可以将 vRealize Log Insight 配置为以调度的时间间隔运行特定查询。

如果与查询匹配的事件数目超过已设置的阈值,则 vRealize Log Insight 会发送电子邮件或 Webhook 通知并在 vRealize Operations Manager 中触发通知事件。

要查看可用警示的列表,请导航到“交互式分析”页面,然后从搜索字段旁边的创建和管理警示...下拉菜单中选择管理警示...。每个警示的状态显示在警示名称下方。

注: 警示查询是用户特定的。仅可管理您自己的警示。您必须分配有“超级管理员”角色才能管理其他用户警示。

可以在 vRealize Log Insight 中创建的警示类型

可以通过选择一种警示类型来控制警示查询运行的时间间隔,以及 vRealize Log Insight 发送警示通知的条件。

针对任何匹配的警示
此警示查询每五分钟自动运行一次。当最后 5 分钟内至少一个事件与查询匹配时,将会触发通知。
基于事件类型的警示
此警示查询每五分钟自动运行一次。当发现指定的事件类型时,将会触发通知。
自定义时间段内基于事件数目的警示
警示查询间隔取决于设置。当最后 Y 分钟内发生的匹配事件数目大于或小于 X 时,将根据设置触发通知。
如果触发此类型的警示,则会推迟其整个时间段,以防止为同一组事件发出重复警示。如果要在推迟时启用警示,则可以禁用然后重新启用它。
基于聚合查询的警示
如果分组中的函数值超过定义的值,聚合查询警示将触发通知。如果图表中的至少一个条形在指定的时间段内高于或低于设置的阈值,您可以在图表上看到该通知。
不会可视化 一段时间内的事件 计数的图表设置此警示类型。

内容包警示

内容包可以包含警示查询。默认情况下,vRealize Log Insight 中包括的 vSphere 内容包包含多个预定义的警示查询。如果 ESXi 主机停止发送 syslog 数据,vRealize Log Insight 无法再从 vCenter Server 中收集事件、任务和警报数据,或者警报状态更改为红色,则它们可能会触发警示。可以使用这些警示查询作为模板来创建特定于环境的警示。

默认情况下,所有内容包警示都处于禁用状态。

启用 vCenter Server: ESX/ESXi 停止日志记录警示是一种很好的做法,因为特定版本的 ESXi 主机可能会在您重新启动 vRealize Log Insight 时停止发送 syslog 数据。此警示监控 vCenter Server 事件 esx.problem.vmsyslogd.remote.failure 来检测是否存在已停止发送 syslog 源的 ESXi 主机。有关 syslog 问题和解决方案的详细信息,请参见 VMware ESXi 5.x 主机停止向远程服务器发送 syslog (2003127)

可以向警示查询添加以下筛选器,并将其另存为新的警示以仅检测停止向 vRealize Log Insight 实例发送源的 ESXi 主机:vc_remote_host (VMware - vSphere)containslog-insight-hostname

内容包警示查询是只读的。要将更改保存到内容包警示,必须将此警示保存到自定义内容。