发行说明内容

本说明包含以下主题:

关于 vRealize Log Insight

vRealize Log Insight 专为 VMware 环境提供最佳的实时和存档日志管理功能。利用基于机器学习的智能分组和高性能搜索功能,可以更快地在物理、虚拟和云环境中进行故障排除。vRealize Log Insight 可以使用现代 Web 界面分析数太字节的日志、发现非结构化数据中的结构,以及提供企业范围的可见性。

有关详细信息,请参见 vRealize Log Insight 产品文档,网址为 https://docs.vmware.com/cn/vRealize-Log-Insight/index.html

新增功能

以下是 vRealize Log Insight 8.6 的一些主要功能亮点,可帮助您比以往更快、更准确、更有效地利用日志数据:

  • 警示定义:在新的警示管理 UI 中,可以创建日志警示和事件的精细规则定义,并能够实时配置触发器或跨特定时间段对触发器进行分组。通过使用警示定义选项,可在一个位置浏览所有日志警示规则。可以使用文本筛选器或者按来源和类型对这些规则进行排序。可以选择多个警示定义,并快速对其执行启用、禁用或删除等操作。 

  • 警示通知中的已提取字段:通过新的警示创建流程,可以在标题和描述中包含已提取字段,以优化警示通知。

  • 系统警示:当系统要向您发送关于某个问题的通知时,便会触发系统警示。此页面提供了有关 vRealize Log Insight 中所有可用的内置系统警示的详细信息。可以使用切换开关启用或禁用系统警示,并配置电子邮件通知以在触发事件时接收电子邮件。

  • 基于角色的访问控制:角色与允许用户在 vRealize Log Insight 中执行各项活动的权限相关联。现在,可以在功能级别配置访问权限,从而创建精细的角色。管理员可以灵活地提供对每项功能的不同访问权限,包括:无权访问、查看访问权限或编辑访问权限。

  • NSX 身份防火墙集成:通过将 NSX IDFW 与 vRealize Log Insight 集成,NSX 可以使用第三方提供程序(如 Global Protect、ClearPass 等)提供访问控制。vRealize Log Insight 可解析来自提供程序的身份验证日志,提取用户 ID 到 IP 映射信息,并将数据发送到 NSX 以供进一步处理。

  • 查询优化:对于基于已提取字段的查询,查询性能已显著提升。

  • vRealize Log Insight Cloud:现在,可以申请免费试用 vRealize Log Insight Cloud,以构建混合日志管理解决方案。通过产品内提供的详细设置说明,可了解 vRealize Log Insight Cloud 的以下功能:

    • 使用未索引分区简化日志存档:可使用 vRealize Log Insight Cloud 存档日志,以满足您的长期日志保留要求。vRealize Log Insight Cloud 提供了低成本、日志记录解决方案,并消除了以往的所有存储管理开销。这使您能够通过按需查询轻松访问存档的日志。

    • 通过 AI/ML 功能从日志中获取可操作的见解:可从多个地理位置转发所需日志,并获取系统的统一视图。可使用 vRealize Log Insight Cloud 的 AI/ML 功能识别环境中存在的严重问题,并获取可操作的见解。

  • IPv6 支持:支持以下 IPv6 部署方案:

    • 纯堆栈 IPv6 部署
    • 双堆栈 IPv6 部署,具有用于节点间通信的固定堆栈
    • vRealize Operations Manager、Active Directory、vSphere 等的通过 IPv6 的集成。
  • 使用集成负载均衡器:现在,vRealize Log Insight 支持包含最多 60 个虚拟 IP 地址的配置。

兼容性  

vRealize Log Insight 8.6 支持以下 VMware 产品和版本:

  • vRealize Log Insight 可以从 VMware vCenter Server 6.0 或更高版本中提取事件、任务和警报数据。在 FIPS 模式下,vRealize Log Insight 可与 VMware vCenter Server 6.0 U1 或更高版本集成。
  • 您可以将 vRealize Log Insight 8.6 与 vRealize Operations Manager 8.0.1 或更高版本相集成。
  • vRealize Suite Lifecycle Manager 8.4.1 Product Support Pack 1 支持安装 vRealize Log Insight 8.6。有关详细信息,请参见 vRealize Suite Lifecycle Manager 8.4.1 发行说明。要使用 vRealize Suite Lifecycle Manager 安装和升级 vRealize Network Insight,请参见《vRealize Suite Lifecycle Manager 安装、升级和管理》

浏览器支持

vRealize Log Insight 8.6 支持以下浏览器版本。较新的浏览器版本也可以与 vRealize Log Insight 一起使用,但是尚未经过验证。

  • Mozilla Firefox 72.0 及更高版本
  • Google Chrome 78.0 及更高版本
  • Safari 11.1 及更高版本
  • Internet Explorer 11.0 及更高版本
    注意:Internet Explorer 文档模式必须用于标准模式中。不支持其他模式。不支持“兼容性视图”浏览器模式。

支持的浏览器分辨率最低为 1280 x 800 像素。

重要信息:必须在浏览器中启用 Cookie。

vRealize Log Insight Windows 代理支持

vRealize Log Insight 8.6 Windows 代理支持以下版本:

  • Windows 7、Windows 8、Windows 8.1 和 Windows 10
  • Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019

vRealize Log Insight Linux 代理支持

vRealize Log Insight Linux 代理支持以下分发和版本:

  • RHEL 5、RHEL 6、RHEL 7 和 RHEL 8
  • SUSE Enterprise Linux (SLES 11 SP3) 和 SLES 12 SP1
  • Ubuntu 14.04 LTS、Ubuntu 16.04 LTS 和 Ubuntu 18.04
  • VMware Photon 版本 1 修订版本 2、版本 2 和版本 3

限制

vRealize Log Insight 8.6 存在以下限制:

常规

  • vRealize Log Insight 无法正确处理非可打印 ASCII 字符。
  • vRealize Log Insight 不支持打印。但是,您可以使用浏览器的“打印”选项。打印的结果可能有所不同,具体取决于所使用的浏览器。我们建议使用 Internet Explorer 或 Firefox 打印 vRealize Log Insight 用户界面的各个部分。
  • 主机表可能会将设备显示多次,并且每次以不同的格式显示,包括 IP 地址、主机名和 FQDN 的组合。例如,名为 foo.bar.com 的设备可能同时显示为 foo 和 foo.bar.com。

    主机表将使用 syslog RFC 中定义的 hostname 字段。如果设备通过 syslog 协议发送的事件没有主机名,则 vRealize Log Insight 将使用源作为主机名。这可能会导致多次列出该设备,原因是 vRealize Log Insight 无法确定两种格式是否指向同一设备。

  • 要添加新数据分区或删除现有数据分区,需要重新启动集群(逐个重新启动集群节点),才能使新配置生效。但是,对现有数据分区的路由筛选器、已启用状态和保留期限所做的更改将会立即应用(不需要重新启动集群)。

  • FIPS 模式在激活后将无法再禁用。

vRealize Log Insight Windows 和 Linux 代理

  • 当 vRealize Log Insight Windows 和 Linux 代理以 syslog 模式运行时,无法正确传递 hostnamesource 字段中的非 ASCII 字符。

vRealize Log Insight Windows 代理

  • vRealize Log Insight Windows 代理是 32 位应用程序,它发出的从 C:\Windows\System32 子目录打开文件的所有请求都将被 WOW64 重定向到 C:\Windows\SysWOW64。但是,您可以配置 vRealize Log Insight Windows 代理以使用特殊别名 C:\Windows\SysnativeC:\Windows\System32 中收集。例如,要从 MS DHCP 服务器的默认位置收集日志,请将以下行添加到 vRealize Log Insight Windows 代理配置文件的相应部分:=C:\Windows\Sysnative\dhcp

vRealize Log Insight Linux 代理

  • 由于操作系统限制,vRealize Log Insight Linux 代理在配置为通过 syslog 发送事件时,不会检测网络中断。
  • vRealize Log Insight Linux 代理不支持在字段或标记名称中使用非英语 (UTF-8) 符号。
  • 默认情况下,vRealize Log Insight Linux 代理会收集隐藏文件和目录。要阻止此行为,您必须将 exclude=.* 选项添加到每个配置部分。选项 exclude 使用 glob 模式 .*,它表示隐藏文件格式。
  • 当文件的标准输出重定向用于生成日志时,vRealize Log Insight 代理可能无法正确识别此类日志文件中的事件边界。

vRealize Log Insight 集成

如果虚拟机的 IP 地址对 vRealize Operations 实例不可见,并且 vCenter 未将该 IP 地址显示在虚拟机的虚拟机摘要选项卡中,则无法从 vRealize Log Insight 和 vRealize Operations 中对该虚拟机执行“在环境中启动”操作。由于缺少 vmware-tools 实用程序,IP 地址可能不可用。不受支持的旧版本或发生故障的 vmware-tools 也可能会导致 IP 地址变得不可用。
确保虚拟机上安装了正确版本的 VMware Tools,并且 vCenter 的虚拟机摘要选项卡显示了虚拟机的 IP 地址。

从 vRealize Log Insight 的先前版本升级

在升级到此版本的 vRealize Log Insight 时,请记住以下注意事项。 

升级途径

您可以从 vRealize Log Insight 8.4 升级到 8.6。

有关升级的重要说明

  • 要升级到 vRealize Log Insight 8.6,您必须正在运行 vRealize Log Insight 8.4。
  • 从命令行执行手动升级时,必须一次升级一个工作线程。同时升级多个工作线程会导致升级失败。
  • 从用户界面中将主节点升级到 vRealize Log Insight 8.6 时,除非明确禁用,否则将执行滚动升级。​
  • 必须从主节点的 FQDN 执行升级。不支持使用集成负载均衡器 IP 地址进行升级。
  • vRealize Log Insight 不支持双节点集群。在执行升级之前,需先添加与两个现有节点相同版本的第三个 vRealize Log Insight 节点。
  • Photon OS 对并发 ssh 连接数实施了严格的规则。由于默认将 /etc/ssh/sshd_config 文件中的 MaxAuthtries 值设置为 2,所以,在存在多个连接的情况下,使用 ssh 连接到 vRealize Log Insight 虚拟设备可能会失败,并显示以下消息:“从 xx.xx.xx.xxx 端口 22:2 收到断开连接信息: 身份验证失败次数过多 (Received disconnect from xx.xx.xx.xxx port 22:2: Too many authentication failures)”。您可以使用以下任一解决办法来解决此问题:
    • 通过 ssh 连接时,使用 IdentitiesOnly=yes 选项:#ssh -o IdentitiesOnly=yes user@ip
    • 更新 ~/.ssh/config 文件以添加以下内容:Host* IdentitiesOnly yes
    • 通过修改 /etc/ssh/sshd_config 文件并重新启动 sshd 服务来更改 MaxAuthtries 值。

国际化支持

vRealize Log Insight 8.6 具有以下本地化功能。

  • vRealize Log Insight 服务器 Web 用户界面已本地化为日语、法语、西班牙语、德语、简体中文、繁体中文和韩语。
  • vRealize Log Insight 服务器 Web 用户界面支持 Unicode 数据,包括机器学习功能。
  • vRealize Log Insight 代理可在非英语本机 Windows 中运行。

限制

  • 代理安装程序和内容包尚未本地化。vRealize Log Insight 服务器 Web 用户界面的某些部分可能仍显示未本地化的字符串,且可能存在布局问题。
  • vRealize Log Insight 可与 vCenter Server 和 vRealize Operations Manager 的本地化版本进行互操作。不过,内容包依赖匹配的非本地化日志消息。将从默认区域设置中检索 vCenter Server 事件,因此默认区域设置应设置为 en_US。有关详细信息,请参见 http://kb.vmware.com/kb/2121646
  • 对于包含非 ASCII 字符的用户名,不支持与 Active Directory、vSphere 和 vRealize Operations Manager 集成。
  • 不支持事件日志本地化。事件日志仅支持 UTF-8 和 UTF-16 字符编码。

已解决的问题

此版本中已解决以下问题。

  • 如果启用 SSL,使用 REST API 配置 Active Directory 将失败

    启用 SSL 后,使用 REST API 配置 Active Directory 将失败。

    解决办法:从 vRealize Log Insight UI 配置 Active Directory 集成。

  • vCenter 任务和事件收集失败

    vRealize Log Insight 收到每日系统警示,指出某些主机的 vCenter 任务和事件收集失败。

    解决办法:有关解决办法,请参见 https://kb.vmware.com/s/article/70633

  • 根分区中填充 Apache Tomcat 访问日志文件

    根分区中填充 Apache Tomcat 访问日志文件,导致 vRealize Log Insight 服务由于磁盘空间不足而出现故障。

    解决办法:无。

  • 如果使用 ${messages} 字段,Slack 不会接收 Webhook 通知

    如果在 Webhook 配置的正文中使用 ${messages} 字段,则 Slack 不会接收 Webhook 通知。

    解决办法:移除 ${messages} 字段,可使 Slack 接收警示通知;但是,将不会存在日志示例。

  • Webhook 通知包含与警示条件不匹配的日志示例

    Webhook 通知中的 ${messages} 字段包含与相应警示条件不匹配的日志示例,即使警示按预期触发也是如此。

    解决办法:无。

  • 具有交互式分析访问权限的用户无法从警示中取消订阅

    具有交互式分析访问权限的用户无法从警示中移除其电子邮件和 Webhook 端点。

    解决办法:超级管理员用户可以从警示中移除用户的电子邮件和 Webhook 端点,从而从警示中取消用户的订阅。

  • 在没有信任库证书的情况下成功发送电子邮件

    即使信任库中没有 SMTP 服务器的证书,vRealize Log Insight 也会发送电子邮件。

    解决办法:

  • 定义数据集时,文本字段不可用

    定义数据集时,“文本”字段在用于选择字段以筛选事件的下拉菜单中不可用。

    解决办法:无。

  • 不受支持的浏览器区域设置导致 vRealize Log Insight 变得无响应

    在不受支持的浏览器区域设置中打开 vRealize Log Insight 会导致 vip-info.logvip-error.log 文件的大小显著增加,从而填满 /storage/var/。这致使 vRealize Log Insight 变得无响应。

    解决办法:无。

  • 文件 auth.log 的日志轮换配置不起作用

    文件 auth.log 的日志轮换配置不起作用或配置错误,从而导致文件大小增加并占用大量磁盘空间。

    解决办法:监控文件大小,并在文件变得过大时手动将其移除。

  • 升级到版本 8.1.1 后,Active Directory 用户无法访问 vRealize Log Insight 

    升级到 vRealize Log Insight 8.1.1 后,Active Directory (AD) 用户无法访问 vRealize Log Insight。

    解决办法:无。

  • 在 FIPS 模式下测试配置了 STARTTLS 的自定义 SMTP 服务器时,引发证书错误

    在 FIPS 模式下使用 STARTTLS 选项配置自定义 SMTP 服务器时,单击发送测试电子邮件会显示一个弹出窗口,提示接受自签名证书。接受证书时,将显示以下错误:

    找不到所请求目标的有效证书路径 (Unable to find valid certification path to requested target)

    解决办法:通过运行 service loginsight restart 命令,重新启动 vRealize Log Insight 服务。

  • vIDM 用户创建的共享仪表板 URL 无法加载数据

    如果以 vIDM 用户身份访问 vRealize Log Insight 并创建共享仪表板 URL,则访问仪表板 URL 不会加载任何数据。

    解决办法:使用本地帐户创建共享仪表板 URL。

  • 不显示提示接受 Active Directory 证书的“首次使用时信任”弹出窗口

    配置 Active Directory (AD) 身份验证时,如果将默认域留空,则不会显示提示接受 AD 证书的“首次使用时信任”(TOFU) 弹出窗口。系统而是会显示以下消息:

    无法验证 Active Directory 凭据。请检查您的 Active Directory DNS 名称、端口和 SSL 设置以及您的用户名和密码 (Unable to validate Active Directory credentials. Please check your Active Directory DNS name, port, and SSL settings as well as your username and password)。 

    解决办法:配置 AD 身份验证时,输入域控制器的值。

已知问题

此版本中存在以下已知问题。 

  • Virtual Center (VC) 事件收集延迟

    重新启动 vRealize Log Insight 服务或升级集群后,如果集成了大量 Virtual Center (VC),则 VC 事件收集可能会延迟。

    解决办法:经过一段足够长的时间后,事件会自动恢复为已收集状态。具体时间长短取决于您的环境。例如,对于包含 4 个节点的集群上的 80 个 VC,延迟将为一小时。

  • 配置了双向信任关系时,vRealize Log Insight 无法从第二个受信任的 Active Directory 对用户和组进行身份验证

    如果某个 Active Directory 与另一个 Active Directory 配置为双向信任关系,则 vRealize Log Insight 无法从第二个受信任的 Active Directory 对用户和组进行身份验证。 

    解决办法:使用 vIDM,它直接与两个 Active Directory 相集成。

  • 对于在代理启动或重新配置事件之前创建的某些目录,将无法从中收集信息

    如果在重新配置代理后创建新目录,则将不会从新创建的目录中收集信息。

    解决办法:要启动目录监控,请重新启动该服务,或者使用 liagent.ini 文件或从“服务器管理代理”页面更新代理配置。

  • Photon OS 上的 vRealize Log Insight 代理无法执行自动升级

    无法对 Photon OS 上的 vRealize Log Insight 代理执行自动升级,因为 Photon OS 不支持 gpg 命令。

    解决办法:执行手动升级。

  • SMTP 配置可能不适用于使用 IPv6 的公共邮件服务器

    SMTP 配置可能不适用于 Google 和 Yahoo 等公共电子邮件服务,因为这些服务可能会使用较为严格的 IPv6 限制策略。 

    解决办法:使用备用邮件服务器(如企业邮件服务器)或启动专用服务器。

  • 通过 IPv4 将 VMware Identity Manager 与 vRealize Log Insight 集成时会将重定向 URL 主机更改为 IPv6 地址

    如果您在部署 vRealize Log Insight 虚拟设备时选择首选 IPv6 地址的选项,则在与不支持 IPv6 的 VMware Identity Manager 集成时,重定向 URL 主机列表中会填充 IPv6 节点地址。

    解决办法:创建一个备用 IPv4 VIP,以便在将 vRealize Log Insight 与 VMware Identity Manager 集成时使用。

  • Internet Explorer 11.0 中存在布局问题 

    在 Internet Explorer 11.0 中,仪表板交互式分析选项卡上的标题和图表图例列表显示中的用户图标存在布局问题。

    解决办法:有关解决办法,请参见 https://kb.vmware.com/s/article/78592

  • REST API 调用“POST /api/v1/sessions”失败

    如果将 vRealize Log Insight 8.2 或 8.3 中新部署的节点加入从 4.8 或更低版本升级的旧集群,则对新工作节点发起的 REST API 调用“POST /api/v1/sessions”将失败并引发以下错误:

    Error: write EPROTO 1319245176:error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUMBER:../../third_party/boringssl/src/ssl/tls_record.cc:242:

    您可以在 REST 客户端中找到相关日志。由于此错误,您无法获取该节点的会话。

    解决办法:通过在受影响的节点上运行“service loginsight restart”命令,重新启动 vRealize Log Insight 服务。

  • 即使升级成功,vRealize Log Insight 也显示“升级未确认 (Upgrade unconfirmed)”消息

    在升级到 vRealize Log Insight 8.4 时,可能显示一则消息,说明升级状态未确认。此消息对整体升级状态没有影响,最终升级会成功。

    解决办法:无。

  • 警示标题显示源字段名称而不是值

    在警示标题中使用的源字段名称的格式为 ${source} 时,生成的警示通知标题会显示“${source}”,而不是源字段的值。

    解决办法:无。

  • vRealize Log Insight 无法连接到使用自签名证书的 Webhook 服务器

    无法将 vRealize Log Insight 与使用自签名证书的 Webhook 服务器集成,因为不会显示“首次使用时信任”(TOFU) 弹出窗口。

    解决办法:手动将自签名证书添加到 vRealize Log Insight 虚拟设备并重新启动。

    $ keytool -import -alias webhook -file <certificate> -keystore /usr/java/jre-vmware/lib/security/cacerts -storepass changeit
    $ service loginsight restart

  • “警示”和“vRealize Log Insight Cloud”页面中的字符串未本地化

    警示选项卡和 LI Cloud 选项卡的页面中使用的文本仅提供英文版,而未进行本地化。

    解决办法:无。

  • 没有集成权限便无法为 vRealize Operations Manager 端点定义警示

    如果没有 vRealize Operations Manager 的集成权限,则无法定义具有 vRealize Operations Manager 端点的警示。

    解决办法:将相应的集成权限分配给与警示创建者关联的角色。在管理选项卡上的“管理”下,单击访问控制。在角色选项卡上,修改角色并向角色提供集成 > vRealize Operations > 编辑权限。

  • 由于基本身份验证问题,发送到 Webhook URL 的测试警示失败

    创建包含 Webhook 通知的警示并发送测试警示时,警示失败。当正确的凭据由于基本身份验证问题而被拒绝时,会发生这种情况。

    解决办法:使用编码的 username:password 组合添加自定义标头。

check-circle-line exclamation-circle-line close-line
Scroll to top icon