Sie können Protokolldaten in einer Partition mit einem Filter und einem Aufbewahrungszeitraum speichern. Mit Indexpartitionen können Sie verschiedene Aufbewahrungszeiträume für unterschiedliche Protokolltypen definieren. Protokolle mit vertraulichen Informationen erfordern beispielsweise einen kurzen Aufbewahrungszeitraum, z. B. fünf Tage. Sie können die Daten in einer Indexpartition auch auf einem NFS-Mount archivieren, um die Protokolle für einen längeren Zeitraum beizubehalten.

Die Protokolldaten, die den Filterkriterien für eine Indexpartition entsprechen, werden für den angegebenen Aufbewahrungszeitraum in der Partition gespeichert. Wenn Sie die Archivierung aktivieren, werden die Daten nach der Aufbewahrungsfrist auf einen NFS-Speicher verschoben. Protokolle mit den Filterkriterien in einer der definierten Indexpartitionen werden in der Standardpartition gespeichert. Diese Partition ist immer aktiviert und speichert Daten für eine unbegrenzte Zeit. Sie können den Aufbewahrungszeitraum ändern und die Archivierung für die Standardpartition aktivieren.
Hinweis: Sie können maximal fünf Indexpartitionen erstellen.

Voraussetzungen

  • Wenn Sie die Archivierung für eine Indexpartition aktivieren möchten, stellen Sie sicher, dass Sie Zugriff auf eine NFS-Partition haben, die die folgenden Anforderungen erfüllt.
    • Die NFS-Partition muss Lese- und Schreibvorgänge für Gastkonten ermöglichen.
    • Für den Mount darf keine Authentifizierung erforderlich sein.
    • Der NFS-Server muss NFS v3 oder v4 unterstützen.
    • Wenn Sie einen Windows NFS-Server verwenden, aktivieren Sie die Option „UNIX-Zugriff durch nicht zugeordneten Benutzer zulassen (über UID/GID)“.
    Weitere Informationen zur Archivierung finden Sie unter Datenarchivierung.

  • Vergewissern Sie sich, dass Sie bei der vRealize Log Insight-Web-Benutzeroberfläche als Super-Admin-Benutzer oder als Benutzer mit einer Rolle angemeldet sind, die über die entsprechenden Berechtigungen verfügt. Weitere Informationen hierzu finden Sie unter Erstellen und Ändern von Rollen. Das URL-Format der Web-Benutzeroberfläche lautet https://log-insight-host, wobei log-insight-host die IP-Adresse oder der Hostname der virtuellen vRealize Log Insight-Appliance ist.

Prozedur

  1. Erweitern Sie das Hauptmenü, klicken Sie auf Protokollverwaltung und dann auf Indexpartitionen.
  2. Um Details zur Standardpartition anzuzeigen, wie z. B. den Aufbewahrungszeitraum und den Archivierungsort, klicken Sie auf das Bearbeitungssymbol neben der Partition mit dem Titel Standardpartition. Um die Details für die Partition zu ändern, klicken Sie auf das Bearbeitungssymbol und führen Sie die Schritte 7 bis 9 aus.
  3. Um eine Partition zu erstellen, klicken Sie auf Neue Partition und führen Sie die Schritte 5 bis 9 aus.
  4. Geben Sie im Textfeld Partitionsname einen Namen für die Indexpartition ein.
  5. Fügen Sie einen oder mehrere Filter hinzu, um die Protokolle zu verfeinern, die Sie in der Indexpartition speichern möchten. Klicken Sie optional auf Auf der Seite „Protokolle durchsuchen“ ausführen, um eine Vorschau der gefilterten Protokollierungsergebnisse anzuzeigen.
  6. Geben Sie im Textfeld Aufbewahrungszeitraum die Anzahl der Tage ein, für die Protokolle auf der Indexpartition aufbewahrt werden sollen. Geben Sie 0 für einen unbegrenzten Aufbewahrungszeitraum ein.
  7. Klicken Sie auf die Umschalttaste Archivspeicherort, um die Protokolldaten in der Partition zu archivieren. Geben Sie in das Textfeld den NFS-Speicherort ein, an dem die archivierten Daten gespeichert werden sollen, und zwar in der Form nfs://servername<:port-number>/exportname. Die Portnummer lautet standardmäßig 2049.
    Klicken Sie auf Testverbindung, um die Verbindung mit dem NFS-Speicher zu überprüfen.
  8. Klicken Sie auf Speichern.
    Hinweis:
    • Die Indexpartition ist standardmäßig aktiviert. Um sie zu deaktivieren, verwenden Sie die Umschaltfläche neben der Partition auf der Registerkarte Indexpartitionen.
    • Zum Erstellen, Ändern und Löschen von Indexpartitionen müssen Sie vRealize Log Insight auf allen Clusterknoten neu starten.

      Stellen Sie nach dem Neustart von vRealize Log Insight sicher, dass Syslog-Feeds von ESXi nach wie vor in vRealize Log Insight ankommen.

Ergebnisse

Die Indexpartition wird auf der Registerkarte Indexpartitionen mit Informationen über den Aktivierungsstatus der Partitionen, die Filterkriterien, den Aufbewahrungszeitraum, den verwendeten Speicherplatz und den Zeitpunkt der Aufnahme des ersten Protokolls aufgeführt. Sie können die Details der Partition anzeigen oder ändern, indem Sie auf das Bearbeitungssymbol neben dem Partitionsnamen klicken.