数据存档可保留由于存储限制可能会从vRealize Log Insight虚拟设备中移除的旧日志。vRealize Log Insight可以将已存档数据存储到 NFS 挂载上。

vRealize Log Insight 会收集日志并将其存储在磁盘上的一系列 0.5 GB 大小的段中。段由一些压缩的日志文件和一个索引组成。段中包含在特定时间范围内执行查询所需的所有信息。当段大小超过 0.5 GB 时,vRealize Log Insight将停止写入,关闭段中的所有文件,并密封该段。

如果对数据进行存档,在密封段时,vRealize Log Insight 会将原始压缩日志文件从段复制到 NFS 挂载。在未启用数据存档的情况下密封的段不会进行追溯存档。

在存档导出中创建的路径采用 year/month/day/hour/bucketuuid/data.blob 形式,使用的时间戳为最初创建段时的 UTC 时间。

注: vRealize Log Insight不会管理用于存档目的的 NFS 挂载。如果已启用系统通知,则 vRealize Log Insight会在 NFS 挂载即将用尽空间或不可用时发送电子邮件。如果 NFS 挂载没有足够的可用空间,或者在比虚拟设备保留期限更长的时间内不可用, vRealize Log Insight会停止载入新数据。当 NFS 挂载有足够的可用空间、变得可用或禁用了存档时,它将开始再次载入数据。

请勿永久挂载 NFS 或更改 /etc/fstab 文件。vRealize Log Insight 会自行为您执行 NFS 挂载。

前提条件

  • 验证是否拥有满足以下要求的 NFS 分区访问权限。
    • NFS 分区必须允许客户机帐户的读取和写入操作。
    • 挂载不得要求身份验证。
    • NFS 服务器必须支持 NFS v3 或 v4。
    • 如果使用 Windows NFS 服务器,请允许未映射用户 UNIX 访问(通过 UID/GID)。
  • 验证是否已以具有编辑管理员权限的用户身份登录到vRealize Log Insight Web 用户界面。URL 格式为 https://log-insight-host,其中 log-insight-hostvRealize Log Insight 虚拟设备的 IP 地址或主机名。

过程

  1. 导航到管理选项卡。
  2. 在“配置”下,单击存档
  3. 选择启用数据存档,然后以 nfs://servername<:port-number>/exportname 格式输入存档日志的 NFS 分区的路径。
    端口号默认为 2049。
  4. 单击测试以验证连接。
  5. 单击保存

结果

注: 数据存档可保留由于存储限制已从 vRealize Log Insight虚拟设备中移除的日志事件。已从 vRealize Log Insight虚拟设备中移除但已存档的日志事件将不再可搜索。如果要搜索已存档日志,必须将其导入到 vRealize Log Insight实例中。有关导入存档的日志文件的详细信息,请参见 将 Log Insight 存档导入到 Log Insight

后续步骤

vRealize Log Insight 重新启动后,确认 ESXi 中的 syslog 源继续到达 vRealize Log Insight