Mit vRealize Log Insight die Problemanalyse beschleunigen

Der Syslog-Server als Werkzeug

Ich schreibe heute über einen Anwendungsfall, der sich in der IT nicht sehr hoher Beliebtheit erfreut. Die Problemanalyse und Forensik in Systemprotokollen. Klingt so sexy wie eine Wurzelbehandlung, oder?

Nahezu jedes System und jede Komponente protokolliert Ereignisse und Warnungen in ein eigenes Log. Die Betonung liegt auf jedes und eigenes, denn darin besteht das Hauptproblem. Die Informationen sind verteilt und nicht einfach zugänglich. Hat man dann endlich alle Logs an einen gemeinsamen Ort kopiert, erfolgt die Analyse in der Regel mit einem Texteditor. Das ist unübersichtlich und mühsam. Muss man beispielsweise Ereignisse auf einem Server und einer aktiven Netzwerkkomponente korrelieren, sind zahlreiche Schritte notwendig um die notwendigen Information verfügbar zu machen. Eine sehr zeitaufwendige Angelegenheit. Im ungünstigsten Fall ist eines der betroffenen Systeme nicht mehr verfügbar, weil eben genau dort ein Fehler aufgetreten ist. Kein Log – keine Analyse. 🙁

Warum ein Syslog Tool?

Zu diesem Zweck gibt es Syslog-Systeme wie Graylog, Kiwi, Splunk oder PRTG, die aus unterschiedlichen Quellen die Meldungen unter einer Oberfläche vereinen und visualisieren. Damit ist die Arbeit allerdings noch nicht beendet. Aus der Flut an Daten muss man sich jene herausfiltern die relevant sind. Daran scheitern viele Syslog-Projekte. Nicht weil die Produkte schlecht wären, sondern weil in IT Abteilungen oft die Ansicht gilt, nach dem Setup sei die Arbeit getan. Die Produkte werden gekauft, installiert und dann nach kurzer Zeit nicht mehr beachtet.

Alles unter einem Dach

Die wichtigste Eigenschaft eines Syslog Systems ist die Sammlung aller Informationen unter einem Dach und der Darstellung in einer einheitlichen Oberfläche (single pane of glass).

Aufbereitung

Die zweite wichtige Eigenschaft eines guten Syslog-Systems ist die intelligente Aufbereitung und Visualisierung der Daten. Ich erwarte dass die Software für mich die unwichtigen Information ausfiltert und meinen Fokus auf die relevanten Meldungen lenkt.

Haltezeiten

Syslog Systeme bieten längere Haltezeiten der Ereignisse. Viele Server und Hardwarekomponenten verwenden eine Logrotation um Speicherplatz zu sparen. Dabei werden die Logs nach definierter Zeit oder Größe zuerst komprimiert und archiviert. Die Anzahl der Archive ist fest und beim zufügen eines neuen Archivs wird das älteste in der Kette gelöscht. Gerade hier verbergen sich aber mitunter wertvolle Informationen in der Historie. Wie oft ist eine Störung bereits aufgetreten und seit wann?

Permanente Speicherung

Neben den Haltezeiten ist die permanente Speicherung ein wichtiger Punkt. Es gibt Hardware, die ihre Logs im flüchtigen Speicher hält. Nach einem Reboot sind diese gelöscht. Durch Export zu einem Syslog-Server können diese dauerhaft erhalten bleiben.

VMware vRealize Log Insight

Bei der Suche nach passenden Lösungen übersieht man oftmals das nahe liegende. VMware bietet als Teil seiner vRealize Suite das Produkt Log Insight, welches alle der oben geforderten Punkte vereint. Es sammelt Daten aus dem VMware Kosmos, aber auch von Fremdsoftware, Servern, Switches etc. Die Daten werden durch intelligente Prozesse aufbereitet, gruppiert und übersichtlich dargestell. Somit ist eine schnelle und effiziente Problemanalyse möglich. Ereignisse der physischen und virtuellen Welt können leicht korreliert werden. Durch Auswahl eigener Filter kann sich jeder Benutzer sein persönliches Dashboard zusammenstellen, um seine Ereignisse sofort im Blick zu haben.

Log Insight ist ein wertvolles, wenn auch oft unterschätztes Werkzeug bei der Auswertung von Logs.

Lizensierung

Syslog Werkzeuge sind in der Regel mit erheblichen Lizenzkosten verbunden. Da ist es umso erfreulicher, daß vRealize Log Insight bereits in einer vCenter Lizenz enthalten ist. Alle Nutzer mit einer unterstützten vCenter Lizenz erhalten ein 25 OSI Paket (Operating System Instances) für vRealize Log Insight. Die Standard Version erlaubt die Sammlung von 25 unabhängigen Systemen. D.h. das Produkt kann mit einer vCenter Standard Lizenz aktiviert werden. Es ist jedoch auch mit einer Essentials-Plus Lizenz möglich, auch wenn auf der Produkt Seite bei VMware ausdrücklich eine Standard Lizenz genannt ist.

Versionsunterschiede

Mit der vCenter Lizenz erhält man eine vRealize Log Insight Lizenz für einen einzelnen Knoten mit Integration eines vCenter Servers. Content Packs im integrierten Marketplace sind beschränkt auf VMware Produkte. Content Packs anderer Soft- und Hardware Hersteller können nur in der Enterprise Version integriert werden.

Installation

Die Einrichtung von vRealize LogInsight ist denkbar einfach. Die Appliance kann im VMware Download Bereich geladen und als OVA/OVF im Cluster bereitgestellt werden. Im vSphere-Client oder Webclient aktiviert man die Funktion “OVF Template bereitstellen”

Als Quelle wird ein File von der lokalen Disk gwählt.

Die notwendigen Konfigurationseinstellungen zur Appliance werden beim OVF Assistenten eingegeben.

Zunächst muss die EULA akzeptiert werden.

Der VM wird ein Name zugeteilt und ein Ordner dafür ausgewählt.

Die Größe der Appliance hängt von der geplanten Aufgabenstellung ab. Für eine Aplliance mit bis zu 25 Agenten reicht in der Regel die Ausprägung “Small”. Hinweise zur Größe enthält auch der Hilfetext des Assistenten.

Im nächsten Schritt wird der Datenspeicher und das Disk-Format für die Appliance gewählt. Hier kann man wie üblich zwischen “Thin”, “Thick lazy zeroed” und “Thick eager zeroed” wählen.

Die Appliance ist ist nativ für die Portgruppe “Network 1” konfiguriert. Diese muss nun auf die gewünschte Portgruppe im eigenen Cluster umgestellt werden. Hier im Beispiel ist es eine verteilte Portgruppe auf den dvSwitch.

Am ende der Bereitstellung wird die Appliance auf den Cluster kopiert und mit den gewählten Basisdaten konfiguriert.

Sobald die Appliance den Startbildschirm zeigt, kann die abschliessende Konfiguration über einen Browser erfolgen.

Bei einer Erstinstallation wählt man “Start new deployment”

Der Assistent startet und stellt in Folge einige Fragen zum Cluster und zur Lizenz.

Wie oben erwähnt, kann man hier die Lizenz des bestehenden vCenter eingeben. Man benötigt also keine spezielle vLogInsight Lizenz. Nach meinen Erfahrungen funktioniert auch eine vSphere Essentials Plus Lizenz.

Die Konfiguration der Zeitquelle ist sehr wichtig, da Log Ereignisse eine einheitliche Zeitbasis haben müssen, um diese zu korrelieren. Neben öffentlichen NTP Servern kann man auch Zeitserver im Intranet hinzufügen. Die Eingabe kann entweder als FQDN oder IP Adresse erfolgen.

Um Benachrichtigungen zu versenden, muss ein SMTP Server konfiguriert werden.

Fast fertig.

Letztlich muss der Kontakt zum eigenen vCenter hergestellt werden. vLog Insight kann Log-Daten von vCenter/ESXi Servern sammeln, oder über Agents von Linux/Windows Servern. Agenten gibt es für die gängigsten Linux Distributionen und Windows OS. Log Insight kann ebenso als Syslog-Server fungieren. Dazu wird es im zu überwachenden System als Syslog-Ziel konfiguriert.

Zunächst konfigurieren wir den Kontakt zum vCenter. Setzt man die Option “Collect ESXi hosts to send logs to Log Insight”, so werden die ESXi Server konfiguriert, die Logs zu Log Insight zu senden.

Content Packs

Es gibt einige Erweiterungen für Log Insight, die Content-Packs genannt werden. Eine Auswahl ist über den internen Marketplace oder über die Marketplace Website verfügbar. Darüber hinaus können auch weitere (auch eigene) Packs importiert werden.  Für Veeam Backup & Replication gibt es beispielsweise einen Veeam Content Pack zur Überwachung der Packup-Jobs in Log Insight.

Links

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert