Puede configurar el agente de Windows de vRealize Log Insight para que recopile eventos desde uno o más archivos de registro.

Los nombres de campos están restringidos. Los siguientes nombres están reservados y no se pueden utilizar como nombres de campo.

  • event_type
  • hostname
  • source
  • text

Puede tener un máximo de tres destinos para la información del agente y filtrar la información antes de enviarla. Consulte Reenviar información desde un agente de vRealize Log Insight.

Nota:
  • Supervisar un gran número de archivos, como mil o más, da lugar a un mayor uso de recursos por parte del agente y tiene un impacto sobre el rendimiento general de la máquina host. Para evitar esto, configure el agente para supervisar solo los archivos necesarios con patrones y globs, o archive los archivos de registro anteriores. Si la supervisión de un gran número de archivos es un requisito, considere la posibilidad de aumentar los parámetros de host, como la CPU y la memoria RAM.
  • El agente puede realizar recopilaciones desde una directorios cifrados, pero solo si lo ejecuta el usuario que cifró el directorio.
  • El agente solo admite estructuras de directorio estáticas. Si se cambió el nombre de los directorios o se agregaron, debe reiniciar el agente para comenzar a supervisar estos directorios, siempre que la configuración abarque los directorios.

Requisitos previos

Inicie sesión en el equipo Windows donde instaló el agente de Windows de vRealize Log Insight e inicie el administrador de servicios para verificar que el servicio del agente de vRealize Log Insight esté instalado.

Procedimiento

  1. Desplácese hasta el directorio de datos del programa del agente de Windows de vRealize Log Insight.
    %ProgramData%\VMware\Log Insight Agent
  2. Abra el archivo liagent.ini en cualquier editor de texto.
  3. Busque la sección [servidor|<id_de_dest>] del archivo. Añada los parámetros de configuración y fije los valores para su entorno.
    [filelog|nombre_sección]
    directory=ruta_acceso_a_directorio_registro
    include=patrón_glob
    ...
    Parámetro Descripción
    [filelog|section_name] Un nombre único para la sección de configuración.
    directory=full-path-to-log-file La ruta de acceso completa al directorio del archivo de registro. Se admiten los patrones glob. Configuraciones de ejemplo:
    • Para recopilar de todos los subdirectorios del directorio D:\Logs\new_test_logs, utilice directory=D:\Logs\new_test_logs\*
    • Si sus subdirectorios tienen sus propios subdirectorios, utilice la siguiente configuración para supervisar todos los subdirectorios directory=D:\Logs\new_test_logs\*\*
    Nota: Para limitar el número de archivos y directorios, y evitar un alto consumo de recursos, no puede definir un patrón glob de directorio para los directorios de primer o segundo nivel, como: directory=c:/tmp/* o directory=c:\Logs\*. La ruta del directorio debe tener al menos dos niveles.

    Si define una ruta de acceso a un directorio que aún no existe, el agente recopilará los archivos de registro de ese directorio una vez que se cree el directorio y los archivos.

    Puede definir el mismo directorio en una o más secciones de configuración diferentes para reunir los registros varias veces desde el mismo archivo. Este proceso hace que sea posible aplicar distintas etiquetas y filtros al mismo origen de eventos.
    Nota: Si utiliza configuraciones idénticas para estas secciones, los eventos duplicados se muestran del lado del servidor.
    include=file_name; ... (Opcional) El nombre de un archivo o una máscara de archivo (patrón glob) desde el cual reunir los datos. Puede proporcionar los valores en una lista de valores separados con punto y coma. El valor predeterminado es *, lo cual significa que se incluyen todos los archivos. El parámetro distingue entre mayúsculas y minúsculas.

    Se puede utilizar una máscara de archivo (patrón global) con los archivos de grupo que sigan la misma convención de nomenclatura, así como con los que usen el mismo nombre de archivo. Por ejemplo, los nombres de archivo que incluyen espacios, como vRealize Ops Analytics.log y vRealize Ops Collector.log, se pueden escribir como vRealize?Ops?Analytics*.log o vRealize*.log. Las máscaras de archivo permiten especificar los nombres de archivo aceptables para la configuración del agente en los hosts Windows y Linux.

    De manera predeterminada, se excluyen de la recopilación los archivos .zip y .gz.

    Importante: Si está recopilando un archivo de registro rotado, use los parámetros include y exclude para especificar un patrón glob que coincida con el archivo principal y el archivo rotado. Si el patrón glob solo coincide con el archivo de registro principal, los agentes de vRealize Log Insight pueden perder eventos durante la rotación. Los agentes de vRealize Log Insight determinan automáticamente el orden correcto de los archivos rotados y envían eventos al servidor de vRealize Log Insight en el orden correcto. Por ejemplo, si el archivo de registro principal se denomina myapp.log y los registros rotados son myapp.log.1, myapp.log.2 y así sucesivamente, puede usar el siguiente patrón include:

    include= myapp.log;myapp.log.*

    exclude=regular_expression (Opcional) Un nombre de archivo o máscara de archivo (patrón glob) para excluir de la colección. Puede proporcionar los valores en una lista de valores separados con punto y coma. El valor predeterminado es un valor vacío, lo cual significa que no se excluye ningún archivo.
    event_marker=regular_expression (Opcional) Una expresión regular que denota el inicio de un evento en el archivo de registro. Si se omite, de manera predeterminada para a una nueva línea. Las expresiones introducidas deben usar la sintaxis de expresiones regulares de Perl (lenguaje práctico de extracción e informes).
    Nota: Los símbolos, por ejemplo las comillas ( " "), no se consideran como envoltorios para las expresiones regulares. Se consideran como parte del patrón.

    Siendo que el agente de vRealize Log Insight se optimiza para la recopilación en tiempo real, los mensajes del registro parcial que se escriben con una demora interna pueden dividirse en eventos múltiples. Si el anexado del archivo del registro se detiene durante más de 200 ms sin observarse un nuevo event_marker, el evento parcial se considera completo, analizado y entregado. Esta lógica de sincronización no es configurable y tiene prioridad sobre el ajuste de event_marker. Los adicionadores del archivo de registro deben alinear los eventos completos.

    enabled=yes|no (Opcional) Un parámetro para habilitar o deshabilitar la sección configurable. Los valores posibles son yes o no. El valor predeterminado es yes.
    charset=char-encoding-type (Opcional) La codificación de caracteres de los archivos de registro que supervisa el agente. Los valores posibles son:
    • UTF-8
    • UTF-16LE
    • UTF-16BE
    El valor predeterminado es UTF-8.
    tags={"nombre-de-etiqueta": "valor-de-etiqueta", ...}

    (Opcional) Un parámetro para añadir etiquetas personalizadas a los campos de eventos recopilados. Defina las etiquetas usando la anotación JSON. Los nombres de etiquetas pueden incluir letras, números y guiones bajos. Un nombre de etiqueta solo puede comenzar con una letra o un guion bajo y no puede tener más de 64 caracteres. Los nombres de las etiquetas no distinguen entre mayúsculas y minúsculas. Por ejemplo, si utiliza las etiquetas={"etiqueta_nombre1" : "etiqueta valor 1", "Etiqueta_Nombre1" : "etiqueta valor 2" }, Etiqueta_Nombre1 se ignora, por tratarse de una instancia duplicada. No es posible utilizar evento_tipo y la marca de tiempo como nombres de etiqueta. Los duplicados dentro de la misma declaración se ignoran.

    Si el destino es un servidor syslog, las etiquetas pueden anular el campo APP-NAME. Por ejemplo, etiquetas={"appname":"VROPS"}.

    exclude_fields (Opcional) Un parámetro para excluir de la recopilación a los campos individuales. Puede proporcionar los valores múltiples en una lista de valores separados con punto y coma o por coma. Por ejemplo,
    • exclude_fields=hostname; filepath
    • exclude_fields=type; size
    • exclude_fields=type, size
    raw_syslog=Yes|No Para los agentes que utilizan el protocolo syslog, esta opción permite al agente recopilar y enviar eventos syslog sin formato. El valor predeterminado es No, lo que significa que los eventos recopilados se transforman con los atributos de syslog especificados por el usuario. Habilite esta opción para recopilar eventos sin transformaciones syslog.

Ejemplo: Configuraciones

[filelog|vCenterMain]
directory=C:\ProgramData\VMware\VMware VirtualCenter\Logs
include=vpxd-*.log
exclude=vpxd-alert-*.log;vpxd-profiler-*.log
event_marker=^\d{4}-\d{2}-\d{2}[A-Z]\d{2}:\d{2}:\d{2}\.\d{3} 
[filelog|ApacheAccessLogs]
enabled=yes
directory=C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs
include=*.log
exclude=*_old.log
tags={"Provider" : "Apache"}
[filelog|MSSQL]
directory=C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Log
charset=UTF-16LE 
event_marker=^[^\s]