Der Windows-Agent für vRealize Log Insight kann so konfiguriert werden, dass er Ereignisse aus einer oder mehreren Protokolldateien erfasst.

Feldnamen sind eingeschränkt. Die folgenden Namen sind reserviert und können nicht als Feldnamen verwendet werden.

  • event_type
  • hostname
  • source
  • text

Sie können bis zu drei Ziele für Agent-Informationen verwenden und die Informationen vor dem Senden filtern. Weitere Informationen hierzu finden Sie unter Weiterleiten von Informationen von einem vRealize Log Insight-Agenten.

Hinweis:
  • Die Überwachung einer großen Anzahl an Dateien, z. B. von tausend Dateien oder mehr, führt zu einer höheren Ressourcennutzung des Agents. Dies wirkt sich auf die Gesamtleistung der Hostmaschine aus. Um dies zu verhindern, konfigurieren Sie den Agent so, dass er nur die erforderlichen Dateien mithilfe von Mustern und Globs überwacht, oder archivieren Sie die alten Protokolldateien. Wenn die Überwachung einer großen Anzahl an Dateien erforderlich ist, können Sie es auch in Erwägung ziehen, die Hostparameter wie CPU und RAM zu erhöhen.
  • Der Agent kann nur dann Daten aus einem verschlüsselten Ordner erfassen, wenn er von dem Benutzer ausgeführt wird, der das Verzeichnis verschlüsselt hat.
  • Der Agent unterstützt nur statische Verzeichnisstrukturen. Wenn die Verzeichnisse umbenannt oder hinzugefügt wurden, müssen Sie den Agenten neu starten, um die Überwachung dieser Verzeichnisse zu starten, sofern die Konfiguration die Verzeichnisse abdeckt.

Voraussetzungen

Melden Sie sich bei dem Windows-Computer an, auf dem Sie den vRealize Log Insight Windows-Agent installiert haben, und starten Sie den Dienst-Manager, um zu überprüfen, ob der vRealize Log Insight-Agent-Dienst installiert ist.

Prozedur

  1. Navigieren Sie zum Programmdatenordner des Windows-Agenten für vRealize Log Insight.
    %ProgramData%\VMware\Log Insight Agent
  2. Öffnen Sie die Datei liagent.ini in einem beliebigen Texteditor.
  3. Suchen Sie den Abschnitt [server|<dest_id>] der Datei. Fügen Sie Konfigurationsparameter hinzu und legen Sie die Werte für Ihre Umgebung fest.
    [filelog|section_name]
    directory=path_to_log_directory
    include=glob_pattern
    ...
    Parameter Beschreibung
    [filelog|section_name] Ein eindeutiger Name für den Konfigurationsabschnitt.
    directory=full-path-to-log-file Der vollständige Pfad zum Protokolldateiverzeichnis. Glob-Muster werden unterstützt. Beispielkonfigurationen:
    • Um eine Sammlung aus allen Unterverzeichnissen von D:\Logs\new_test_logs durchzuführen, verwenden Sie directory=D:\Logs\new_test_logs\*.
    • Wenn Ihre Unterverzeichnisse über eigene Unterverzeichnisse verfügen, verwenden Sie die folgende Konfiguration, um alle Unterverzeichnisse directory=D:\Logs\new_test_logs\*\* zu überwachen
    Hinweis: Um die Anzahl der Dateien und Ordner zu begrenzen und einen hohen Ressourcenverbrauch zu vermeiden, können Sie kein Verzeichnis-Glob für die Verzeichnisse der ersten oder der zweiten Ebene definieren, wie z. B. directory=c:/tmp/* oder directory=c:\Logs\*. Der Verzeichnispfad muss mindestens zwei Ebenen aufweisen.

    Sie haben auch die Möglichkeit, einen Pfad zu einem nicht vorhandenen Verzeichnis zu definieren. Der Agent erfasst dann die Protokolldateien in diesem Verzeichnis, wenn das Verzeichnis und die Dateien erstellt wurden.

    Sie können dasselbe Verzeichnis unter einem oder mehreren verschiedenen Konfigurationsbereichen definieren, um Protokolle von derselben Datei mehrmals zu erfassen. Damit können verschiedene Tags und Filter auf dieselbe Quelle von Ereignissen angewendet werden.
    Hinweis: Wenn Sie identische Konfigurationen für diese Bereiche verwenden, werden duplizierte Ereignisse auf der Serverseite beobachtet.
    include=file_name; ... (Optional) Der Name eines Dateinamens oder einer Dateimaske (Glob-Muster) für die Datenerfassung. Sie können Werte als eine durch Semikolon getrennte Liste eingeben. Der Standardwert lautet *. Das heißt, dass alle Dateien berücksichtigt werden. Bei diesem Parameter muss die Groß-/Kleinschreibung beachtet werden.

    Mit einer Dateimaske (Glob-Muster) können Dateien gruppiert werden, die der gleichen Benennungskonvention folgen. Dies ist auch auf der Ebene einzelner Zeichen in Dateinamen möglich. Beispielsweise können Dateinamen mit Leerzeichen wie z. B. vRealize Ops Datei Analytics.log und vRealize Ops Collector.log mit vRealize?Ops?Analytics*.log oder vRealize*.log angegeben werden. Dateimasken bieten die Möglichkeit, Dateinamen festzulegen, die für die Agentenkonfiguration auf Linux- und Windows-Hosts zulässig sind.

    .zip- und.gz-Dateien werden standardmäßig nicht erfasst.

    Wichtig: Verwenden Sie bei der Erfassung einer rotierten Protokolldatei die Parameter include und exclude, um ein Glob-Muster anzugeben, das der primären und der rotierten Datei entspricht. Wenn das Glob-Muster nur der primären Protokolldatei entspricht, verpassen die vRealize Log Insight-Agenten möglicherweise Ereignisse während der Rotation. Die vRealize Log Insight-Agenten legen die richtige Reihenfolge der rotierten Dateien automatisch fest und senden Ereignisse in der richtigen Reihenfolge an den vRealize Log Insight-Server. Wenn es sich beispielsweise bei Ihrer primären Protokolldatei um myapp.log und bei den rotierten Protokollen um myapp.log.1, myapp.log.2 usw. handelt, können Sie das folgende include-Muster verwenden:

    include= myapp.log;myapp.log.*

    exclude=regular_expression (Optional) Ein Dateiname oder eine Dateimaske (Glob-Muster) zum Ausschließen aus der Erfassung. Sie können Werte als eine durch Semikolon getrennte Liste eingeben. Der Standardwert ist leer. Das heißt, dass keine Datei ausgeschlossen wird.
    event_marker=regular_expression (Optional) Ein regulärer Ausdruck, der den Start eines Ereignisses in der Protokolldatei angibt. Wird dieser Ausdruck weggelassen, wird standardmäßig ein Zeilenumbruch ausgeführt. Die von Ihnen eingegebenen Ausdrücke müssen die Perl-Syntax für reguläre Ausdrücke verwenden.
    Hinweis: Symbole, wie zum Beispiel Anführungszeichen ( " "), werden nicht als Wrapper für reguläre Ausdrücke behandelt. Sie werden als Teil des Musters behandelt.

    Da der vRealize Log Insight Agent für die Erfassung in Echtzeit optimiert ist, können mit einer internen Verzögerung geschriebene Protokoll-Teilnachrichten in mehrere Ereignisse aufgeteilt werden. Wenn das Anhängen an Protokolldateien für mehr als 200 ms ohne einen beobachteten event_marker angehalten wird, wird das Teilereignis als abgeschlossen, analysiert und zugestellt betrachtet. Diese Timing-Logik ist nicht konfigurierbar und hat Vorrang vor der event_marker-Einstellung. Protokolldatei-Appender sollten alle vollständigen Ereignisse löschen.

    enabled=yes|no (Optional) Ein Parameter zum Aktivieren oder Deaktivieren des Konfigurationsabschnitts. Die möglichen Werte lauten yes oder no. Der Standardwert lautet yes.
    charset=char-encoding-type (Optional) Die Zeichenkodierung der Protokolldateien, die der Agent überwacht. Mögliche Werte:
    • UTF-8
    • UTF-16LE
    • UTF-16BE
    Der Standardwert lautet UTF-8.
    tags={"tag-name" : "tag-value", ...}

    (Optional) Ein Parameter zum Hinzufügen von benutzerdefinierten Tags zu den Feldern der erfassten Ereignisse. Definieren Sie Tags mit der JSON-Notation. Tagnamen können Buchstaben, Zahlen und Unterstriche enthalten. Ein Tagname darf nur mit einem Buchstaben oder einem Unterstrich beginnen und darf nicht mehr als 64 Zeichen enthalten. Bei Tagnamen wird die Groß- und Kleinschreibung nicht berücksichtigt. Wenn Sie zum Beispiel tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" } verwenden, wird Tag_Name1 als Duplikat ignoriert. Sie können „event_type“ und „timestamp“ nicht als Tagnamen verwenden. Alle Duplikate innerhalb derselben Deklaration werden ignoriert.

    Wenn das Ziel ein Syslog-Server ist, können Tags das Feld „APP-NAME“ überschreiben. Beispiel: tags={"appname":"VROPS"}.

    exclude_fields (Optional) Ein Parameter zum Ausschließen einzelner Felder aus der Erfassung. Sie können mehrere Werte in Form einer durch Semikolons oder Kommas getrennten Liste eingeben. Beispiel:
    • exclude_fields=hostname; filepath
    • exclude_fields=type; size
    • exclude_fields=type, size
    raw_syslog=Yes|No Für Agenten, die das Syslog-Protokoll verwenden, ermöglicht diese Option dem Agenten, nicht formatierte Syslog-Ereignisse zu erfassen und zu senden. Die Standardeinstellung ist „Nein“, d. h., die erfassten Ereignisse werden mit benutzerspezifischen Syslog-Attributen umgewandelt. Aktivieren Sie diese Option, um Ereignisse ohne Syslog-Umwandlungen zu erfassen.

Beispiel: Konfigurationen

[filelog|vCenterMain]
directory=C:\ProgramData\VMware\VMware VirtualCenter\Logs
include=vpxd-*.log
exclude=vpxd-alert-*.log;vpxd-profiler-*.log
event_marker=^\d{4}-\d{2}-\d{2}[A-Z]\d{2}:\d{2}:\d{2}\.\d{3} 
[filelog|ApacheAccessLogs]
enabled=yes
directory=C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs
include=*.log
exclude=*_old.log
tags={"Provider" : "Apache"}
[filelog|MSSQL]
directory=C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Log
charset=UTF-16LE 
event_marker=^[^\s]