Mit der Fälligkeit von Ereignissen müssen Sie wichtige Punkte zur Ereignisspeicherung im Ereignis-Lebenszyklus berücksichtigen.

Ereignisspeicher

Jedes Ereignis wird in einem einzelnen Bucket auf der Festplatte gespeichert. Beachten Sie bei der Verwendung von Buckets die folgenden Verhaltensweisen und Eigenschaften.
  • Buckets können höchstens 0,5 GB groß sein. Wenn ein Bucket 0,5 GB erreicht, wird es versiegelt und zur Archivierung in die Warteschlange gestellt. Nach der Archivierung wird ein versiegelter Bucket als archiviert markiert. Ein Ereignis kann gleichzeitig sowohl lokal als auch in den Archiven aufbewahrt werden.
  • Buckets werden in VMware Aria Operations for Logs nicht knotenübergreifend repliziert. Bei Verlust eines Knotens gehen die Daten in diesem Knoten verloren.
  • Alle Buckets werden auf der Partition /storage/core gespeichert.
  • VMware Aria Operations for Logs löscht alte Buckets, wenn auf der /storage/core-Partition weniger als 3 % Speicherplatz verfügbar sind. Das Löschen erfolgt nach einem FIFO-Modell.
    Hinweis: Eine fast ausgeschöpfte /storage/core-Partition ist normal und wird erwartet. Diese Partition dürfte nie 100 % Kapazität erreichen, da VMware Aria Operations for Logs diese Partition verwaltet. Versuchen Sie jedoch nicht, Daten auf dieser Partition zu speichern, da dies das Löschen alter Buckets beeinträchtigen kann.

Ereignisverwaltung

Bei der Einrichtung und Konfiguration Ihres Produkts ist es hilfreich, mit den folgenden Merkmalen und Verhaltensweisen von VMware Aria Operations for Logs-Ereignissen und der Ereignisverwaltung vertraut zu sein.

  • Nachdem ein Ereignis lokal gelöscht wurde, kann es nicht mehr abgefragt werden, es sei denn, es wird mithilfe der Befehlszeilenschnittstelle aus dem Archiv importiert.
  • Nachdem alle Ereignisse für einen maschinenlernenden Cluster aus VMware Aria Operations for Logs gelöscht wurden, wird der Cluster entfernt.
  • VMware Aria Operations for Logs verteilt alle eingehenden Ereignisse gleichmäßig auf die Knoten im Cluster. Selbst wenn ein Knoten beispielsweise explizit an ein Ereignis gesendet wird, kann es möglicherweise von einem anderen Knoten aufgenommen werden.
  • Metadaten des Ereignisses werden in einem proprietären Format auf einem einzelnen VMware Aria Operations for Logs-Knoten und nicht in einer Datenbank gespeichert.
  • Ein Ereignis kann sowohl lokal auf einem Knoten als auch im Archiv vorhanden sein.