vRealize Log Insight 会将大量单个事件汇总到较少数量的广泛事件类型中。vRealize Log Insight 使用机器学习将类似事件分组在一起，其中每个组会显示该组中的事件的近似数量。将事件分组有助于确定通信最频繁的事件和最静默的事件，这两种事件对故障排除至关重要。

“交互式分析”页面上的事件类型选项卡（位于搜索栏下）提供了查询的给定时间范围内的事件汇总视图。组中的某个事件会被选为代表性事件。您可以单击每个代表性事件下的展开链接以查看该组中的事件。

对事件进行分组会为每个事件分配事件类型。这会创建相应的 event_type 字段，您可以在常规查询中进一步使用该字段。

vRealize Log Insight 不会记录对事件进行分组的确切机制。它会尝试根据事件具有的常见部分数量自动检测类似事件组。例如，让我们考虑以下事件：

• [2019-05-20 06:41:24.291+0000] ["SearchWorker-thread-12999"/10.113.164.150 INFO] [com.company.product.analytics.distributed.LogSearchWorkerService] [Worker fully completed query (token=5f6e5e1faf93e4ce) in 11 msec]
• [2019-05-20 06:41:24.284+0000] ["SearchWorker-thread-11961"/10.113.164.167 INFO] [com.company.product.analytics.distributed.SearchWorkerService] [Worker fully completed query (token=3b247b2ba6057c47) in 24 msec]

这些事件具有八个常见部分 - 时间戳、线程名称、主机 IP、日志记录级别、类名称、消息文本、令牌编号和持续时间。

现在，让我们考虑以下事件：

• [2019-05-20 06:41:24.291+0000] ["LogSearchWorker-thread-12999"/10.113.164.150 INFO] [com.vmware.loginsight.analytics.distributed.LogSearchWorkerService] [Worker finished search (wait=59500 token=5f6e5e1faf93e4ce) in 12 msec]
• [2019-05-20 06:41:20.136+0000] ["AliasStudentStudyPool-thread-1"/192.168.110.24 INFO] [com.vmware.loginsight.analytics.alias.AliasStudent] [looking for alias due to rule DatastoreFromVmFileSystem]

这些事件仅具有三个常见部分 - 时间戳、主机 IP 和日志记录级别。

除了将事件分组在一起之外，vRealize Log Insight 还会在组的每个事件中标识有用的字段，这些字段称为智能字段。每个智能字段会在代表性事件中显示为超链接，其旁边有一个下拉菜单图标。您可以单击该图标以查看字段值的条形图，或根据智能字段定义提取的字段。