vRealize Log Insight 8.8 | 2022 年 4 月 28 日

请查看以了解本发行说明的新增内容及更新。

关于 vRealize Log Insight

vRealize Log Insight 专为 VMware 环境提供最佳的实时和存档日志管理功能。利用基于机器学习的智能分组和高性能搜索功能,可以更快地在物理、虚拟和云环境中进行故障排除。vRealize Log Insight 可以使用现代 Web 界面分析数太字节的日志、发现非结构化数据中的结构,以及提供企业范围的可见性。

有关详细信息,请参见 vRealize Log Insight 产品文档,网址为 https://docs.vmware.com/cn/vRealize-Log-Insight/index.html

新增功能

以下是 vRealize Log Insight 8.8 的一些主要功能亮点,可帮助您比以往更快、更准确、更有效地利用日志数据:

  • 新的左侧导航栏:vRealize Log Insight 现在提供了一个带有左侧面板的新用户界面,可增强不同产品路径间的导航功能。
  • 将日志转发到 vRealize Log Insight Cloud:现在,您可以配置从 vRealize Log Insight 到 vRealize Log Insight Cloud 的日志转发,而无需部署任何额外的云代理。设置转发后,可登录到 vRealize Log Insight Cloud 查看转发状态。
  • vRealize Orchestrator (vRO) Webhook:现在,您可以使用预定义模板创建 vRO Webhook。

    注意:确保在 vRO 端启用了基本身份验证,以便将 Webhook 通知从 vRealize Log Insight 发送到 vRO。

  • vRealize Orchestrator (vRO) Webhook:现在,您可以使用预定义模板创建 vRO Webhook。
  • 将查询范围限制为特定索引分区:现在,您可以将查询范围限制为一个或多个索引分区。新筛选器可在浏览日志警示仪表板页面中使用。
  • 警示浏览:现在,您可以查看每个用户定义的警示的最近历史记录。您还可以通过提供一个或多个电子邮件 ID、Webhook 并激活发送到 vRealize Operations 的通知来批量启用警示。
  • Syslog 转发改进:修复了 Syslog 转发期间与 PRI 版本和 SD 部分相关的 RFC 合规性问题。
  • 新的内容包:已添加以下内容包。
    • Jenkins 内容包
    • vRO 8.0+ 内容包

兼容性

vRealize Log Insight 8.8 支持以下 VMware 产品和版本:

  • vRealize Log Insight 可以从 VMware vCenter Server 6.0 或更高版本中提取事件、任务和警报数据。在 FIPS 模式下,vRealize Log Insight 可与 VMware vCenter Server 6.0 U1 或更高版本集成。
  • 您可以将 vRealize Log Insight 8.8 与 vRealize Operations 8.0.1 或更高版本相集成。
  • 您可以使用 vRealize Suite Lifecycle Manager 安装和升级 vRealize Log Insight。有关详细信息,请参阅 vRealize Suite Lifecycle Manager 安装、升级和管理指南

浏览器支持

vRealize Log Insight 8.8 支持以下浏览器版本。较新的浏览器版本也可以与 vRealize Log Insight 一起使用,但是尚未经过验证。

  • Mozilla Firefox 80.0 及更高版本
  • Google Chrome 91.0 及更高版本
  • Safari 13.1.2 及更高版本
  • Microsoft Edge 91.0 及更高版本

支持的浏览器分辨率最低为 1280 x 800 像素。

重要信息:必须在浏览器中启用 Cookie。

vRealize Log Insight Windows 代理支持

vRealize Log Insight 8.8 Windows 代理支持以下版本:

  • Windows 7、Windows 8、Windows 8.1 和 Windows 10
  • Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016 和 Windows Server 2019

vRealize Log Insight Linux 代理支持

vRealize Log Insight Linux 代理支持以下分发和版本:

  • RHEL 5、RHEL 6、RHEL 7 和 RHEL 8
  • SUSE Enterprise Linux (SLES 11 SP3) 和 SLES 12 SP1
  • Ubuntu 14.04 LTS、Ubuntu 16.04 LTS 和 Ubuntu 18.04
  • VMware Photon 版本 1 修订版本 2、版本 2 和版本 3

限制

vRealize Log Insight 8.8 存在以下限制:

常规

  • vRealize Log Insight 无法正确处理非可打印 ASCII 字符。
  • vRealize Log Insight 不支持打印。但是,您可以使用浏览器的“打印”选项。打印的结果可能有所不同,具体取决于所使用的浏览器。我们建议使用 Internet Explorer 或 Firefox 打印 vRealize Log Insight 用户界面的各个部分。
  • 主机表可能会将设备显示多次,并且每次以不同的格式显示,包括 IP 地址、主机名和 FQDN 的组合。例如,名为 foo.bar.com 的设备可能同时显示为 foo 和 foo.bar.com。

    主机表将使用 syslog RFC 中定义的 hostname 字段。如果设备通过 syslog 协议发送的事件没有主机名,则 vRealize Log Insight 将使用源作为主机名。这可能会导致多次列出该设备,原因是 vRealize Log Insight 无法确定两种格式是否指向同一设备。

  • 要添加新索引分区或删除现有数据分区,需要重新启动集群(逐个重新启动集群节点),才能使新配置生效。但是,对现有索引分区的路由筛选器、已启用状态和保留期限所做的更改将会立即应用(不需要重新启动集群)。
  • FIPS 模式在激活后将无法再禁用。

vRealize Log Insight Windows 和 Linux 代理

  • 当 vRealize Log Insight Windows 和 Linux 代理以 syslog 模式运行时,无法正确传递 hostnamesource 字段中的非 ASCII 字符。

vRealize Log Insight Windows 代理

  • vRealize Log Insight Windows 代理是 32 位应用程序,它发出的从 C:\Windows\System32 子目录打开文件的所有请求都将被 WOW64 重定向到 C:\Windows\SysWOW64。但是,您可以配置 vRealize Log Insight Windows 代理以使用特殊别名 C:\Windows\SysnativeC:\Windows\System32 中收集。例如,要从 MS DHCP 服务器的默认位置收集日志,请将以下行添加到 vRealize Log Insight Windows 代理配置文件的相应部分:=C:\Windows\Sysnative\dhcp

vRealize Log Insight Linux 代理

  • 由于操作系统限制,vRealize Log Insight Linux 代理在配置为通过 syslog 发送事件时,不会检测网络中断。
  • vRealize Log Insight Linux 代理不支持在字段或标记名称中使用非英语 (UTF-8) 符号。
  • 默认情况下,vRealize Log Insight Linux 代理会收集隐藏文件和目录。要阻止此行为,您必须将 exclude=.* 选项添加到每个配置部分。选项 exclude 使用 glob 模式 .*,它表示隐藏文件格式。
  • 当文件的标准输出重定向用于生成日志时,vRealize Log Insight 代理可能无法正确识别此类日志文件中的事件边界。

vRealize Log Insight 集成

如果虚拟机的 IP 地址对 vRealize Operations 实例不可见,并且 vCenter 未将该 IP 地址显示在虚拟机的虚拟机摘要选项卡中,则无法从 vRealize Log Insight 和 vRealize Operations 中对该虚拟机执行“在环境中启动”操作。由于缺少 vmware-tools 实用程序,IP 地址可能不可用。不受支持的旧版本或发生故障的 vmware-tools 也可能会导致 IP 地址变得不可用。

确保虚拟机上安装了正确版本的 VMware Tools,并且 vCenter 的虚拟机摘要选项卡显示了虚拟机的 IP 地址。

从 vRealize Log Insight 的先前版本升级

在升级到此版本的 vRealize Log Insight 时,请记住以下注意事项。 

升级途径

您可以从 vRealize Log Insight 8.6.x 升级到 8.8。

有关升级的重要说明

  • 要升级到 vRealize Log Insight 8.8,您必须正在运行 vRealize Log Insight 8.6.x。
  • 从命令行执行手动升级时,必须一次升级一个工作线程。同时升级多个工作线程会导致升级失败。
  • 从用户界面中将主节点升级到 vRealize Log Insight 8.8 时,除非明确禁用,否则将执行滚动升级。​
  • 必须从主节点的 FQDN 执行升级。不支持使用集成负载均衡器 IP 地址进行升级。
  • vRealize Log Insight 不支持双节点集群。在执行升级之前,需先添加与两个现有节点相同版本的第三个 vRealize Log Insight 节点。
  • Photon OS 对并发 ssh 连接数实施了严格的规则。由于默认将 /etc/ssh/sshd_config 文件中的 MaxAuthtries 值设置为 2,所以,在存在多个连接的情况下,使用 ssh 连接到 vRealize Log Insight 虚拟设备可能会失败,并显示以下消息:“从 xx.xx.xx.xxx 端口 22:2 收到断开连接信息: 身份验证失败次数过多 (Received disconnect from xx.xx.xx.xxx port 22:2: Too many authentication failures)”。您可以使用以下任一解决办法来解决此问题:
    • 通过 ssh 连接时,使用 IdentitiesOnly=yes 选项:#ssh -o IdentitiesOnly=yes user@ip
    • 更新 ~/.ssh/config 文件以添加以下内容:Host* IdentitiesOnly yes
    • 通过修改 /etc/ssh/sshd_config 文件并重新启动 sshd 服务来更改 MaxAuthtries 值。
  • 升级后,必须通过 Slack 端点手动更新现有的 Webhook 配置。
  • 每次升级后,虚拟机的 SSH 指纹不会保留,并且会发生更改,这可能会影响使用 SSH 连接的用户所用的外观和用户界面。升级后,必须接受新的 SSH 指纹。

国际化支持

vRealize Log Insight 8.8 具有以下本地化功能。

  • vRealize Log Insight 服务器 Web 用户界面已本地化为日语、法语、西班牙语、德语、简体中文、繁体中文和韩语。
  • vRealize Log Insight 服务器 Web 用户界面支持 Unicode 数据,包括机器学习功能。
  • vRealize Log Insight 代理可在非英语本机 Windows 中运行。

限制

  • 代理安装程序和内容包尚未本地化。vRealize Log Insight 服务器 Web 用户界面的某些部分可能仍显示未本地化的字符串,且可能存在布局问题。
  • vRealize Log Insight 可与 vCenter Server 和 vRealize Operations 的本地化版本进行互操作。不过,内容包依赖匹配的非本地化日志消息。将从默认区域设置中检索 vCenter Server 事件,因此默认区域设置应设置为 en_US。有关详细信息,请参见 http://kb.vmware.com/kb/2121646
  • 对于包含非 ASCII 字符的用户名,不支持与 Active Directory、vSphere 和 vRealize Operations 集成。
  • 不支持事件日志本地化。事件日志仅支持 UTF-8 和 UTF-16 字符编码。

已解决的问题

此版本中已解决以下问题。

  • Log Insight 8.6 Linux 代理发送的统计信息中偶尔会包含空 IP 地址

    在 Linux 上运行的 Log Insight 8.6 代理发送的统计信息中偶尔会包含空 IP 地址,从而导致服务器错误。

  • 在 Photon OS 上运行的 Log Insight 代理不会报告操作系统版本

    在 Photon OS 上运行的 Log Insight 代理不会报告操作系统版本。

  • 当存档已启用且 NFS 已满或不可用时,vRealize Log Insight 存储将变满

    如果在启用存档时 NFS 存档位置已满或不可用,vRealize Log Insight 会将桶置于“正在存档”状态,并且不会清理。由于此问题,vRealize Log Insight 存储空间将填满。

  • 警示查询时间范围与配置的警示搜索时间段不匹配

    如果使用警示条件“事件计数大于 0”,则警示查询时间范围与配置的搜索时间段不匹配。

  • 无法修改已提取字段

    即使您具有所需权限(例如,如果您是管理员用户),也无法修改已提取字段。

    解决办法:复制要修改的已提取字段,然后移除原始字段。您可以修改复制字段。

  • 在配置纯文本通信期间,端口 25 上的 SMTP 配置失败

    在某些环境中,未启用 SSL 或 STARTTLS 标记时,SMTP 配置会尝试打开 SSL 通信。

已知问题

此版本中存在以下已知问题。 

  • 在警示配置期间加载 vRealize Operations 对象需要很长时间

    如果 vRealize Operations 具有大量 VC、主机和虚拟机对象,则在创建警示时,加载 vRealize Operations 回退对象列表需要很长时间。

    解决办法:使用筛选器列出 vRealize Operations 回退对象。

  • 将日志中继到 vRealize Log Insight Cloud 时发送非活动主机通知

    在 vRealize Log Insight 中,如果选中管理 > 主机下的非活动主机通知复选框,并在将日志转发配置到 vRealize Log Insight Cloud 时选择仅中继选项,则您将会收到非活动主机通知。主机页面中上次接收事件列中的值会随时间而增大,这表示之前的活动主机不再载入日志。

    出现此行为的原因是,要到载入日志事件后,才会将日志事件视为已接收。如果为云转发选择仅中继选项,则绝不会载入特定类别的日志事件(具体类别取决于筛选器定义),这会导致某些主机错误地报告为“未载入”和“非活动”。

    解决办法:无。

  • 实时警示首次运行时出现延迟

    实时警示首次运行计划在创建或启用后的五分钟内运行。

    解决办法:在创建或启用实时警示后等待五分钟。然后,调度程序将按预期工作,并且警示查询每分钟运行一次。

  • 对于在代理启动或重新配置事件之前创建的某些目录,将无法从中收集信息

    如果在重新配置代理后创建新目录,则将不会从新创建的目录中收集信息。

    解决办法:要启动目录监控,请重新启动该服务,或者使用 liagent.ini 文件或从“服务器管理代理”页面更新代理配置。

  • Photon OS 上的 vRealize Log Insight 代理无法执行自动升级

    无法对 Photon OS 上的 vRealize Log Insight 代理执行自动升级,因为 Photon OS 不支持 gpg 命令。

    解决办法:执行手动升级。

  • SMTP 配置可能不适用于使用 IPv6 的公共邮件服务器

    SMTP 配置可能不适用于 Google 和 Yahoo 等公共电子邮件服务,因为这些服务可能会使用较为严格的 IPv6 限制策略。 

    解决办法:使用备用邮件服务器(如企业邮件服务器)或启动专用服务器。

  • 通过 IPv4 将 VMware Identity Manager 与 vRealize Log Insight 集成时会将重定向 URL 主机更改为 IPv6 地址

    如果您在部署 vRealize Log Insight 虚拟设备时选择首选 IPv6 地址的选项,则在与不支持 IPv6 的 VMware Identity Manager 集成时,重定向 URL 主机列表中会填充 IPv6 节点地址。

    解决办法:创建一个备用 IPv4 VIP,以便在将 vRealize Log Insight 与 VMware Identity Manager 集成时使用。

  • REST API 调用“POST /api/v1/sessions”失败

    如果将 vRealize Log Insight 8.2 或 8.3 中新部署的节点加入从 4.8 或更低版本升级的旧集群,则对新工作节点发起的 REST API 调用“POST /api/v1/sessions”将失败并引发以下错误:

    Error: write EPROTO 1319245176:error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUMBER:../../third_party/boringssl/src/ssl/tls_record.cc:242:

    您可以在 REST 客户端中找到相关日志。由于此错误,您无法获取该节点的会话。

    解决办法:通过在受影响的节点上运行“service loginsight restart”命令,重新启动 vRealize Log Insight 服务。

  • 即使升级成功,vRealize Log Insight 也显示“升级未确认 (Upgrade unconfirmed)”消息

    在升级到 vRealize Log Insight 8.4 时,可能显示一则消息,说明升级状态未确认。此消息对整体升级状态没有影响,最终升级会成功。

    解决办法:无。

  • vRealize Log Insight 无法连接到使用自签名证书的 Webhook 服务器

    无法将 vRealize Log Insight 与使用自签名证书的 Webhook 服务器集成,因为不会显示“首次使用时信任”(TOFU) 弹出窗口。

    解决办法:手动将自签名证书添加到 vRealize Log Insight 虚拟设备并重新启动。

    $ keytool -import -alias webhook -file <certificate> -keystore /usr/java/jre-vmware/lib/security/cacerts -storepass changeit$ service loginsight restart

  • “警示”和“vRealize Log Insight Cloud”页面中的字符串未本地化

    警示LI Cloud 页所在的页面中使用的文本仅提供英文版,而未进行本地化。

    解决办法:无。

  • 没有集成权限便无法为 vRealize Operations 端点定义警示

    如果没有 vRealize Operations 的集成权限,则无法定义具有 vRealize Operations 端点的警示。

    解决办法:将相应的集成权限分配给与警示创建者关联的角色。导航到管理 > 访问控制。在角色选项卡上,修改角色并向角色提供集成 > vRealize Operations > 编辑权限。

  • 由于基本身份验证问题,发送到 Webhook URL 的测试警示失败

    创建包含 Webhook 通知的警示并发送测试警示时,警示失败。当正确的凭据由于基本身份验证问题而被拒绝时,会发生这种情况。

    解决办法:使用编码的 username:password 组合添加自定义标头。

check-circle-line exclamation-circle-line close-line
Scroll to top icon