Sie können eine Warnungsabfrage in VMware Aria Operations for Logs definieren und E-Mail- oder Webhook-Benachrichtigungen senden oder Benachrichtigungsereignisse in VMware Aria Operations auslösen, wenn die Anzahl der Ereignisse, die mit der Warnungsabfrage übereinstimmen, die von Ihnen festgelegten Schwellenwerte überschreitet.

Voraussetzungen

  • Stellen Sie sicher, dass Sie bei der VMware Aria Operations for Logs-Web-Benutzeroberfläche angemeldet sind, deren URL-Format „https://operations_for_logs-host“ lautet. Hier ist operations_for_logs-host die IP-Adresse oder der Hostname der virtuellen VMware Aria Operations for Logs-Appliance.
  • Stellen Sie sicher, dass Ihr Benutzerkonto mit einer Rolle verknüpft ist, die über die entsprechenden Berechtigungen für Warnungen verfügt.

    Wenn Ihrem Benutzerkonto eine Rolle mit Anzeigezugriff auf Warnungen (z. B. die Rolle „Benutzer“) zugewiesen ist, können Sie alle Warnungen in Ihrer Organisation anzeigen und verwalten.

    Wenn Ihrem Benutzerkonto eine Rolle mit Bearbeitungs- oder Vollzugriff auf Warnungen zugewiesen ist (z. B. die Rolle „Super-Admin“):
    • Sie können alle Systemwarnungen in Ihrer Organisation aktivieren oder deaktivieren.
    • Sie können alle benutzerdefinierten Warnungen in Ihrer Organisation erstellen, ändern und entfernen.
    Informationen zu Rollen finden Sie unter Erstellen und Ändern von Rollen in Verwalten von VMware Aria Operations for Logs.

Prozedur

  1. Erweitern Sie das Hauptmenü und navigieren Sie zu Warnungen > Warnungsdefinition.
  2. Klicken Sie auf Neue erstellen.
    Tipp: Alternativ können Sie zur Seite Protokolle durchsuchen navigieren und eine Warnung basierend auf einer Abfrage erstellen. Geben Sie eine Abfrage ein und klicken Sie neben der Schaltfläche Suchen auf „“ und wählen Sie Warnung aus Abfrage erstellen aus.
  3. Geben Sie einen Namen für die Warnung ein.
    Sie können den Namen der Warnung anpassen, indem Sie ein Feld im Format ${field name } hinzufügen. Beispielsweise können Sie den Warnungsnamen als Warnung für $ {hostname} VPXA-Protokolle eingeben. Angenommen, es gibt zwei Hostnamen und Sie haben E-Mail-Benachrichtigungen für die Warnung eingerichtet, sieht der E-Mail-Betreff wie folgt aus:
    Alert for "hostname loginsight-01.eng.vmware.com and 1 more" VPXA Logs
    Sie können andere statische Felder in der Beschreibung verwenden, z. B. event_type, source, filepath usw. Sie können auch extrahierte Felder verwenden.
    Hinweis:
    • Sie können dem Warnungsnamen nur ein statisches oder extrahiertes Feld hinzufügen.
    • Wenn Sie ein extrahiertes Feld im Warnungsnamen verwenden, muss es Teil der Warnungsabfrage sein. Wenn die Warnung über die Bedingung „Gruppieren nach“ verfügt, muss das extrahierte Feld auch Teil der Bedingung „Gruppieren nach“ sein.
    • Wenn Sie Benachrichtigungen an VMware Aria Operations senden, wird für jedes Feld ein Benachrichtigungsereignis gesendet. Wenn Ihr Warnungsname beispielsweise ${hostname} enthält und fünf Hostnamen vorhanden sind, werden fünf Benachrichtigungsereignisse gesendet – eines für jeden Hostnamen.
  4. Geben Sie eine kurze, aussagekräftige Beschreibung des Ereignisses ein, das die Warnung auslöst.
    Sie können die Beschreibung der Warnung anpassen, indem Sie ein oder mehrere Felder im Format ${field name } hinzufügen. Beispielsweise können Sie die Warnungsbeschreibung als VPXA-Protokolle wurden für $ {hostname} generiert eingeben. Unter der Annahme, dass es zwei Hostnamen gibt und Sie E-Mail-Benachrichtigungen für die Warnung eingerichtet haben, listet die E-Mail einige Beispielprotokolle auf und zeigt dann die folgenden Informationen an:
    Additional notes for this alert:
    VPXA logs were generated for
    hostname
    loginsight-01.eng.vmware.com
    loginsight-02.eng.vmware.com
    Sie können andere statische Felder in der Beschreibung verwenden, z. B. event_type, source, filepath usw. Sie können auch extrahierte Felder verwenden.
    Hinweis:
    • Sie können nur ein statisches oder extrahiertes Feld in der Warnungsbeschreibung verwenden.
    • Wenn Sie ein extrahiertes Feld im Warnungsnamen verwenden, muss es Teil der Warnungsabfrage sein. Wenn die Warnung über die Bedingung „Gruppieren nach“ verfügt, muss das extrahierte Feld auch Teil der Bedingung „Gruppieren nach“ sein.
  5. Geben Sie die Abfrage ein, auf der die Warnung basiert.
  6. Geben Sie die Auslösebedingung für die Warnung ein. Sie können einen Zeitraum auswählen und die Abfrageergebnisse nach statischen oder extrahierten Feldern gruppieren.
    Auslösebedingung Beschreibung
    Bei jedem Treffer
    Hinweis: Sie können diese Auslösebedingung festlegen, wenn Sie Echtzeit im Dropdown-Menü für den Zeitraum auswählen.

    Die Warnungsabfrage wird automatisch jede Minute ausgeführt. Eine Benachrichtigung wird ausgelöst, wenn mindestens ein Ereignis innerhalb der letzten Minute mit der Abfrage übereinstimmt.

    Gesamtanzahl der Ereignisse

    Eine Benachrichtigung wird ausgelöst, wenn mehr oder weniger als X übereinstimmende Ereignisse innerhalb des Zeitraums auftreten, den Sie im Dropdown-Menü auswählen.

    Wenn dieser Warnungstyp ausgelöst wird, wird er während seines Zeitraums vorübergehend ausgesetzt, um zu verhindern, dass Warnungen für dieselbe Ereignisgruppe doppelt ausgelöst werden. Wenn Sie eine Warnung aktivieren möchten, während sie vorübergehend ausgesetzt ist, können Sie die Warnung deaktivieren und erneut aktivieren.

    Eindeutige Anzahl eines Felds

    Eine Benachrichtigung wird ausgelöst, wenn die eindeutige Anzahl von Feld F innerhalb des Zeitraums, den Sie im Dropdown-Menü auswählen, größer oder kleiner als X ist.

    Aggregationsvorgang für ein Feld

    Eine Benachrichtigung wird ausgelöst, wenn der auf das Feld F angewendete Aggregationsvorgang A größer oder kleiner als X ist, und zwar innerhalb des Zeitraums, den Sie im Dropdown-Menü ausgewählt haben.

    Sie können die Warnung so konfigurieren, dass sie Benachrichtigungen basierend auf der Auslösebedingung sendet.
  7. (Optional) Geben Sie eine Empfehlung für die Warnung ein, die in der Benachrichtigung enthalten ist, wenn die Warnung gesendet wird.
  8. (Optional) Um eine Testwarnungsbenachrichtigung zu senden, klicken Sie auf Testwarnung senden.
  9. Klicken Sie auf Speichern.

Ergebnisse

Die Warnungsdefinition wird auf der Seite „Warnungsdefinition“ angezeigt.

Nächste Maßnahme

Sie können die Warnung aktivieren, deaktivieren oder ändern.