vRealize Log Insight fasst eine große Anzahl einzelner Ereignisse in einer kleineren Anzahl von allgemeinen Ereignistypen zusammen. vRealize Log Insight verwendet das maschinelle Lernen, um ähnliche Ereignisse zusammen zu gruppieren, wobei jede Gruppe die ungefähre Anzahl der Ereignisse in der Gruppe anzeigt. Durch die Gruppierung von Ereignissen können Sie die am meisten und am wenigsten kommunikativen Ereignisse, die beide für die Fehlerbehebung kritisch sind.

Die Registerkarte Ereignistypen auf der Seite „Protokolle durchsuchen“ unter der Suchleiste bietet eine Gesamtansicht der Ereignisse für den angegebenen Zeitraum der Abfrage. Ein Ereignis in einer Gruppe wird als repräsentatives Ereignis ausgewählt. Sie können auf den Link Erweitern unter jedem repräsentativen Ereignis klicken, um die Ereignisse in der Gruppe anzuzeigen.

Als Folge der Gruppierung von Ereignissen wird jedem Ereignis ein Ereignistyp zugewiesen. Ein geeignetes event_type-Feld wird erstellt, das Sie in regulären Abfragen weiter verwenden können.

vRealize Log Insight dokumentiert nicht den genauen Mechanismus für die Gruppierung von Ereignissen. Es wird versucht, Gruppen ähnlicher Ereignisse basierend auf der Anzahl der allgemeinen Bestandteile von Ereignissen automatisch zu erkennen. Betrachten wir beispielsweise die folgenden Ereignisse:

  • [2019-05-20 06:41:24.291+0000] ["SearchWorker-thread-12999"/10.113.164.150 INFO] [com.company.product.analytics.distributed.LogSearchWorkerService] [Worker fully completed query (token=5f6e5e1faf93e4ce) in 11 msec]
  • [2019-05-20 06:41:24.284+0000] ["SearchWorker-thread-11961"/10.113.164.167 INFO] [com.company.product.analytics.distributed.SearchWorkerService] [Worker fully completed query (token=3b247b2ba6057c47) in 24 msec]

Diese Ereignisse haben acht gemeinsame Bestandteile: Zeitstempel, Thread-Name, Host-IP, Protokollierungsstufe, Klassenname, Nachrichtentext, Token-Nummer und Dauer.

Lassen Sie uns nun die folgenden Ereignisse berücksichtigen:

  • [2019-05-20 06:41:24.291+0000] ["LogSearchWorker-thread-12999"/10.113.164.150 INFO] [com.vmware.loginsight.analytics.distributed.LogSearchWorkerService] [Worker finished search (wait=59500 token=5f6e5e1faf93e4ce) in 12 msec]
  • [2019-05-20 06:41:20.136+0000] ["AliasStudentStudyPool-thread-1"/192.168.110.24 INFO] [com.vmware.loginsight.analytics.alias.AliasStudent] [looking for alias due to rule DatastoreFromVmFileSystem]

Diese Ereignisse haben nur drei gemeinsame Bestandteile: Zeitstempel, Host-IP und Protokollierungsstufe.

Neben der Zusammenfassung von Ereignissen identifiziert vRealize Log Insight nützliche Felder in jedem Ereignis der Gruppe, die als intelligente Felder bezeichnet werden. Jedes intelligente Feld wird innerhalb des repräsentativen Ereignisses als Hyperlink mit einem Dropdown-Menüsymbol daneben angezeigt. Sie können auf das Symbol klicken, um ein Histogramm für die Werte des Felds anzuzeigen, oder um ein extrahiertes Feld basierend auf dem intelligenten Feld zu definieren.