Das Verständnis, wie VMware Aria Operations for Logs Nachrichten und Ereignisse verarbeitet, ist der Schlüssel zur effektiven Nutzung von VMware Aria Operations for Logs.
Der Lebenszyklus einer Protokollnachricht oder eines Ereignisses besteht aus mehreren Phasen, darunter Lesen, Analysieren, Aufnehmen, Indizieren, Alarmieren, Abfragen, Archivieren und Löschen.
Ereignisse und Meldungen durchlaufen die folgenden Phasen.
- Es wird auf einem Gerät generiert (außerhalb von VMware Aria Operations for Logs).
- Es wird entnommen und auf eine der folgenden Arten an VMware Aria Operations for Logs gesendet:
- Über einen VMware Aria Operations for Logs-Agent unter Verwendung von Ingestion-API oder Syslog
- Über einen Drittanbieter-Agent wie z. B. rsyslog, syslog-ng oder log4j unter Verwendung von Syslog
- Per benutzerdefiniertes Schreiben in die Ingestion-API (z. B. log4j-Appender)
- Per benutzerdefiniertes Schreiben in Syslog (z. B. log4j-Appender)
- VMware Aria Operations for Logs empfängt das Ereignis.
- Wenn Sie den integrierten Lastausgleichsdienst (integrated Load Balancer, ILB) verwenden, wird das Ereignis an einen einzelnen Knoten weitergeleitet, der das Ereignis dann verarbeitet.
- Wird das Ereignis abgelehnt, verarbeitet der Client die Ablehnung als UDP-Löschung, TCP mit Protokolleinstellungen oder CFAPI mit festplattengesicherter Warteschlange.
- Wird das Ereignis akzeptiert, wird der Client benachrichtigt.
- Das Ereignis durchläuft die VMware Aria Operations for Logs-Erfassungs-Pipeline, in der folgende Schritte erfolgen:
- Es wird ein Schlüsselwortindex erstellt oder aktualisiert. Der Index wird in einem proprietären Format auf der lokalen Festplatte gespeichert.
- Auf Clusterereignisse wird maschinelles Lernen angewendet.
- Das Ereignis wird in einem komprimierten proprietären Format auf der lokalen Festplatte in einem Bucket gespeichert.
- Das Ereignis wird abgefragt.
- Schlüsselwort- und glob-Abfragen werden mit dem Schlüsselwortindex abgeglichen.
- Regex wird mit komprimierten Ereignissen abgeglichen.
- Das Ereignis wird in einen Bucket verschoben und archiviert.
- Ein Bucket wird versiegelt und archiviert, wenn er 0,5 GB erreicht.
- Das Ereignis wird gelöscht.
- Buckets werden nach dem FIFO-Verfahren gelöscht („First In First Out“).
Weitere Informationen
Weitere Informationen erhalten Sie im Video von VMware Technical Publications