了解 vRealize Log Insight 如何处理消息和事件对于有效使用 vRealize Log Insight 至关重要。
日志消息或事件的生命周期分为多个阶段,包括读取、分析、载入、编制索引、生成警示、查询应用程序、存档和删除。
事件和消息通过以下阶段进行转换。
- 在设备上生成事件(在 vRealize Log Insight 外部)。
- 选择事件并通过以下方法之一将事件发送到 vRealize Log Insight:
- 通过使用数据获取 API 或 syslog 的 vRealize Log Insight 代理
- 通过使用 syslog 的第三方代理(例如 rsyslog、syslog-ng 或 log4j)
- 以自定义方式写入到数据获取 API(如 log4j 附加程序)
- 以自定义方式写入到 syslog(如 log4j 附加程序)
- vRealize Log Insight 接收事件。
- 如果使用集成的负载均衡器 (Integrated Load Balancer, ILB),事件将传送到负责处理该事件的单个节点。
- 如果拒绝了事件,客户端将通过 UDP 丢弃、具有协议设置的 TCP 或具有磁盘支持的队列的 CFAPI 处理拒绝问题。
- 如果接受了事件,则会通知客户端。
- 通过 vRealize Log Insight 数据获取管道传送事件,将在其中执行以下步骤。
- 创建或更新一个关键字索引。该索引以专有格式存储在本地磁盘上。
- 将机器学习应用于集群事件。
- 事件以压缩专有格式存储在本地磁盘上的段中。
- 查询事件。
- 根据关键字索引匹配关键字和通配符匹配操作符查询。
- 根据压缩事件匹配正则表达式。
- 将事件移至段并存档。
- 段达到 0.5 GB 时,会被密封并存档。
- 删除事件。
- 按 FIFO 顺序删除段。
了解详细信息
有关详细信息,请参见 VMware 技术出版物视频: