vRealize Log Insight bietet Ihnen zwei Gruppen von Benachrichtigungen zum Systemzustand: allgemeine Benachrichtigungen, die für alle Produktkonfigurationen gelten, und Benachrichtigungen zu Clustern für Cluster-basierte Bereitstellungen.

Um Systembenachrichtigungen anzuzeigen, klicken Sie auf der Registerkarte Warnungen auf Systemwarnungen. Mit den entsprechenden Berechtigungen können Sie die Benachrichtigungen aktivieren oder deaktivieren. Weitere Informationen finden Sie unter Anzeigen und Verwalten von Warnungen in Verwenden von vRealize Log Insight.

Hinweis: In diesem Thema bezieht sich ein Admin-Benutzer auf einen Benutzer, der mit der Super-Admin-Rolle verbunden ist, oder auf eine Rolle, die über die entsprechenden Berechtigungen verfügt, wie in Erstellen und Ändern von Rollen beschrieben.

Die folgenden Tabellen stellen die Systembenachrichtigungen für vRealize Log Insight und eine entsprechende Beschreibung dar.

Allgemeine Systembenachrichtigungen

vRealize Log Insight stellt Benachrichtigungen über Bedingungen aus, die eventuell ein administratives Eingreifen erfordern, einschließlich Archivierungsfehlern oder Verzögerungen bei der Warnungsplanung.

Benachrichtigungsname Beschreibung
Älteste Daten werden bald nicht mehr durchsuchbar sein

vRealize Log Insight soll mit der Stilllegung alter Daten aus dem Speicher der virtuellen Appliance starten, basierend auf der erwarteten Größe der durchsuchbaren Daten, dem Speicherplatz und der aktuellen Datenaufnahmerate. Ersetzte Daten werden archiviert, wenn Sie die Archivierung konfiguriert haben, oder andernfalls gelöscht.

Um dies zu beheben, fügen Sie Speicher hinzu oder passen Sie den Schwellenwert für Beibehaltungsbenachrichtigung an. Weitere Informationen finden Sie unter Konfigurieren von vRealize Log Insight zum Senden von Benachrichtigungen über den Systemzustand.

Die Benachrichtigung wird nach jedem Neustart des vRealize Log Insight-Diensts gesendet.

Aufbewahrungszeitraum im Repository

Der Aufbewahrungszeitraum ist die Zeitdauer, in der Daten auf der lokalen Festplatte Ihrer vRealize Log Insight-Instanz gespeichert sind. Dieser Zeitraum wird durch den Umfang der Daten, die das System aufnehmen kann, und die aktuelle Datenaufnahmerate bestimmt. Wenn Sie beispielsweise täglich 10 GB Daten (nach der Indizierung) erhalten und über 300 GB Speicherplatz verfügen, beträgt Ihr Aufbewahrungszeitraum 30 Tage.

Wenn Ihr Speicherlimit erreicht ist, werden alte Daten entfernt, um Platz für neu aufgenommene Daten zu schaffen. Diese Benachrichtigung informiert Sie, wenn die Menge der durchsuchbaren Daten, die vRealize Log Insight bei den aktuellen Aufnahmeraten speichern kann, den in der virtuellen Appliance verfügbaren Speicherplatz übersteigt.

Der Speicherplatz könnte vor dem mit dem Schwellenwert für die Beibehaltungsbenachrichtigung eingestellten Zeitraum erschöpft sein. Fügen Sie Speicher hinzu oder passen Sie den Schwellenwert für die Beibehaltungsbenachrichtigung an.

Verworfene Ereignisse

vRealize Log Insight konnte nicht alle eingegangenen Protokollmeldungen aufnehmen.

  • Im Falle einer durch den vRealize Log Insight-Server erkannten Löschung einer TCP-Meldung wird eine Systembenachrichtigung in folgender Weise gesendet:
    • Einmal pro Tag
    • Bei jedem manuell oder automatisch ausgeführten Neustart des vRealize Log Insight-Diensts
  • Die E-Mail enthält die Anzahl der gelöschten Meldungen seit dem Versenden der letzten Benachrichtigungs-E-Mail und die Gesamtzahl der Meldungslöschungen seit dem letzten Neustart von vRealize Log Insight.
Hinweis: Die in der Zeile „Gesendet“ angegebene Uhrzeit wird durch den E-Mail-Client vorgegeben und ist die Zeit der lokalen Zeitzone, während im E-Mail-Text die UTC-Zeit angegeben wird.
Beschädigter Index-Bucket

Ein Teil des Indexes auf der Festplatte ist beschädigt. Ein korrupter Index weist üblicherweise auf ernsthafte Probleme im zugrunde liegenden Speichersystem hin. Der beschädigte Teil des Indexes wird von der Bedienung von Abfragen ausgeschlossen. Ein korrupter Index hat Auswirkungen auf die Aufnahme neuer Daten. vRealize Log Insight überprüft die Integrität des Indexes beim Start des Diensts. Wenn eine Beschädigung festgestellt wird, sendet vRealize Log Insight eine Systembenachrichtigung in folgender Weise:

  • Einmal pro Tag
  • Bei jedem manuell oder automatisch ausgeführten Neustart des vRealize Log Insight-Diensts
Nicht mehr genügend Festplattenspeicher

vRealize Log Insight hat zu wenig zugeteilten Speicherplatz. vRealize Log Insight ist höchstwahrscheinlich auf ein Problem im Zusammenhang mit Speichern gestoßen.

Archivplatz bald voll Der für die Archivierung von vRealize Log Insight-Daten verwendete Speicherplatz auf dem NFS-Server ist bald ausgeschöpft. Wenn die Archivierung der Daten, die auf dem NFS-Server bei der aktuellen Aufnahmerate gespeichert werden können, weniger als sieben Tage beträgt, wird eine Systembenachrichtigung gesendet. Wenn Sie beispielsweise Daten mit einer Datenträgerverbrauchsrate von 708,9 MB pro Tag archivieren und 2000 MB Speicherplatz zur Verfügung stehen, beträgt die Kapazität etwa drei Tage und liegt somit unter dem Schwellenwert. In diesem Fall erhalten Sie eine Benachrichtigung, dass Sie diese Kapazität unterschreiten.
Änderung des insgesamt bereitgestellten Festplattenspeichers

Die Gesamtgröße der Partition für vRealize Log Insight-Datenspeicher hat sich verringert. Diese Benachrichtigung signalisiert in der Regel ein schwerwiegendes Problem im zugrunde liegenden Speichersystem. Wenn vRealize Log Insight diesen Umstand erkennt, wird diese Benachrichtigung in folgender Weise gesendet:

  • Sofort
  • Einmal pro Tag
Ausstehende Archivierungen vRealize Log Insight kann keine Daten erwartungsgemäß archivieren. Die Benachrichtigung weist in der Regel auf Probleme mit dem von Ihnen für die Datenarchivierung konfigurierten NFS-Speicher hin.
Das zugewiesene Protokolldatenspeicher-Volume hat 75 Prozent der maximalen Protokolldatenspeicherkapazität erreicht vRealize Log Insight ist konfiguriert, um die STIG-Konformität sicherzustellen, und der zugewiesene Protokolldatenspeicher-Datenträger erreicht 75 Prozent der maximalen Protokollspeicherkapazität des Repositorys.
Hinweis: Diese Benachrichtigung wird pro Knoten gesendet.
Lizenz läuft in Kürze ab Die Lizenz für vRealize Log Insight läuft in Kürze ab.
Lizenz ist abgelaufen Die Lizenz von vRealize Log Insight ist abgelaufen.
SSL-Zertifikat läuft in Kürze ab Das SSL-Zertifikat für den vRealize Log Insight-Cluster läuft in 30 Tagen ab.
Keine Verbindung mit dem AD-Server möglich vRealize Log Insight kann keine Verbindung zum konfigurierten Active Directory-Server herstellen.
High Availability-IP-Adresse [IP-Adresse] kann nicht übernommen werden, da sie bereits von einer anderen Maschine verwendet wird Der vRealize Log Insight-Cluster konnte die konfigurierte IP-Adresse für den integrierten Lastausgleichsdienst nicht übernehmen. Die häufigste Ursache für diese Warnung ist, dass ein anderer Host in demselben Netzwerk die IP-Adresse belegt, sodass sie nicht vom Cluster übernommen werden kann.

Sie können diesen Konflikt lösen, indem Sie entweder die IP-Adresse auf dem Host, der sie belegt, freigeben oder den integrierten Log Insight-Lastausgleichsdienst mit einer im Netz verfügbaren statischen IP-Adresse versehen. Wenn Sie die IP-Adresse des integrierten Lastausgleichsdienstes ändern, müssen Sie alle Clients so konfigurieren, dass sie Protokolldaten an die neue IP-Adresse oder an einen FQDN bzw. eine URL senden, der bzw. die in diese IP-Adresse aufgelöst wird. Zudem müssen Sie von der vSphere-Integrationsseite aus die Konfiguration aller in vRealize Log Insight integrierten vCenter Server aufheben und diese neu konfigurieren.

High Availability-IP-Adresse [IP-Adresse] ist aufgrund zu vieler Knotenausfälle nicht verfügbar Die IP-Adresse für den integrierten Lastausgleichsdienst (ILB) ist nicht verfügbar. Clients, die Protokolldaten über die IP-Adresse des integrierten Lastausgleichsdienstes oder einen FQDN bzw. eine URL an den vRealize Log Insight-Cluster senden, der bzw. die in diese IP-Adresse aufgelöst wird, werden die IP-Adresse als nicht verfügbar sehen. Die häufigste Ursache für diese Warnung ist, dass die Mehrheit der Knoten im vRealize Log Insight-Cluster nicht ordnungsgemäß arbeiten, nicht verfügbar oder vom primären Knoten aus nicht erreichbar sind. Eine weitere geläufige Ursache ist, dass die NTP-Zeitsynchronisation nicht aktiviert wurde oder es bei den konfigurierten NTP-Servern erhebliche Zeitabweichungen gibt. Sie können feststellen, ob das Problem noch besteht, indem Sie die IP-Adresse anpingen (sofern erlaubt) und prüfen, ob die Adresse nicht erreichbar ist.

Sie können dieses Problem beheben, indem Sie sichergehen, dass die Mehrheit der Clusterknoten ordnungsgemäß arbeiten und erreichbar sind und die NTP-Zeitsynchronisation mit genauen NTP-Servern ermöglichen.

Zu viele Migrationen der High Availability-IP-Adresse [Ihre IP-Adresse] zwischen vRealize Log Insight-Knoten Die für den integrierten Lastausgleichsdienst konfigurierte IP-Adresse wurde innerhalb der letzten 10 Minuten zu oft migriert.

Im Normalbetrieb bewegt sich die IP-Adresse nur selten zwischen vRealize Log Insight-Clusterknoten. Die IP-Adresse kann jedoch verschoben werden, wenn der aktuelle Besitzerknoten neu gestartet oder in die Wartung versetzt wird. Der andere Grund wäre eine unzureichende Zeitsynchronisierung zwischen Log Insight-Clusterknoten, was für das ordnungsgemäße Funktionieren des Clusters unerlässlich ist. In diesem Fall können Sie das Problem beheben, indem Sie die NTP-Zeitsynchronisierung mit genauen NTP-Servern ermöglichen.

SSL-Zertifikatsfehler

Eine Syslog-Quelle hat eine Verbindung zu vRealize Log Insight über SSL initiiert, die Verbindung aber plötzlich abgebrochen. Diese Benachrichtigung weist möglicherweise darauf hin, dass die Syslog-Quelle die Gültigkeit des SSL-Zertifikats nicht bestätigen konnte. Damit vRealize Log Insight Syslog-Nachrichten über SSL annehmen kann, ist ein Zertifikat erforderlich, welches vom Client validiert wird, und die Uhren des Systems müssen synchronisiert werden. Es liegt möglicherweise ein Problem mit dem SSL-Zertifikat oder mit dem Netzwerkzeitdienst vor.

Sie können validieren, dass das SSL-Zertifikat für Ihre Syslog-Quelle vertrauenswürdig ist, die Quelle so neu konfigurieren, dass SSL nicht verwendet wird, oder das SSL-Zertifikat neu installieren. Siehe Konfigurieren der SSL-Parameter für vRealize Log Insight-Agenten und Installieren eines benutzerdefinierten SSL-Zertifikats.

Fehler bei vCenter-Erfassung

vRealize Log Insight kann keine vCenter-Ereignisse, -Aufgaben und -Alarme erfassen. In der Datei /var/log/vmware/loginsight/plugins/vsphere/li-vsphere.log finden Sie die genaue Ursache, die den Erfassungsfehler verursacht hat, und Sie können prüfen, ob die Erfassung korrekt läuft.

Fehler bei der Ereigniserfassung im vCenter Kubernetes-Dienst

vRealize Log Insight kann keine vCenter Kubernetes-Systemereignisse, -Systemaufgaben und -Systemalarme erfassen. In der Datei /var/log/vmware/loginsight/plugins/vsphere/li-vsphere.log finden Sie die genaue Ursache, die den Erfassungsfehler verursacht hat, und Sie können prüfen, ob die Erfassung korrekt läuft.

Ereignisse für Ereignisweiterleitung gelöscht

Eine Weiterleitung verwirft Ereignisse aufgrund von Verbindungs- oder Überlastungsproblemen.

Beispiel:

Log Insight Admin Alert: Event Forwarder Events Dropped 
This alert is about your Log Insight installation on https://<your_url>

Event Forwarder Events Dropped triggered at 2016-08-02T18:41:06.972Z

Log Insight just dropped 670 events for forwarder target 'Test',
reason: Pending queue is full.
Verspätete Warnabfragen

vRealize Log Insight konnte keine benutzerdefinierte Warnung zu der konfigurierten Zeit ausführen. Die Verspätung ist möglicherweise auf eine oder mehrere ineffiziente benutzerdefinierte Warnungen oder eine unangemessene Systemgröße für das Erfassungs- und Abfragevolumen zurückzuführen.

Automatisch deaktivierte Warnung

Wenn eine benutzerdefinierte Warnung mindestens 10-mal ausgeführt wurde und die durchschnittliche Zeit für die Ausführung länger als eine Stunde beträgt, wird die Warnung als ineffizient eingestuft und deaktiviert, um die Beeinträchtigung anderer benutzerdefinierter Warnungen zu verhindern.

Ineffiziente Warnungsabfrage

Wenn eine benutzerdefinierte Warnung zum Beenden länger als eine Stunde benötigt, wird die Warnung als ineffizient eingestuft.

Neuer Benutzer erstellt oder Benutzer zum ersten Mal angemeldet vRealize Log Insight ist konfiguriert, um die STIG-Konformität zu gewährleisten, und ein neuer Benutzer wird erstellt oder ein Active Directory- oder VMware Identity Manager-Benutzer meldet sich zum ersten Mal an.

Systembenachrichtigungen für Cluster

vRealize Log Insight sendet Benachrichtigungen über Änderungen der Clustertopologie, etwa durch Hinzufügen von neuen Clustermitgliedern oder vorübergehende Kommunikationsprobleme mit Knoten.

Gesendet von Benachrichtigungsname Beschreibung
Primärer Knoten Genehmigung für neuen Worker-Knoten erforderlich

Ein Worker-Knoten sendet eine Anforderung, um einem Cluster beizutreten. Die Anforderung muss von einem Admin-Benutzer genehmigt oder abgelehnt werden.

Primärer Knoten Neuer Worker-Knoten genehmigt

Ein Admin-Benutzer hat eine Mitgliedschaftsanforderung von einem Worker-Knoten für den Beitritt zu einem vRealize Log Insight-Cluster genehmigt.

Primärer Knoten Neuer Worker-Knoten abgelehnt

Ein Admin-Benutzer hat eine Mitgliedschaftsanforderung von einem Worker-Knoten für den Beitritt zu einem vRealize Log Insight-Cluster abgelehnt. Sollte die Anforderung versehentlich abgelehnt worden sein, kann ein Admin-Benutzer diese über den Worker erneut ausgeben und sie anschließend im primären Knoten genehmigen.

Primärer Knoten Maximale Anzahl unterstützter Knoten durch Worker-Knoten überschritten

Die maximal unterstützte Anzahl an Worker-Knoten im Log Insight-Cluster wurde aufgrund eines neuen Worker-Knotens überschritten.

Primärer Knoten Zulässige Höchstzahl an Knoten überschritten, neuer Worker-Knoten abgelehnt

Ein Benutzer hat versucht, dem Cluster mehr Knoten hinzuzufügen als maximal zulässig, und der Knoten wurde abgelehnt.

Primärer Knoten Worker-Knoten getrennt

Die Verbindung eines zuvor verbundenen Worker-Knotens mit dem vRealize Log Insight-Cluster wurde getrennt.

Primärer Knoten Worker-Knoten erneut verbunden

Die Verbindung eines Worker-Knotens mit dem vRealize Log Insight-Cluster wurde erneut hergestellt.

Primärer Knoten Worker-Knoten widerrufen durch

Ein Admin-Benutzer hat die Mitgliedschaft eines Worker-Knotens widerrufen, und der Knoten ist nicht mehr Teil des vRealize Log Insight-Clusters.

Primärer Knoten Unbekannter Worker-Knoten abgelehnt

Der primäre vRealize Log Insight-Knoten hat die Anforderung eines Worker-Knotens abgelehnt, weil der Worker-Knoten dem primären Knoten nicht bekannt ist. Handelt es sich bei dem Worker-Knoten um einen gültigen Knoten, der dem Cluster hinzugefügt werden soll, melden Sie sich beim Worker-Knoten an, entfernen Sie dessen Token-Datei und Benutzerkonfiguration unter /storage/core/loginsight/config/ und führen Sie im Worker-Knoten restart loginsight service aus.

Primärer Knoten Worker-Knoten ist in den Wartungsmodus übergegangen

Ein Worker-Knoten ist in den Wartungsmodus übergegangen, und ein Admin-Benutzer muss den Wartungsmodus für den Worker-Knoten deaktivieren, bevor Änderungen an der Konfiguration des Worker-Knotens vorgenommen werden können und dieser Abfragen verarbeiten kann.

Primärer Knoten Worker-Knoten wieder betriebsbereit

Ein Worker-Knoten hat den Wartungsmodus verlassen und ist wieder betriebsbereit.

Worker-Knoten Primärer Knoten ausgefallen oder vom Worker-Knoten getrennt

Der Worker-Knoten, der die Benachrichtigung sendet, kann den primären vRealize Log Insight-Knoten nicht kontaktieren. Diese Benachrichtigung könnte möglicherweise bedeuten, dass der primäre Knoten ausgefallen ist und gegebenenfalls neu gestartet werden muss. Bei einem Ausfall des primären Knotens kann der Cluster nicht konfiguriert werden und es können keine Abfragen übermittelt werden, bis dieser wieder online ist. Worker-Knoten nehmen weiterhin Nachrichten auf.

Hinweis: Sie könnten möglicherweise viele solcher Benachrichtigungen erhalten, weil mehrere Worker-Knoten den Ausfall des primären Knotens unabhängig voneinander registrieren und entsprechende Benachrichtigungen ausgeben könnten.
Worker-Knoten Primärer Knoten mit Worker-Knoten verbunden

Der Worker-Knoten, der die Benachrichtigung sendet, wird erneut mit dem primären vRealize Log Insight-Knoten verbunden.