Sie können Protokolldaten in einer Partition mit einem Filter und einem Aufbewahrungszeitraum speichern. Mit Datenpartitionen können Sie unterschiedliche Aufbewahrungszeiträume für unterschiedliche Protokolltypen definieren. Protokolle mit vertraulichen Informationen erfordern beispielsweise einen kurzen Aufbewahrungszeitraum, z. B. fünf Tage. Sie können die Daten auch in einer Datenpartition auf einem NFS-Mount archivieren, um die Protokolle über einen längeren Zeitraum aufzubewahren.

Die Protokolldaten, die den Filterkriterien für eine Datenpartition entsprechen, werden in der Partition für den angegebenen Aufbewahrungszeitraum gespeichert. Wenn Sie die Archivierung aktivieren, werden die Daten nach der Aufbewahrungsfrist auf einen NFS-Speicher verschoben. Protokolle, die nicht mit den Filterkriterien in einer der definierten Datenpartitionen übereinstimmen, werden in der Standardpartition gespeichert. Diese Partition ist immer aktiviert und speichert Daten für eine unbegrenzte Zeit. Sie können den Aufbewahrungszeitraum ändern und die Archivierung für die Standardpartition aktivieren.
Hinweis: Sie können maximal fünf Datenpartitionen erstellen.

Voraussetzungen

  • Wenn Sie die Archivierung für eine Datenpartition aktivieren möchten, stellen Sie sicher, dass Sie Zugriff auf eine NFS-Partition haben, die die folgenden Anforderungen erfüllt.
    • Die NFS-Partition muss Lese- und Schreibvorgänge für Gastkonten ermöglichen.
    • Für den Mount darf keine Authentifizierung erforderlich sein.
    • Der NFS-Server muss NFS v3 oder v4 unterstützen.
    • Wenn Sie einen Windows NFS-Server verwenden, aktivieren Sie die Option „UNIX-Zugriff durch nicht zugeordneten Benutzer zulassen (über UID/GID)“.
    Weitere Informationen zur Archivierung finden Sie unter Datenarchivierung.

  • Vergewissern Sie sich, dass Sie bei der vRealize Log Insight-Web-Benutzeroberfläche als Super-Admin-Benutzer oder als Benutzer mit einer Rolle angemeldet sind, die über die entsprechenden Berechtigungen verfügt. Weitere Informationen hierzu finden Sie unter Erstellen und Ändern von Rollen. Das URL-Format der Web-Benutzeroberfläche lautet https://log-insight-host, wobei log-insight-host die IP-Adresse oder der Hostname der virtuellen vRealize Log Insight-Appliance ist.

Prozedur

  1. Navigieren Sie zur Registerkarte Administration.
  2. Klicken Sie unter Verwaltung auf Protokollverwaltung und dann auf Indexpartitionen.
  3. Um Details zur Standardpartition anzuzeigen, wie z. B. den Aufbewahrungszeitraum und den Archivierungsort, klicken Sie auf das Bearbeitungssymbol neben der Partition mit dem Titel Standardpartition. Um die Details für die Partition zu ändern, klicken Sie auf das Bearbeitungssymbol und führen Sie die Schritte 7 bis 9 aus.
  4. Um eine Partition zu erstellen, klicken Sie auf Neue Partition und führen Sie die Schritte 5 bis 9 aus.
  5. Geben Sie in das Textfeld Name der Partition einen Namen für die Datenpartition ein.
  6. Fügen Sie einen oder mehrere Filter hinzu, um die Protokolle, die Sie in der Datenpartition speichern möchten, einzugrenzen. Klicken Sie optional auf In „Interaktive Analyse“ ausführen, um eine Vorschau der gefilterten Protokollierungsergebnisse anzuzeigen.
  7. Geben Sie im Textfeld Aufbewahrungszeitraum die Anzahl der Tage ein, für die Protokolle auf der Datenpartition aufbewahrt werden sollen. Geben Sie 0 für einen unbegrenzten Aufbewahrungszeitraum ein.
  8. Klicken Sie auf die Umschalttaste Archivspeicherort, um die Protokolldaten in der Partition zu archivieren. Geben Sie in das Textfeld den NFS-Speicherort ein, an dem die archivierten Daten gespeichert werden sollen, und zwar in der Form nfs://servername<:port-number>/exportname. Die Portnummer lautet standardmäßig 2049.
    Klicken Sie auf Testverbindung, um die Verbindung mit dem NFS-Speicher zu überprüfen.
  9. Klicken Sie auf Speichern.
    Hinweis:
    • Die Datenpartition ist standardmäßig aktiviert. Um sie zu deaktivieren, verwenden Sie die Umschaltfläche neben der Partition auf der Registerkarte Indexpartitionen.
    • Zum Erstellen, Ändern und Löschen von Datenpartitionen müssen Sie vRealize Log Insight auf allen Clusterknoten neu starten.

      Stellen Sie nach dem Neustart von vRealize Log Insight sicher, dass Syslog-Feeds von ESXi nach wie vor in vRealize Log Insight ankommen.

Ergebnisse

Die Datenpartition wird auf der Registerkarte Indexpartitionen mit Informationen über den Aktivierungsstatus der Partitionen, die Filterkriterien, den Aufbewahrungszeitraum, den verwendeten Speicherplatz und den Zeitpunkt der Aufnahme des ersten Protokolls aufgeführt. Sie können die Details der Partition anzeigen oder ändern, indem Sie auf das Bearbeitungssymbol neben dem Partitionsnamen klicken.