一套良好的系统日志策略可以在故障刚刚发生时就向你发送警告信息，帮助你在最短的时间内发现问题。

在过去几年当中，我发现很多企业都没有建立一套完善的日志系统，特别是对于虚拟化环境来说。你可能会问自己，“为什么系统日志这么重要？”日志系统是一种非常关键的组件，因为它可以让你充分了解自己的环境。这种系统信息对于决定故障的根本原因或者缩小系统攻击范围来说是非常关键的，因为它可以让你了解故障或者袭击发生之前的所有事件。为虚拟化环境制定一套良好的日志策略也是至关重要的，因为其需要和许多不同的外部组件进行关联。良好的日志系统可以防止你从错误的角度分析问题，避免浪费宝贵的排错时间。另外一种原因是借助于系统日志，管理员很有可能会发现一些之前从未意识到的问题，在几乎所有刚刚部署日志系统的环境当中，我都看到过这种情况。

下面列举一些部署日志系统时，需要注意的关键问题：

• 时间戳：确保在所有需要收集日志的设备上正确使用网络时间协议（NTP）和时区。
• 数据保存：针对所存放的数据，确保拥有足够的可分配存储空间，以满足你的数据保存策略需求（30天、90天等等）。同时还要制定归档策略，以符合审计流程。
• 事件关联：基于事故发生之前的各种日志，能够使用时间戳或者特定数据在不同设备之间建立关联以缩小故障点范围（vShpere主机、存储、网络等）。
• 审计：能够使用设备上的系统日志来追踪登录、密码更改以及一些需要特殊权限执行的任务。在审计过程中这些事件都是十分重要的，不论是PCI-DSS、SOX或者只是安全部门进行的内部审计。

现在有多种类型的系统日志产品可供使用，需要根据自己的需求和预算进行选择。一些知名的产品可能极为昂贵（比如Splunk），但是它们的确实非常优秀。VMware推出了自己的Log Insight，也是一款不错的产品，可以在很大程度上节省开销。此外还有很多开源的解决方案可供选择，我个人倾向于使用这种方式，因为你可以得到付费产品的大部分功能和特性。但是，如果使用开源产品，你必须自己创建一些日志分析规则，并且针对不同的事件通过dashboard进行更为直观的显示。我倾向于使用的两个著名开源工具是Graylog2和ELK stack（ELK代表Elasticsearch、Logstash 和 Kibana）

当你拥有了一款优秀的系统日志产品之后，还可以使用这些产品当中包含的其他特性，包括向监控团队自动发送报警通知等功能。基于警报类型或者准确的警报消息，可以通过触发特定操作来完成。通过简单地设定这些警报，你将会在自己的环境中处于更加主动的位置，因为你可以在事故变得更加严重之前得到通知。

不论你选择哪款产品，都可以保证系统在真正发生问题之间及时进行处理，而不是等到真正发生故障时疲于应付。