Comprender cómo vRealize Log Insight procesa mensajes y eventos resulta clave para un uso eficiente de vRealize Log Insight.

El ciclo de vida de un evento o mensaje de registro tiene varias etapas, incluyendo lectura, análisis, consumo, indexación, alertas, aplicación de consulta, archivado y eliminación.

Los mensajes y eventos van pasando por las siguientes etapas.

  1. Se genera en un dispositivo (fuera de vRealize Log Insight).
  2. Se selecciona y se envía a vRealize Log Insight siguiendo uno de estos procedimientos:
    • Con un agente de vRealize Log Insight que usa syslog o API de consumo
    • A través de un agente de terceros, como rsyslog, syslog-ng o log4j que usa syslog
    • Personalizando la escritura de API de consumo (por ejemplo, log4j.appender)
    • Personalizando la escritura de syslog (por ejemplo, log4j.appender)
  3. vRealize Log Insight recibe el evento.
    • Si utiliza el equilibrador de carga integrado (ILB), el evento se envía a un nodo único que se encarga de procesarlo.
    • Si se rechaza el evento, el cliente maneja los rechazos con eliminaciones UDP, TCP con configuración de protocolos o CFAPI con una cola respaldada en disco.
    • Si se acepta el evento, se notifica al cliente.
  4. El evento se envía a través de la canalización del consumo de vRealize Log Insight, en el que se producen los siguientes pasos:
    • Se crea un índice de palabras clave o se actualiza el existente. El índice se almacena en un formato del fabricante en un disco local.
    • Se aplica el aprendizaje automático a los eventos del clúster.
    • El evento se almacena en un formato del fabricante comprimido en el disco local en un depósito.
  5. Se consulta el evento.
    • Se buscan coincidencias entre el índice de palabras clave y consultas globales y de palabras clave.
    • Se buscan coincidencias de Regex con eventos comprimidos.
  6. El evento se mueve a un depósito y se archiva.
    • Un depósito se sella y archiva cuando llega a 0,5 GB.
  7. Se elimina el evento.
    • Los depósitos se eliminan en orden FIFO.

Más información

Para obtener más información, consulte el vídeo de las publicaciones técnicas de VMware sobre