Sie können eine Warnungsabfrage in VMware Aria Operations for Logs definieren und E-Mail- oder Webhook-Benachrichtigungen senden oder Benachrichtigungsereignisse in VMware Aria Operations auslösen, wenn die Anzahl der Ereignisse, die mit der Warnungsabfrage übereinstimmen, die von Ihnen festgelegten Schwellenwerte überschreitet.
Prozedur
- Erweitern Sie das Hauptmenü und navigieren Sie zu Warnungen > Warnungsdefinition.
- Klicken Sie auf Neue erstellen.
Tipp: Alternativ können Sie zur Seite
Protokolle durchsuchen navigieren und eine Warnung basierend auf einer Abfrage erstellen. Geben Sie eine Abfrage ein und klicken Sie neben der Schaltfläche
Suchen auf
und wählen Sie
Warnung aus Abfrage erstellen aus.
- Geben Sie einen Namen für die Warnung ein.
Sie können den Namen der Warnung anpassen, indem Sie ein Feld im Format
${
field name
}
hinzufügen. Beispielsweise können Sie den Warnungsnamen als
Warnung für $ {hostname} VPXA-Protokolle eingeben. Angenommen, es gibt zwei Hostnamen und Sie haben E-Mail-Benachrichtigungen für die Warnung eingerichtet, sieht der E-Mail-Betreff wie folgt aus:
Alert for "hostname loginsight-01.eng.vmware.com and 1 more" VPXA Logs
Sie können andere statische Felder in der Beschreibung verwenden, z. B.
event_type,
source,
filepath usw. Sie können auch extrahierte Felder verwenden.
Hinweis:
- Sie können dem Warnungsnamen nur ein statisches oder extrahiertes Feld hinzufügen.
- Wenn Sie ein extrahiertes Feld im Warnungsnamen verwenden, muss es Teil der Warnungsabfrage sein. Wenn die Warnung über die Bedingung „Gruppieren nach“ verfügt, muss das extrahierte Feld auch Teil der Bedingung „Gruppieren nach“ sein.
- Wenn Sie Benachrichtigungen an VMware Aria Operations senden, wird für jedes Feld ein Benachrichtigungsereignis gesendet. Wenn Ihr Warnungsname beispielsweise
${hostname}
enthält und fünf Hostnamen vorhanden sind, werden fünf Benachrichtigungsereignisse gesendet – eines für jeden Hostnamen.
- Geben Sie eine kurze, aussagekräftige Beschreibung des Ereignisses ein, das die Warnung auslöst.
Sie können die Beschreibung der Warnung anpassen, indem Sie ein oder mehrere Felder im Format
${
field name
}
hinzufügen. Beispielsweise können Sie die Warnungsbeschreibung als
VPXA-Protokolle wurden für $ {hostname} generiert eingeben. Unter der Annahme, dass es zwei Hostnamen gibt und Sie E-Mail-Benachrichtigungen für die Warnung eingerichtet haben, listet die E-Mail einige Beispielprotokolle auf und zeigt dann die folgenden Informationen an:
Additional notes for this alert:
VPXA logs were generated for
hostname
loginsight-01.eng.vmware.com
loginsight-02.eng.vmware.com
Sie können andere statische Felder in der Beschreibung verwenden, z. B.
event_type,
source,
filepath usw. Sie können auch extrahierte Felder verwenden.
Hinweis:
- Sie können nur ein statisches oder extrahiertes Feld in der Warnungsbeschreibung verwenden.
- Wenn Sie ein extrahiertes Feld im Warnungsnamen verwenden, muss es Teil der Warnungsabfrage sein. Wenn die Warnung über die Bedingung „Gruppieren nach“ verfügt, muss das extrahierte Feld auch Teil der Bedingung „Gruppieren nach“ sein.
- Geben Sie die Abfrage ein, auf der die Warnung basiert.
- Geben Sie die Auslösebedingung für die Warnung ein. Sie können einen Zeitraum auswählen und die Abfrageergebnisse nach statischen oder extrahierten Feldern gruppieren.
Auslösebedingung |
Beschreibung |
Bei jedem Treffer
Hinweis: Sie können diese Auslösebedingung festlegen, wenn Sie
Echtzeit im Dropdown-Menü für den Zeitraum auswählen.
|
Die Warnungsabfrage wird automatisch jede Minute ausgeführt. Eine Benachrichtigung wird ausgelöst, wenn mindestens ein Ereignis innerhalb der letzten Minute mit der Abfrage übereinstimmt. |
Gesamtanzahl der Ereignisse |
Eine Benachrichtigung wird ausgelöst, wenn mehr oder weniger als X übereinstimmende Ereignisse innerhalb des Zeitraums auftreten, den Sie im Dropdown-Menü auswählen. Wenn dieser Warnungstyp ausgelöst wird, wird er während seines Zeitraums vorübergehend ausgesetzt, um zu verhindern, dass Warnungen für dieselbe Ereignisgruppe doppelt ausgelöst werden. Wenn Sie eine Warnung aktivieren möchten, während sie vorübergehend ausgesetzt ist, können Sie die Warnung deaktivieren und erneut aktivieren. |
Eindeutige Anzahl eines Felds |
Eine Benachrichtigung wird ausgelöst, wenn die eindeutige Anzahl von Feld F innerhalb des Zeitraums, den Sie im Dropdown-Menü auswählen, größer oder kleiner als X ist. |
Aggregationsvorgang für ein Feld |
Eine Benachrichtigung wird ausgelöst, wenn der auf das Feld F angewendete Aggregationsvorgang A größer oder kleiner als X ist, und zwar innerhalb des Zeitraums, den Sie im Dropdown-Menü ausgewählt haben. |
Sie können die Warnung so konfigurieren, dass sie Benachrichtigungen basierend auf der Auslösebedingung sendet.
- (Optional) Geben Sie eine Empfehlung für die Warnung ein, die in der Benachrichtigung enthalten ist, wenn die Warnung gesendet wird.
- (Optional) Um eine Testwarnungsbenachrichtigung zu senden, klicken Sie auf Testwarnung senden.
- Klicken Sie auf Speichern.
Ergebnisse
Die Warnungsdefinition wird auf der Seite „Warnungsdefinition“ angezeigt.
Nächste Maßnahme
Sie können die Warnung aktivieren, deaktivieren oder ändern.