vRealize Log Insight resume un gran número de eventos individuales en un número menor de tipos de eventos amplios. vRealize Log Insight utiliza el aprendizaje automático para agrupar eventos similares, donde cada grupo muestra el número aproximado de eventos en el grupo. La agrupación de eventos ayuda a identificar los eventos más y menos comunicativos; ambos son fundamentales para la solución de problemas.
La pestaña Tipos de eventos de la página Explorar registros, bajo la barra de búsqueda, proporciona una vista agregada de los eventos para el intervalo de tiempo especificado de la consulta. Se selecciona un evento en un grupo como evento representativo. Puede hacer clic en el vínculo Expandir de cada evento representativo para ver los eventos en el grupo.
Como resultado de la agrupación de eventos, se asigna un tipo de evento a cada evento. Se crea un campo event_type apropiado, que posteriormente se puede utilizar en consultas regulares.
vRealize Log Insight no documenta el mecanismo exacto para agrupar eventos. Intenta detectar automáticamente grupos de eventos similares en función del número de partes comunes que tienen los eventos. Por ejemplo, supongamos que tenemos los siguientes eventos:
[2019-05-20 06:41:24.291+0000] ["SearchWorker-thread-12999"/10.113.164.150 INFO] [com.company.product.analytics.distributed.LogSearchWorkerService] [Worker fully completed query (token=5f6e5e1faf93e4ce) in 11 msec][2019-05-20 06:41:24.284+0000] ["SearchWorker-thread-11961"/10.113.164.167 INFO] [com.company.product.analytics.distributed.SearchWorkerService] [Worker fully completed query (token=3b247b2ba6057c47) in 24 msec]
Estos eventos tienen ocho partes comunes: marca de tiempo, nombre de subproceso, IP de host, nivel de registro, nombre de clase, texto de mensaje, número de token y duración.
Ahora, vamos a considerar los siguientes eventos:
[2019-05-20 06:41:24.291+0000] ["LogSearchWorker-thread-12999"/10.113.164.150 INFO] [com.vmware.loginsight.analytics.distributed.LogSearchWorkerService] [Worker finished search (wait=59500 token=5f6e5e1faf93e4ce) in 12 msec][2019-05-20 06:41:20.136+0000] ["AliasStudentStudyPool-thread-1"/192.168.110.24 INFO] [com.vmware.loginsight.analytics.alias.AliasStudent] [looking for alias due to rule DatastoreFromVmFileSystem]
Estos eventos solo tienen tres partes comunes: marca de tiempo, IP de host y nivel de registro.
Además de agrupar los eventos de forma conjunta, vRealize Log Insight identifica campos útiles en cada evento del grupo, conocidos como campos inteligentes. Cada campo inteligente aparece dentro del evento representativo como un hipervínculo con un icono de menú desplegable junto a él. Puede hacer clic en el icono para ver un histograma de los valores del campo o para definir un campo extraído en función del campo inteligente.
