouds (VMware Cloud on AWS, Azure VMware Solutions und Google Cloud VMware Engine) einbinden.

Vier vRLI-Lizenzen

Das Produkt steht in vier Editionen mit unterschiedlichen Funktionen bereit:

- vRealize Log Insight for NSX: Ist in NSX enthalten und beschränkt sich auf vSphere- und NSX-Protokolldaten.

- vRealize Log Insight: Für den lokalen Einsatz mit unbegrenztem Datenvolumen mit vSphere, NSX und weiteren VMware-Services inklusive Drittanbieter-Content-Packs.

- vRealize Log Insight Cloud: Als SaaS und lokal verfügbar. Die On-Premises-Nutzung bietet unbegrenzte Logdatenverarbeitung mit vSphere, NSX und weiteren VMware-Services inklusive Drittanbieter-Content-Packs. SaaS auf VMware Cloud on AWS, AWS, Microsoft Azure, Google Cloud Platform mit Protokollaufbewahrung für 30 Tage und Unterstützung nativer Protokollarchivierung.

- vRealize Log Insight Cloud für VMware Cloud on AWS: In VMware Cloud on AWS enthalten. Es existiert ein optionales Upgrade für vollen Funktionsumfang mit vSphere und NSX. Zudem verfügbar sind Pakete für Auditprotokolle von VMware Cloud on AWS, NSX-T-Firewall-Protokolle für VMware Cloud on AWS, Auditprotokolle für VMware Cloud Services Platform (CSP), Protokolle für On-Premises-Produkte von VMware sowie Nicht-VMware-Protokolle (Public Cloud, Anwendungen, Container). Protokollaufbewahrung für maximal Tage und 1 GByte pro Tag.

Installation von vRLI

Um mit vRLI zu starten, stellen Sie mindestens eine virtuelle vRLI-Appliance [3] bereit. Sind Sie nicht im Besitzt einer vRLI-Lizenz, liefert [4] eine Trial-Version. Die Appliance installieren Sie als OVA und dimensionieren sie nach den in der Tabelle gezeigten Anforderungen. Die empfohlenen Größen sind eine Kombination aus Compute- und Disk-Ressourcen, die Sie später noch modifizieren können. Die kleinste Produktionsbereitstellung sollte mindestens die Größe "Small" haben, "Extra Small" sollten Sie nur für Demo-, Test- oder POC-Zwecke verwenden.

Die Größenangaben gehen davon aus, dass jede virtuelle CPU mindestens 2 GHz hat und dass jeder ESXi-Host zehn Nachrichten pro Sekunde mit durchschnittlich 100 Byte sendet. Wichtig ist, dass die Zahl der zu verarbeitenden Events pro vRLI-Applicance zu berechnen ist und die Skalierung nur über geclusterte vRLI-Maschinen funktioniert – der "vRLI Sizing Calculator" [5] zeigt diesen Aufbau. In einem Cluster nutzt vRLI "Primary-" und "Worker-Nodes". Sowohl Primary als auch Worker sammeln Daten, aber nur Primary wertet die Daten aus und aggregiert die Ergebnisse. Ein Cluster fast drei bis 18 vRLI-Nodes zusammen, die über einen internen Loadbalancer (ILB) verwaltet werden.

Cloudinstallation mit vRLI

Ohne einen "VMware Cloud Proxy" können Sie vRealize Log Insight Cloud nicht nutzen. Ist kein Cloud Proxy vorhanden, fordern die VMware Cloud Services diesen an. Verfügen Sie bereits über einen oder mehrere, sind Sie in der Lage, einen weiteren für vRLI hinzuzufügen. Der Cloud Proxy bekommt Log- und Event-Informationen von den zu verwaltenden Systemen und läuft lokal in Form einer virtuellen Maschine (OVA). Die Installation starten Sie in vRNI Cloud im Hauptmenü unter "Configuration / Cloud Proxies".

Um die Kommunikation zwischen Proxy und Cloud Service einzurichten, ist es notwendig, alle Datenquellen an den Proxy weiterzureichen. Sie müssen sicherstellen, dass Port 443 für ausgehenden Datenverkehr offen ist und die Domains "*.vmware.com", "symphony-docker-external.jfrog.io" und "ci-data-collector.s3 amazonaws.com" erreichbar sind.

Den vRLI-Einsatz vorbereiten

Nach der Installation von vRLI gilt es, das System mit Daten zu füttern. Am Anfang ist dafür zumindest vSphere erforderlich. vRLI kann von vCenter zwei verschiedene Datenströme abgreifen. Zum einen Ereignisse, Aufgaben und Alarme (strukturierte Daten mit spezifischer Bedeutung). Haben Sie dies eingerichtet, zieht vRLI Ereignisse, Aufgaben und Alarme von den vCenter-Instanzen. Zum zweiten verarbeitet vRLI Logs, also unstrukturierte Daten: ESXi-Hosts und vCenter-Instanzen können ihre Protokolle über Syslog an vRLI senden.

Um vRLI mit Ihrer vSphere-Umgebung zu verbinden, müssen Sie im Menü "Integration / vSphere" den "Add vCenter Server"-Knopf drücken und Hostnamen, Usernamen und Password eingeben. Nach der Auswahl der zu speichernden Daten sammelt vRLI diese alle zwei Minuten ein. Nun müssen Sie nur noch alle oder spezielle Hosts auswählen, um vCenter zur Config-Änderung und damit zur Datenübertragung einzurichten.

Die Inhalte der verschiedenen Ansichten

vRLI liefert zwei Hauptansichten, um die gespeicherten Daten auszuwerten: das interaktive "Analytics" und "Dashboards". Das Dashboard bietet eine grafische Aufbereitung der Daten in allgemeinen, geteilten und persönlichen Darstellungen sowie eine zu "Content Pack". Die Standardansicht (Overview) bekommen Sie, wenn Sie auf "Dashboards" im Hauptmenü klicken. Hier haben Sie die Möglichkeit, den Umfang der Protokolle von den letzten fünf Minuten auf 48 Stunden oder einen benutzerdefinierten Zeitraum zu erweitern.

Unterhalb der Zeit-Dropdown-Liste finden Sie drei Filter für Host-Name, Quelle oder App-Name. Die Widgets unterhalb des Filterdialogs sind nach Zeilen gruppiert und zeigen die Gesamtzahl der

Ereignisse, Fehler, Ausnahmen und Warnungen an. So gewinnen Sie einen Überblick über die ESXi-Hosts, die die meisten Ereignisse in der vSphere-Umgebung erzeugen. Jedes Widget verfügt über Symbole, mit denen Sie direkt zur Registerkarte "Interaktive Analyse" wechseln, das Widget klonen oder Informationen dazu anzeigen können.

Der Bereich "Problems" im allgemeinen Dashboard zeigt die Anzahl der Problem-Events, gruppiert nach Hostname, Event-Typ und Event-Trend. "Event Types" stellt die Events nach Hostname, Typ und Error dar. "Statistics" bieten dem Benutzer eine Bestandsaufnahme seiner Umgebung: ESXi-Hosts, vCenters, Ereignistypen, Agenten und mehr. Das "Log Insight Agents"-Dashboard stellt einen Einblick in die von vRLI-Agenten (mehr dazu später) generierten Ereignisse dar: Ereignisse im Zeitverlauf, Anzahl der vRLI-Agenten, Win-dows-Ereignisanzeige-Ereignisse und mehr. Abschließend visualisiert "Syslog Agent" einen Überblick zu den von Syslog-Agenten erzeugten Daten und Ergebnissen. Der Bereich "Content Pack Dashboards" zeigt alle Dashboards an , die als "vRLI Content Packs" installiert wurden.

Agenten und Content Packs einrichten

Damit Drittanbieterprodukte oder auch VMware-Tools ihre Logging-Daten zu vRLI senden können und die Datenstruktur interpretierbar ist, stehen "Log Sources" für Agenten und Container sowie Content Packs für Drittanbieter und VMware-Tools bereit. "Log Sources" wird erklärt, wie Sie Log-Insight-Agenten für Windows und Linux installieren. Dabei sammelt der vRLI-Agent Protokollereignisse aus Protokolldateien und Winlog-Kanälen, verarbeitet sie und leitet sie an einen vRLI-Server oder ein Syslog-Ziel eines Drittanbieters weiter (gegebenfalls auch per FluentD als Open Source Data Collector). Auch Container-Daten lassen sich an vRLI weiterleiten, dies veranschaulicht der Bereich "Container".

Content Packs erfassen und veröffentlichen Protokolldaten aus vRLI-kompatiblen Protokollen über Dashboards, Abfragen, extrahierte Felder und Warnungen. Sie können auch Konfigurationen enthalten, die den Agenten mitteilen, welche Protokolle zu senden sind und wie sie zu taggen beziehungsweise zu parsen sind. Standardmäßig kommt vRLI mit Content Packs zu vSphere, vSAN und vROps daher. Zusätzliche Pakete stehen unter [6] zum Down-load bereit. Zusätzlich gibt es noch Content Packs, die die VMware-Community bereitstellt. Die wichtigsten können Sie direkt über die vRLI-Oberfläche installieren.

Im Bereich "Installed Content Packs" ergründen Sie die Struktur und Daten der installierten Packs. Fünf Abschnitte strukturieren hierbei die eingehenden Daten:

- Dashboards: Zeigt den Aufbau der Content-Packs-Dashboards und welche Widgets zur Verfügung stehen.

- Queries: Abfragen, die Daten aus den vRLI-kompatiblen Protokollen ziehen. Für jede Abfrage finden sich deren Name sowie Anmerkungen.

- Alerts: Definiert Alarme und lässt sich mit E-Mail-Infos, Webhook (Aktionen) und vROps-Alarmen verknüpfen.

- Agent Groups: Konfigurationen für die Überwachung, das Parsing und die Kennzeichnung von Ereignissen, die an vRLI gesendet werden. Sie teilen dem Benutzer (oder Agenten) mit, welche Verzeichnisse/Protokolle zu überwachen sind, welche Regex zum Extrahieren von Feldern dienen und welche Tags diese anschließend erhalten.

- Extracted Fields: Aus den Protokollen extrahierte Felder.

Auswertung mit Interactive Analytics

Die wichtigen und detaillierten Auswertungen erhalten Sie über "Explore Logs". Die interaktive Analyse der Daten ist besonders leistungsfähig und kommt erfahrungsgemäß bei Admins am meisten zum Einsatz. Die Standardansicht zeigt die Anzahl der Events über die gewählte Zeitperiode. Dies erfolgt standardmäßig als "Bar Chart", lässt sich aber unterhalb des Graphen anpassen und so auch als eigenes Dashboard abspeichern. Dasselbe funktioniert über "Snapshots", um mehrere Charts zu einem Dashboard hinzuzufügen.

Unterhalb der Grafik finden Sie eine Liste aller Events und Logs. Dies spiegelt die Rohdaten von vRLI wider. Sie können die Daten nun in mannigfaltiger Art und Weise filtern und darstellen, zum Beispiel über "Filter Bar". Damit können Sie alle Daten nach einer Zeichenkette durchsuchen. Je nach Ergebnis ändert sich damit auch die Event-Bar-Grafik darüber.

Übersichtlich und flexibel ist die "Field Table"-Darstellung, der Sie auch Spalten hinzufügen oder entfernen können. Die "Event Types"-Ansicht gruppiert die Events nach Anzahl. Wie in den meisten Darstellungen lassen sich Werte zusätzlich filtern, zusammenfassen oder als Chart visualisieren. Die "Event Trends" zeigen die Daten relativ zur aktuellen Situation an. In der rechten oberen Ecke gibt es sehr praktische Helfer, um Favoriten zu erstellen, Dashboards zu erweitern, Alarme zu kreieren und die erstellte Ansicht mit anderen zu teilen.

Der letzte Teil der interaktiven Analytics ist die Aufstellung aller Felder für die angezeigten Daten (rechts in der GUI). Die Liste stellt die Felder dar, aus denen die Ereignisse in der Abfrageausgabe bestehen. Wenn Sie auf das Plus-Symbol links neben einem Feld klicken, zeigt sich ein Balkendiagramm mit der Angabe, wie viele Instanzen dieses bestimmten Feldes in der Abfrage enthalten sind. Wenn Sie auf das Augensymbol rechts neben einem Feld klicken, erhalten Sie die Details zu diesem Feld: Name, Regex, Regexe und so weiter.

Praktischer Einsatz von vRLI

vRLI soll kein Datengrab sein, sondern Administratoren einer virtualisierten Datacenter-Umgebung helfen, einfache, aber auch komplexe Fehlersituationen wie auch Sicherheitsvorfälle zu finden. Zudem erlaubt das System Automatisierung, um so an Ergebnisse bestimmte Aktionen anzuknüpfen. Praktisch ist, dass Sie Logs mit vRLI zentralisieren können und das lästige Einloggen auf Netzwerk- und Serversystemen entfällt. Zudem stehen die Daten durch die Content Packs nicht nur in der rohen Form, sondern strukturiert zur Verfügung. Ein typisches Einsatzszenario ist, mit dem "VMware vSphere Content" Pack fehlerhafte Logins zu überwachen und in den interaktiven Analytics dann einen Alarm per E-Mail oder Notification-App auszulösen.

Ein anderer beliebter Anwendungsfall ist die Analyse von Änderungen der NSX-Firewall-Regeln in Echtzeit über das Menü "Explore Logs". Diese lassen sich mit einer Suche nach "Operation=

"UpdateSecurityRule"" oder "Operation="DeleteSecurityRule" suchen. Im Log steht dann auch der User, der die Änderung durchgeführt hat (UserName="gpflueger@xxx.xyz.net") und es ist möglich, eine Benachrichtigung damit zu verknüpfen. Dies gibt Ihnen die Übersicht, wer welche Firewall-Regel wann geändert hat.

Fazit

Im Vergleich mit auf dem Markt angebotenen SIEM- oder SOAR-Systemen zeigt sich, dass vRLI mit der aktuellen Version 8.8 auf Augenhöhe mit anderen Systemen liegt und unter Umständen aufgrund der Lizenzierung ein interessantes Produkt sein kann. SIEM/SOAR-Systeme dienen dem Sammeln, Verwalten und der Analyse von Protokolldaten und bieten ähnliche Funktionen wie vRealize Log Insight – zum Beispiel die Korrelation von Echtzeitdaten, die Optimierung von Suchfunktionen und die Erstellung von Visualisierungen wie Diagrammen, Berichten, Warnungen und Dashboards. SIEM- und SOAR-Systeme verfügen außerdem auch über App Stores, die die Erweiterbarkeit erhöhen, ähnlich wie die Content Packs von vRealize Log Insight.

Sizing der vRLI-Appliance
Name der OVA	Protokollaufnahme	vCPUs	RAM	IOPS	Syslog-Verbindungen	Events/Sekunde
Extra Small	6 GByte/Tag	2	4 GByte	75	20	400
Small	30 GByte/Tag	4	8 GByte	500	100	2000
Medium	75 GByte/Tag	8	16 GByte	1000	250	5000
Large	225 GByte/Tag	16	32 GByte	1500	750	15.000

VMware vRLI für Logging und Analyse

Bessere Lichtverhältnisse

Vier vRLI-Lizenzen

Vier vRLI-Lizenzen

Installation von vRLI

Cloudinstallation mit vRLI

Den vRLI-Einsatz vorbereiten

Die Inhalte der verschiedenen Ansichten

Agenten und Content Packs einrichten

Auswertung mit Interactive Analytics

Praktischer Einsatz von vRLI

Fazit