Ein vRealize Log Insight-Agent erfasst Ereignisse aus Protokolldateien und leitet diese an einen vRealize Log Insight-Server oder an beliebige Drittanbieter-Syslog-Ziele weiter.

Agenten unterstützen Syslog und die vRealize Log Insight-Ingestion-API (cfapi-Protokoll) und können mit der Linux- oder Windows-Plattform verwendet werden. Sie konfigurieren Agenten über die Web-Benutzeroberfläche mit der liagent.ini-Datei auf dem Server wie auf dem Client oder als Teil der Installation.

Agenten verfügen über die folgenden Funktionen:

  • Einzel- oder Gruppenbereitstellung
  • Automatisches Upgrade
  • Analysieren von Protokollmeldungen und zur Extraktion strukturierter Daten. Sie können Parser sowohl für FileLog- wie für WinLog-Collectors konfigurieren.
  • Unterstützung mehrzeiliger Meldungen
  • Native Unterstützung für mehrere Protokollrotationsschemata
  • Eine umfangreiche Ingestion-API mit clientseitiger Komprimierung, Verschlüsselung und der Möglichkeit, Metadaten zu Ereignissen hinzuzufügen.

Der vRealize Log Insight-Server unterstützt eine zentrale Konfigurationsverwaltung sowie die Erstellung und Verwaltung von Agentengruppen.

Die folgende Abbildung zeigt die Elemente einer Agent-Bereitstellungskonfiguration.

Eine vRealize Log Insight-Weiterleitung ist eine dedizierte Instanz eines vRealize Log Insight-Servers, deren Hauptaufgabe die Weiterleitung von Ereignissen an ein Remoteziel ist. In der Regel wird eine Serverinstanz, die als Weiterleitung verwendet wird, nicht für die Abfrage genutzt. Die Weiterleitung verwendet einen internen Lastausgleichsdienst und ist ansonsten wie ein vRealize Log Insight-Server aufgebaut.

Die Agenten erstellen stattdessen gesonderte Vorgangsprotokolle. Für Windows sind diese Protokolle im Verzeichnis C:\ProgramData\VMware\Log Insight Agent\logs gespeichert. Für Linux lautet der Pfad für das Vorgangsprotokoll /var/log/loginsight-agent/liagent_*.log. Protokolldateien werden durch Rotation ausgetauscht, wenn ein Agent neu gestartet wird oder wenn die Datei die Größe von 10 MB erreicht. Für die Rotation gilt ein kombinierter Grenzwert von 50 MB für Dateien. Agent-Protokolle können nicht mit dem vRealize Log Insight-Agenten selbst erfasst werden.

Agenten werden für eine Protokollerfassung in Echtzeit verwendet. Für den Import bisheriger Protokollsammlungen einschließlich Support-Paketen verwenden Sie vRealize Log Insight Importer.

Für Windows- und Linux-Betriebssysteme werden keine separaten Installations-Downloads zur Verfügung gestellt.

Der Agent wird auf Windows-Systemen als Windows-Dienst ausgeführt und startet sofort nach der Installation. Der Agent überwacht Anwendungsprotokolldateien und Windows-Ereigniskanäle, aus denen zugehörige Windows-Systemereignisse erfasst werden können. Erfasste Ereignisse werden an vRealize Log Insight-Server oder Drittanbieter-Syslog-Ziele weitergeleitet.

Der Agent wird auf Linux-Systemen als Daemon ausgeführt und startet sofort nach der Installation. Der vRealize Log Insight-Linux-Agent erfasst Ereignisse aus Protokolldateien auf Linux-Systemen und leitet sie an vRealize Log Insight-Server oder Syslog-Ziele weiter. Es sind Debian, Red Hat und binäre Linux-Installationspakete verfügbar.