Veeam

最后更新于:

概述

Veeam是一款专为现代IT环境设计的数据保护与灾难恢复解决方案。它为虚拟、物理、云端及SaaS工作负载提供备份、复制和恢复功能。

Veeam 扩展范围

EventLog Analyzer 的 Veeam 扩展旨在实现 Veeam Backup & Replication 或 Veeam ONE 日志数据与 EventLog Analyzer 生态系统的无缝集成。该扩展提供日志收集、解析、报表、告警、关联分析及高级日志搜索等功能。

受审计的Veeam事件

身份验证与授权

  • MFA管理
  • 密码和凭据管理
  • 四眼授权事件

身份管理

  • 用户和组管理

恶意软件检测

  • 恶意软件检测配置变更
  • 恶意软件检测会话完成事件
  • 恶意软件活动检测事件
  • 恶意软件修复操作

配置管理

  • 全局网络流量规则变更
  • 全局虚拟机排除变更
  • 常规设置变更
  • 主机配置

任务

  • 作业会话历史记录
  • 工作配置
  • 恢复会话历史记录

基础设施管理

  • 故障转移计划管理
  • 故障转移计划执行历史记录
  • 基础设施位置变更

许可

  • 许可更新

如何配置Veeam日志源

  1. 安装 Veeam 扩展后,请导航至“设置”>“应用程序”>“其他应用程序”配置日志源。
  2. 从日志源类型下拉菜单中选择Veeam。
  3. 单击+ 图标添加新设备
  4. Veeam
  5. 选择已预配置的主机(需安装Veeam备份与复制服务器或Veeam ONE服务器)。若主机未预配置,请点击手动配置并输入主机名或IP地址。
  6. Veeam
  7. 点击添加以保存配置。
  8. Veeam

启用事件转发

配置日志源后,需在Veeam ONE或Veeam Backup & Replication中启用事件转发功能,以便将事件发送至EventLog Analyzer。此功能需使用支持syslog事件转发的Veeam数据平台高级版或专业版许可。

Veeam ONE中的事件转发

  1. 打开Veeam ONE客户端,导航至服务器设置 > Syslog
  2. 勾选启用系统日志。
  3. 在系统日志服务器中,将事件日志分析器服务器的名称或IP地址输入日志源。
  4. 在 Syslog 功能下拉菜单中选择邮件。
  5. 在 Syslog 传输方式下拉菜单中选择 UDP 或 TCP。
  6. 在端口字段中输入事件日志分析器服务器用于监听Syslog的端口号。
  7. 勾选Syslog审计事件下的所有选项,以在EventLog Analyzer中启用全面搜索和报表功能。
  8. 点击确定保存配置。
  9. Veeam

详细步骤请参阅Veeam ONE官方指南中的Syslog集成部分

Veeam Backup & Replication中的事件转发

  1. 打开 Veeam Backup & Replication 控制台,转至“选项”>“事件转发”
  2. 在 Syslog 服务器下点击添加以配置 Syslog 服务器。
  3. 在服务器字段中,输入事件日志分析器服务器的名称或IP地址。
  4. 输入EventLog Analyzer服务器用于监听Syslog的端口号。
  5. 在传输协议下拉菜单中选择UDP或TCP。
  6. 单击“确定”添加Syslog服务器,然后单击“应用”保存更改。
  7. Veeam

更多详情请参阅Veeam Backup &Replication官方Syslog集成指南

关联配置文件启用

  1. 前往“设置”>“市场”>“已安装扩展”。在“配置”下点击“管理”以打开“管理配置”页面。
  2. Veeam
  3. 点击关联规则旁的“重定向”以打开关联选项卡。从规则类别选择器中选择Veeam以查看可用关联规则。
  4. Veeam
  5. 查看可用关联规则并启用所需规则。

启用告警配置文件

  1. 配置日志源后,导航至设置 > 市场 > 已安装扩展。在配置下点击管理以打开管理配置页面。
  2. Veeam
  3. 点击告警配置文件旁的“重定向”跳转至告警选项卡。扩展告警配置文件显示在“自定义告警配置文件”下。通过“创建者”列识别Veeam告警配置文件。
  4. Veeam
  5. 浏览可用告警配置文件并启用所需项。

查看 Veeam 报表

要查看 Veeam 报表,请导航至“报表”选项卡,在自定义报表下选择 Veeam。

Veeam

Veeam 事件

以下是事件日志分析器可追踪的Veeam事件列表,助您有效监控备份与恢复活动。

实例 ID 事件名称
151 文件备份作业完成
190 备份作业完成
194 文件转磁带任务完成
195 磁带擦除作业完成
199 磁带导出作业完成
200 磁带复制作业完成
203 磁带弹出作业完成
205 移至媒体池作业完成
206 从库中删除任务完成
208 磁带导入作业完成
23010 作业创建
23050 作业设置更新
23090 工作删除
23110 为作业添加对象
23130 作业对象已更改
23210 创建了SureBackup作业
23220 SureBackup 作业设置更新
23230 SureBackup 作业已删除
23310 为 SureBackup 作业添加对象
23320 删除 SureBackup 作业对象
23410 作业被指定为次要目标
23420 作业不再用作次要目标
23440 创建磁带作业
23450 磁带作业设置更新
23490 磁带作业已删除
23510 为磁带作业添加对象
23520 磁带作业对象已删除
23530 磁带作业对象已更改
24010 许可已安装
24030 许可已过期
24050 许可支持已过期
24060 许可宽限期开始
24070 许可限制已超出
24080 许可已移除
25300 凭证记录已添加
25400 凭证记录更新
25500 凭证记录删除
25900 故障转移计划创建
26000 故障转移计划设置更新
26010 目标位置与源位置不匹配
26100 故障转移计划已删除
26110 故障转移计划失败
26600 故障转移计划已启动
26700 故障转移计划停止
28300 主机已添加
28400 主机设置更新
28500 主机已删除
31000 常规设置更新
31100 网络流量规则全局设置更新
31200 用户或组已添加
31210 添加用户或组失败
31400 用户或组已删除
31600 加密密码已添加
31700 加密密码更新
31800 加密密码已删除
31900 SSH凭证更改
32120 作业对象已删除
32300 全局网络流量规则已添加
32400 全局网络流量规则已删除
32500 全局网络流量规则更新
32600 首选网络更新
32700 新增首选网络
32800 优先网络删除
36022 应用程序备份策略的备份作业已完成
36026 应用程序备份策略的日志备份作业已完成
390 SureBackup 作业完成
40200 多因素身份验证已启用
40201 多因素身份验证已禁用
40202 多因素身份验证令牌已撤销
40203 用户启用多因素身份验证
40204 用户多因素身份验证已禁用
40206 多因素身份验证尝试次数超限
40290 会话恢复完成
40400 全局虚拟机排除项已添加
40500 全局虚拟机排除项已删除
40600 全局虚拟机排除项已更改
40700 配置备份作业完成
40900 位置已添加
40901 位置设置已更新
40902 位置已删除
40903 对象位置变更
41600 检测到恶意软件活动
41710 健康检查任务完成
41800 删除备份失败
41810 尝试更新安全对象失败
42210 恶意软件检测会话结束
42260 已将对象添加到恶意软件检测排除项
42270 从恶意软件检测排除项中删除的对象
42280 恶意软件检测排除列表更新
42290 恶意软件检测设置更新
42400 启用双重授权
42401 四眼授权已禁用
42402 创建了双重审查授权请求
42403 双重审核授权请求已批准
42404 双重审核授权请求被拒绝
42405 四眼授权请求已过期
451 文件备份副本作业完成
490 备份副本作业完成
590 文件复制作业完成
592 虚拟机复制任务完成
610 快速迁移完成
28200 备份存储库已删除
42260 已添加至恶意软件检测排除项的对象
41610 标记为干净的对象
42220 还原点标记为受感染
42230 还原点标记为干净
  1. 如何安装扩展程序