Comments on: Rediriger les logs d’ESX/ESXi vers un serveur syslog – MAJ

By: Hello SexiLog - Hypervisor.fr

Hello SexiLog - Hypervisor.fr — Wed, 25 Mar 2015 21:50:59 +0000

[...] l’argumentaire En l’occurrence, notre recherche de solution de gestion de logs pour ESXi remonte à bien avant Graylog2 avec le fameux php-syslog-ng (devenu le très payant LogZilla), puis LogAnalyzer. Ensuite il y a eu [...]

By: b3f3

b3f3 — Thu, 30 Sep 2010 16:15:53 +0000

Oui, je vais continuer à essayer de comprendre le pourquoi du comment…

By: NiTRo

NiTRo — Thu, 30 Sep 2010 16:12:27 +0000

J’ai bien cerné le fonctionnement mais je vois surtout que ca ne se comporte pas comme prévu

By: b3f3

b3f3 — Thu, 30 Sep 2010 15:56:14 +0000

Je comprend que tu puisse avoir du mal à cerner l’ensemble de ma config étant donné que tu n’y a pas accès. En tout cas tu m’as bien aidé. Merci.

By: NiTRo

NiTRo — Thu, 30 Sep 2010 15:48:02 +0000

j’avoue que ta config routage/firewall me dépasse là

By: b3f3

b3f3 — Thu, 30 Sep 2010 15:45:57 +0000

Ca fonctionne.
Le serveur syslog a reçu des données de la part de 192.168.2.100 (vmk0).
Par contre j’aimerais bien comprendre pourquoi la communication depuis ESXi ne peut se faire que sur 192.168.2.254 et pourquoi cette IP répond aux pings alors qu’aucune règle de filtrage du firewall n’autorise ceci.

By: b3f3

b3f3 — Thu, 30 Sep 2010 03:11:26 +0000

Etant donné qu’une communication a lieu entre les vmk et 192.168.2.254, sous ESXi, j’ai déclaré le serveur syslog sur 192.168.2.254. Puis, sur pfsense, j’ai créé une règle NAT pour rediriger le trafic syslog (udp 514) vers alaska. Pour l’instant, je ne constate pas de nouvelle entrée dans mon serveur syslog. Je ne sais pas trop ce que ESXi log. J’ai redémarré le service ntp sur ESXi car sur une ditrib linux, je sais que cela génère des logs. Mais pour l’instant, les dernières lignes de log générées en local par ESXi datent de 2 jours. Je vais donc attendre de voir si alaska reçoit des logs.

By: b3f3

b3f3 — Thu, 30 Sep 2010 02:35:29 +0000

De plus en plus incompréhensible…

Depuis pfsense :
je ping 192.168.1.100(vmk1)
je ping 192.168.2.100 (vmk0)

Depuis 192.168.1.100 :
je ping 192.168.2.100 (vmk0)
je ne ping pas 192.168.1.2
je ne ping pas 192.168.3.254
je ping 192.168.2.254 alors qu’aucune règle de pare-feu ne m’y autorise…

Depuis 192.168.2.100 :
je ping 192.168.1.100 (vmk1)
je ne ping pas 192.168.1.2
je ne ping pas 192.168.3.254
je ping 192.168.2.254 alors qu’aucune règle de pare-feu ne m’y autorise…

Ca devient difficile…

By: NiTRo

NiTRo — Wed, 29 Sep 2010 09:50:35 +0000

et depuis pfsense tu peux pinger les ip vmk0 et vmk1 ?

By: b3f3

b3f3 — Tue, 28 Sep 2010 23:54:18 +0000

Vraiment étrange quand même… le ping fonctionne aussi vers une IP publique

By: NiTRo

NiTRo — Tue, 28 Sep 2010 23:27:33 +0000

Non non ya pas de firewall dans esxi.

By: b3f3

b3f3 — Tue, 28 Sep 2010 23:17:25 +0000

J’ai l’impression que le firewall intégré à ESXi bloque tout trafic entre les VM et les Network Managment.
Le ping d’un VM Managment à l’autre fonctionne.

By: b3f3

b3f3 — Tue, 28 Sep 2010 23:15:05 +0000

Aucune réponse…

By: NiTRo

NiTRo — Tue, 28 Sep 2010 23:13:10 +0000

Essaie la commande vmkping pour voir

By: b3f3

b3f3 — Tue, 28 Sep 2010 23:06:40 +0000

oui, j’ai autorisé tous les protocoles.

By: NiTRo

NiTRo — Tue, 28 Sep 2010 23:05:42 +0000

Pas de route puisque ton trafic reste au sein du meme subnet, t’as bien autorisé l’icmp sur l’ip du firewall ?

By: b3f3

b3f3 — Tue, 28 Sep 2010 22:47:45 +0000

T’inquiet’, tu seras au courant dès que ca fonctionnera
Par contre j’ai quand même un doute sur ta solution car je viens d’ajouter une règle à mon firewall pour autoriser le trafic venant de 192.168.1.100 en direction de 192.168.1.2. Et le ping ne passe pas.
Là il me semble qu’on est d’accord sur le fait qu’il n’y a pas de route à ajouter où que ce soit pour un tel trafic ?

By: NiTRo

NiTRo — Tue, 28 Sep 2010 22:35:53 +0000

Dommage
Tiens nous au parf !

By: b3f3

b3f3 — Tue, 28 Sep 2010 22:23:25 +0000

C’est vrai mais comme il n’y as pas d’urgence, j’attendrai la veille de me rendre à Paris pour faire la manip. J’ai vraiment pas envie de mettre tout le monde dans la mouise juste parce que je “m’amuse” avec un serveur syslog (et Php-Syslog-NG au passage).
Merci encore.

By: NiTRo

NiTRo — Tue, 28 Sep 2010 22:15:02 +0000

De rien
Si tes VM sont en stockage local ou SAN, au pire tu perdra la main sur le ssh mais c’est tout vu que le reste c’est du bridge. Et tu pourras tjs passer par ton pfsense pour t’y reconnecter !