Veeam
最后更新于:
概述
Veeam是一款专为现代IT环境设计的数据保护与灾难恢复解决方案。它为虚拟、物理、云端及SaaS工作负载提供备份、复制和恢复功能。
Veeam 扩展范围
EventLog Analyzer 的 Veeam 扩展旨在实现 Veeam Backup & Replication 或 Veeam ONE 日志数据与 EventLog Analyzer 生态系统的无缝集成。该扩展提供日志收集、解析、报表、告警、关联分析及高级日志搜索等功能。
受审计的Veeam事件
身份验证与授权
- MFA管理
- 密码和凭据管理
- 四眼授权事件
身份管理
- 用户和组管理
恶意软件检测
- 恶意软件检测配置变更
- 恶意软件检测会话完成事件
- 恶意软件活动检测事件
- 恶意软件修复操作
配置管理
- 全局网络流量规则变更
- 全局虚拟机排除变更
- 常规设置变更
- 主机配置
任务
- 作业会话历史记录
- 工作配置
- 恢复会话历史记录
基础设施管理
- 故障转移计划管理
- 故障转移计划执行历史记录
- 基础设施位置变更
许可
- 许可更新
如何配置Veeam日志源
- 安装 Veeam 扩展后,请导航至“设置”>“应用程序”>“其他应用程序”配置日志源。
- 从日志源类型下拉菜单中选择Veeam。
- 单击+ 图标添加新设备。
- 选择已预配置的主机(需安装Veeam备份与复制服务器或Veeam ONE服务器)。若主机未预配置,请点击手动配置并输入主机名或IP地址。
- 点击添加以保存配置。
启用事件转发
配置日志源后,需在Veeam ONE或Veeam Backup & Replication中启用事件转发功能,以便将事件发送至EventLog Analyzer。此功能需使用支持syslog事件转发的Veeam数据平台高级版或专业版许可。
Veeam ONE中的事件转发
- 打开Veeam ONE客户端,导航至服务器设置 > Syslog。
- 勾选启用系统日志。
- 在系统日志服务器中,将事件日志分析器服务器的名称或IP地址输入日志源。
- 在 Syslog 功能下拉菜单中选择邮件。
- 在 Syslog 传输方式下拉菜单中选择 UDP 或 TCP。
- 在端口字段中输入事件日志分析器服务器用于监听Syslog的端口号。
- 勾选Syslog审计事件下的所有选项,以在EventLog Analyzer中启用全面搜索和报表功能。
- 点击确定保存配置。
详细步骤请参阅Veeam ONE官方指南中的Syslog集成部分。
Veeam Backup & Replication中的事件转发
- 打开 Veeam Backup & Replication 控制台,转至“选项”>“事件转发”。
- 在 Syslog 服务器下点击添加以配置 Syslog 服务器。
- 在服务器字段中,输入事件日志分析器服务器的名称或IP地址。
- 输入EventLog Analyzer服务器用于监听Syslog的端口号。
- 在传输协议下拉菜单中选择UDP或TCP。
- 单击“确定”添加Syslog服务器,然后单击“应用”保存更改。

更多详情请参阅Veeam Backup &Replication官方Syslog集成指南。
关联配置文件启用
- 前往“设置”>“市场”>“已安装扩展”。在“配置”下点击“管理”以打开“管理配置”页面。
- 点击关联规则旁的“重定向”以打开关联选项卡。从规则类别选择器中选择Veeam以查看可用关联规则。
- 查看可用关联规则并启用所需规则。
启用告警配置文件
- 配置日志源后,导航至设置 > 市场 > 已安装扩展。在配置下点击管理以打开管理配置页面。
- 点击告警配置文件旁的“重定向”跳转至告警选项卡。扩展告警配置文件显示在“自定义告警配置文件”下。通过“创建者”列识别Veeam告警配置文件。
- 浏览可用告警配置文件并启用所需项。
查看 Veeam 报表
要查看 Veeam 报表,请导航至“报表”选项卡,在自定义报表下选择 Veeam。
Veeam 事件
以下是事件日志分析器可追踪的Veeam事件列表,助您有效监控备份与恢复活动。
| 实例 ID | 事件名称 |
|---|---|
| 151 | 文件备份作业完成 |
| 190 | 备份作业完成 |
| 194 | 文件转磁带任务完成 |
| 195 | 磁带擦除作业完成 |
| 199 | 磁带导出作业完成 |
| 200 | 磁带复制作业完成 |
| 203 | 磁带弹出作业完成 |
| 205 | 移至媒体池作业完成 |
| 206 | 从库中删除任务完成 |
| 208 | 磁带导入作业完成 |
| 23010 | 作业创建 |
| 23050 | 作业设置更新 |
| 23090 | 工作删除 |
| 23110 | 为作业添加对象 |
| 23130 | 作业对象已更改 |
| 23210 | 创建了SureBackup作业 |
| 23220 | SureBackup 作业设置更新 |
| 23230 | SureBackup 作业已删除 |
| 23310 | 为 SureBackup 作业添加对象 |
| 23320 | 删除 SureBackup 作业对象 |
| 23410 | 作业被指定为次要目标 |
| 23420 | 作业不再用作次要目标 |
| 23440 | 创建磁带作业 |
| 23450 | 磁带作业设置更新 |
| 23490 | 磁带作业已删除 |
| 23510 | 为磁带作业添加对象 |
| 23520 | 磁带作业对象已删除 |
| 23530 | 磁带作业对象已更改 |
| 24010 | 许可已安装 |
| 24030 | 许可已过期 |
| 24050 | 许可支持已过期 |
| 24060 | 许可宽限期开始 |
| 24070 | 许可限制已超出 |
| 24080 | 许可已移除 |
| 25300 | 凭证记录已添加 |
| 25400 | 凭证记录更新 |
| 25500 | 凭证记录删除 |
| 25900 | 故障转移计划创建 |
| 26000 | 故障转移计划设置更新 |
| 26010 | 目标位置与源位置不匹配 |
| 26100 | 故障转移计划已删除 |
| 26110 | 故障转移计划失败 |
| 26600 | 故障转移计划已启动 |
| 26700 | 故障转移计划停止 |
| 28300 | 主机已添加 |
| 28400 | 主机设置更新 |
| 28500 | 主机已删除 |
| 31000 | 常规设置更新 |
| 31100 | 网络流量规则全局设置更新 |
| 31200 | 用户或组已添加 |
| 31210 | 添加用户或组失败 |
| 31400 | 用户或组已删除 |
| 31600 | 加密密码已添加 |
| 31700 | 加密密码更新 |
| 31800 | 加密密码已删除 |
| 31900 | SSH凭证更改 |
| 32120 | 作业对象已删除 |
| 32300 | 全局网络流量规则已添加 |
| 32400 | 全局网络流量规则已删除 |
| 32500 | 全局网络流量规则更新 |
| 32600 | 首选网络更新 |
| 32700 | 新增首选网络 |
| 32800 | 优先网络删除 |
| 36022 | 应用程序备份策略的备份作业已完成 |
| 36026 | 应用程序备份策略的日志备份作业已完成 |
| 390 | SureBackup 作业完成 |
| 40200 | 多因素身份验证已启用 |
| 40201 | 多因素身份验证已禁用 |
| 40202 | 多因素身份验证令牌已撤销 |
| 40203 | 用户启用多因素身份验证 |
| 40204 | 用户多因素身份验证已禁用 |
| 40206 | 多因素身份验证尝试次数超限 |
| 40290 | 会话恢复完成 |
| 40400 | 全局虚拟机排除项已添加 |
| 40500 | 全局虚拟机排除项已删除 |
| 40600 | 全局虚拟机排除项已更改 |
| 40700 | 配置备份作业完成 |
| 40900 | 位置已添加 |
| 40901 | 位置设置已更新 |
| 40902 | 位置已删除 |
| 40903 | 对象位置变更 |
| 41600 | 检测到恶意软件活动 |
| 41710 | 健康检查任务完成 |
| 41800 | 删除备份失败 |
| 41810 | 尝试更新安全对象失败 |
| 42210 | 恶意软件检测会话结束 |
| 42260 | 已将对象添加到恶意软件检测排除项 |
| 42270 | 从恶意软件检测排除项中删除的对象 |
| 42280 | 恶意软件检测排除列表更新 |
| 42290 | 恶意软件检测设置更新 |
| 42400 | 启用双重授权 |
| 42401 | 四眼授权已禁用 |
| 42402 | 创建了双重审查授权请求 |
| 42403 | 双重审核授权请求已批准 |
| 42404 | 双重审核授权请求被拒绝 |
| 42405 | 四眼授权请求已过期 |
| 451 | 文件备份副本作业完成 |
| 490 | 备份副本作业完成 |
| 590 | 文件复制作业完成 |
| 592 | 虚拟机复制任务完成 |
| 610 | 快速迁移完成 |
| 28200 | 备份存储库已删除 |
| 42260 | 已添加至恶意软件检测排除项的对象 |
| 41610 | 标记为干净的对象 |
| 42220 | 还原点标记为受感染 |
| 42230 | 还原点标记为干净 |