F5 HSL 高速日志
一、基础介绍
1、HSL 介绍
HSL(high speed log)称作高速远程日志,可以通过BIG-IP系统来记录BIG-IP系统的进程消息,并将这些日志消息发送到高速远程日志服务器,同时也可以对这些消息日志针对消息来源、消息警报级别来过滤这些消息日志再发送到远程高速日志服务器。
2、HSL 优势
(1)未格式化的高速日志记录
(2)格式化的高速日志记录
(3)日志依据消息报警级别与消息来源来进行日志过滤
(4)提供方便的 GUI 日志输出过滤、多 RSL 远程日志服务器的配置关联选择
(5)与知名的日志监控管理厂商协同做好 F5 BIG-IP日志管理等
3、HSL 配置对象
| Object | Reason | Applies to |
|---|---|---|
| Pool of remote log servers | 创建远程日志服务器,BIG-IP 系统可以发送日志信息过去。 | 建一个远程日志服务器池 |
| Destination (unformatted) | 创建远程高速日志目标,该目标指定了远程日志服务器池 | 创建远程高速日志目的地 |
| Destination (formatted) | 如果您的远程日志服务器是 ArcSight 、Splunk 、IPFIX 或 Remote Syslog 类型,请创建其他日志目标,以将日志格式化为所需格式,然后将日志转发到远程高速日志目标。 | 创建格式化的远程高速日志目标。 |
| Publisher | 创建一个日志Publisher,以将日志发送到一组指定的日志目标 | 创建一个 publisher |
| Filter | 创建一个日志过滤器以定义要包含在BIG-IP系统日志中的消息,并将日志发布者与该过滤器相关联。 | 创建一个日志过滤器 |
下图显示了用于 BIG-IP 系统进程的远程高速日志记录的配置对象的关联。
二、配置实战
1、创建远程日志服务器 Pool
在创建日志服务器池之前,请收集要包括在该池中的服务器的IP地址。确保远程日志服务器配置为从 BIG-IP 系统听取和接收日志消息。
2、配置高速远程日志目的地 Destination
配置参数如下:
bash
Type :选择 Remote High-Speed Log
Pool Name :选择之前创建的 POOL-HSL
Protocol :选择 UDP
Distribution :指定高速远程日志目标用于向池成员发送消息的分发方法。默认方法是自适应的。
-adaptive :将根据需要添加到池成员的连接以提供足够的日志记录带宽。 当它自己提供足够的日志记录带宽时,这可能会产生不良影响,即日志仅在一个池成员上累积。
-balanced : 将每个连续的日志发送到新的池成员,根据池的负载平衡方法平衡它们之间的日志。
-replicated :将每个日志复制到所有池成员,以实现冗余。3、配置高速远程日志的发布者 Publisher
Destinations :选定日志要发往的目的地,选择之前创建的 Destinations-HSL。
4、配置高速远程日志的过滤器 Filter
配置参数如下:
bash
Severity :指定发送的日志等级
Source :指定过滤器记录来自特定系统进程的消息或记录来自所有系统进程的消息
Message ID :指定在系统记录的日志消息中出现的状态码。
Log Publisher :指定发布者,否则无法发送指定的日志。5、创建Request Logging Profile
在Template中输入发送到日志服务器的信息,详细参数参考以下链接。
6、 在 Virtual Server 中开启 http Profile 并调用 Request Logging Profile
三、参考文档
本文章参考以下文档,感谢各位作者支持!
sh
# 1、HSL配置:
https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-external-monitoring-implementations-13-1-0/3.html
# 2、HSL profile 模板:
https://support.f5.com/csp/article/K00847516
# 3、创建HSL profile:
https://techdocs.f5.com/kb/en-us/products/big-ip_ltm/manuals/product/bigip-external-monitoring-implementations-13-1-0/2.html