Das Verständnis, wie vRealize Log Insight Nachrichten und Ereignisse verarbeitet, ist der Schlüssel zur effektiven Nutzung von vRealize Log Insight.

Der Lebenszyklus einer Protokollnachricht oder eines Ereignisses besteht aus mehreren Phasen, darunter Lesen, Analysieren, Aufnehmen, Indizieren, Alarmieren, Abfragen, Archivieren und Löschen.

Ereignisse und Meldungen durchlaufen die folgenden Phasen.

  1. Es wird auf einem Gerät generiert (außerhalb von vRealize Log Insight).
  2. Es wird entnommen und auf eine der folgenden Arten an vRealize Log Insight gesendet:
    • Über einen vRealize Log Insight-Agent unter Verwendung von Ingestion-API oder Syslog
    • Über einen Drittanbieter-Agent wie z. B. rsyslog, syslog-ng oder log4j unter Verwendung von Syslog
    • Per benutzerdefiniertes Schreiben in die Ingestion-API (z. B. log4j-Appender)
    • Per benutzerdefiniertes Schreiben in Syslog (z. B. log4j-Appender)
  3. vRealize Log Insight empfängt das Ereignis.
    • Wenn Sie den integrierten Lastausgleichsdienst (integrated Load Balancer, ILB) verwenden, wird das Ereignis an einen einzelnen Knoten weitergeleitet, der das Ereignis dann verarbeitet.
    • Wird das Ereignis abgelehnt, verarbeitet der Client die Ablehnung als UDP-Löschung, TCP mit Protokolleinstellungen oder CFAPI mit festplattengesicherter Warteschlange.
    • Wird das Ereignis akzeptiert, wird der Client benachrichtigt.
  4. Das Ereignis durchläuft die vRealize Log Insight-Erfassungs-Pipeline, in der folgende Schritte erfolgen:
    • Es wird ein Schlüsselwortindex erstellt oder aktualisiert. Der Index wird in einem proprietären Format auf der lokalen Festplatte gespeichert.
    • Auf Clusterereignisse wird Maschinenlernen angewendet.
    • Das Ereignis wird in einem komprimierten proprietären Format auf der lokalen Festplatte in einem Bucket gespeichert.
  5. Das Ereignis wird abgefragt.
    • Schlüsselwort- und glob-Abfragen werden mit dem Schlüsselwortindex abgeglichen.
    • Regex wird mit komprimierten Ereignissen abgeglichen.
  6. Das Ereignis wird in einen Bucket verschoben und archiviert.
    • Ein Bucket wird versiegelt und archiviert, wenn er 0,5 GB erreicht.
  7. Das Ereignis wird gelöscht.
    • Buckets werden nach dem FIFO-Verfahren gelöscht („First In First Out“).

Weitere Informationen

Weitere Informationen erhalten Sie im Video von VMware Technical Publications