Comprender cómo VMware Aria Operations for Logs procesa mensajes y eventos resulta clave para un uso eficiente de VMware Aria Operations for Logs.

El ciclo de vida de un evento o mensaje de registro tiene varias etapas, incluyendo lectura, análisis, consumo, indexación, alertas, aplicación de consulta, archivado y eliminación.

Los mensajes y eventos van pasando por las siguientes etapas.

  1. Se genera en un dispositivo (fuera de VMware Aria Operations for Logs).
  2. Se selecciona y se envía a VMware Aria Operations for Logs siguiendo uno de estos procedimientos:
    • Con un agente de VMware Aria Operations for Logs que usa syslog o API de consumo
    • A través de un agente de terceros, como rsyslog, syslog-ng o log4j que usa syslog
    • Personalizando la escritura de API de consumo (por ejemplo, log4j.appender)
    • Personalizando la escritura de syslog (por ejemplo, log4j.appender)
  3. VMware Aria Operations for Logs recibe el evento.
    • Si utiliza el equilibrador de carga integrado (ILB), el evento se envía a un nodo único que se encarga de procesarlo.
    • Si se rechaza el evento, el cliente maneja los rechazos con eliminaciones UDP, TCP con configuración de protocolos o CFAPI con una cola respaldada en disco.
    • Si se acepta el evento, se notifica al cliente.
  4. El evento se envía a través de la canalización del consumo de VMware Aria Operations for Logs, en el que se producen los siguientes pasos:
    • Se crea un índice de palabras clave o se actualiza el existente. El índice se almacena en un formato del fabricante en un disco local.
    • El aprendizaje automático se aplica a eventos del clúster.
    • El evento se almacena en un formato del fabricante comprimido en el disco local en un depósito.
  5. Se consulta el evento.
    • Se buscan coincidencias entre el índice de palabras clave y consultas globales y de palabras clave.
    • Se buscan coincidencias de Regex con eventos comprimidos.
  6. El evento se mueve a un depósito y se archiva.
    • Un depósito se sella y archiva cuando llega a 0,5 GB.
  7. Se elimina el evento.
    • Los depósitos se eliminan en orden FIFO.

Más información

Para obtener más información, consulte el vídeo de las publicaciones técnicas de VMware sobre