Puede configurar el agente de Linux de vRealize Log Insight para que recopile eventos de registro desde uno o más archivos de registro.

De forma predeterminada, el agente de Linux de vRealize Log Insight recopila los archivos ocultos creados por aplicaciones o editores. Los nombres de archivos ocultos empiezan por punto. Puede evitar que el agente de Linux de vRealize Log Insight recopile archivos ocultos agregando un parámetro de exclusión exclude=.*.

Los nombres de campos están restringidos. Los siguientes nombres están reservados y no se pueden utilizar como nombres de campo.

  • event_type
  • hostname
  • source
  • text

Puede especificar hasta tres destinos para la información del agente y filtrar la información antes de enviarla. Consulte Reenviar registros desde un agente de vRealize Log Insight

Nota: Supervisar un gran número de archivos, como mil o más, da lugar a un mayor uso de recursos por parte del agente de vRealize Log Insight y tiene un impacto sobre el rendimiento general de la máquina host. Para evitar esto, configure el agente para supervisar solo los archivos necesarios con patrones y globs, o archive los archivos de registro anteriores. Si la supervisión de un gran número de archivos es un requisito, considere la posibilidad de aumentar los parámetros de host, como la CPU y la memoria RAM.

Requisitos previos

  • Inicie sesión como raíz o use sudo para ejecutar comandos de la consola.
  • Compruebe que el agente de Linux de vRealize Log Insight esté instalado y en ejecución. Inicie sesión en el equipo Linux en el que instaló el agente de Linux de vRealize Log Insight, abra una consola y ejecute pgrep liagent.

Procedimiento

  1. Abra el archivo /var/lib/loginsight-agent/liagent.ini en cualquier editor de texto.
  2. Busque la sección [servidor|<id_de_dest>] del archivo. Añada los parámetros de configuración y fije los valores para su entorno. 
    [filelog|nombre_sección]
directory=ruta_acceso_a_directorio_registro
include=patrón_glob
...
    Parámetro Descripción
    [filelog|section_name] Un nombre único para la sección de configuración.
    directory=full-path-to-log-file La ruta de acceso completa al directorio del archivo de registro. Se admiten los patrones glob. Configuraciones de ejemplo:
    • Para recopilar de todos los subdirectorios del directorio D:\Logs\new_test_logs, utilice directory=D:\Logs\new_test_logs\*
    • Si sus subdirectorios tienen sus propios subdirectorios, utilice la siguiente configuración para supervisar todos los subdirectorios directory=D:\Logs\new_test_logs\*\*
    Nota: Para limitar el número de archivos y directorios, y evitar un alto consumo de recursos, no puede definir un patrón glob de directorio para los directorios de primer o segundo nivel, como: directory=c:/tmp/* o directory=c:\Logs\*. La ruta del directorio debe tener al menos dos niveles.

    Si define una ruta de acceso a un directorio que aún no existe, el agente recopilará los archivos de registro de ese directorio una vez que se cree el directorio y los archivos.

    Puede definir el mismo directorio en una o más secciones de configuración diferentes para reunir los registros varias veces desde el mismo archivo. Este proceso hace que sea posible aplicar distintas etiquetas y filtros al mismo origen de eventos.
    Nota: Si utiliza configuraciones idénticas para estas secciones, los eventos duplicados se muestran del lado del servidor.
    include=file_name; ... (Opcional) El nombre de un archivo o una máscara de archivo (patrón glob) desde el cual reunir los datos. Puede proporcionar los valores en una lista de valores separados con punto y coma. El valor predeterminado es *, lo cual significa que se incluyen todos los archivos. El parámetro distingue entre mayúsculas y minúsculas.

    Se puede utilizar una máscara de archivo (patrón global) con los archivos de grupo que sigan la misma convención de nomenclatura, así como con los que usen el mismo nombre de archivo. Por ejemplo, los nombres de archivo que incluyen espacios, como vRealize Ops Analytics.log y vRealize Ops Collector.log, se pueden escribir como vRealize?Ops?Analytics*.log o vRealize*.log. Las máscaras de archivo permiten especificar los nombres de archivo aceptables para la configuración del agente en los hosts Windows y Linux.

    De manera predeterminada, se excluyen de la recopilación los archivos .zip y .gz.

    Importante: Si está recopilando un archivo de registro rotado, use los parámetros include y exclude para especificar un patrón glob que coincida con el archivo principal y el archivo rotado. Si el patrón glob solo coincide con el archivo de registro principal, los agentes de vRealize Log Insight pueden perder eventos durante la rotación. Los agentes de vRealize Log Insight determinan automáticamente el orden correcto de los archivos rotados y envían eventos al servidor de vRealize Log Insight en el orden correcto. Por ejemplo, si el archivo de registro principal se denomina myapp.log y los registros rotados son myapp.log.1, myapp.log.2 y así sucesivamente, puede usar el siguiente patrón include:

    include= myapp.log;myapp.log.*

    exclude=regular_expression (Opcional) Un nombre de archivo o máscara de archivo (patrón glob) para excluir de la colección. Puede proporcionar los valores en una lista de valores separados con punto y coma. El valor predeterminado es un valor vacío, lo cual significa que no se excluye ningún archivo.
    event_marker=regular_expression (Opcional) Una expresión regular que denota el inicio de un evento en el archivo de registro. Si se omite, de manera predeterminada para a una nueva línea. Las expresiones introducidas deben usar la sintaxis de expresiones regulares de Perl (lenguaje práctico de extracción e informes).
    Nota: Los símbolos, por ejemplo las comillas ( " "), no se consideran como envoltorios para las expresiones regulares. Se consideran como parte del patrón.

    Siendo que el agente de vRealize Log Insight se optimiza para la recopilación en tiempo real, los mensajes del registro parcial que se escriben con una demora interna pueden dividirse en eventos múltiples. Si el anexado del archivo del registro se detiene durante más de 200 ms sin observarse un nuevo event_marker, el evento parcial se considera completo, analizado y entregado. Esta lógica de sincronización no es configurable y tiene prioridad sobre el ajuste de event_marker. Los adicionadores del archivo de registro deben alinear los eventos completos.

    enabled=yes|no (Opcional) Un parámetro para habilitar o deshabilitar la sección configurable. Los valores posibles son yes o no. El valor predeterminado es yes.
    charset=char-encoding-type (Opcional) La codificación de caracteres de los archivos de registro que supervisa el agente. Los valores posibles son:
    • UTF-8
    • UTF-16LE
    • UTF-16BE
    El valor predeterminado es UTF-8.
    tags={"nombre-de-etiqueta": "valor-de-etiqueta", ...}

    (Opcional) Un parámetro para añadir etiquetas personalizadas a los campos de eventos recopilados. Defina las etiquetas usando la anotación JSON. Los nombres de etiquetas pueden incluir letras, números y guiones bajos. Un nombre de etiqueta solo puede comenzar con una letra o un guion bajo y no puede tener más de 64 caracteres. Los nombres de las etiquetas no distinguen entre mayúsculas y minúsculas. Por ejemplo, si utiliza las etiquetas={"etiqueta_nombre1" : "etiqueta valor 1", "Etiqueta_Nombre1" : "etiqueta valor 2" }, Etiqueta_Nombre1 se ignora, por tratarse de una instancia duplicada. No es posible utilizar evento_tipo y la marca de tiempo como nombres de etiqueta. Los duplicados dentro de la misma declaración se ignoran.

    Si el destino es un servidor syslog, las etiquetas pueden anular el campo APP-NAME. Por ejemplo, etiquetas={"appname":"VROPS"}.

    exclude_fields (Opcional) Un parámetro para excluir de la recopilación a los campos individuales. Puede proporcionar los valores múltiples en una lista de valores separados con punto y coma o por coma. Por ejemplo,
    • exclude_fields=hostname; filepath
    • exclude_fields=type; size
    • exclude_fields=type, size
    raw_syslog=Yes|No Para los agentes que utilizan el protocolo syslog, esta opción permite al agente recopilar y enviar eventos syslog sin formato. El valor predeterminado es No, lo que significa que los eventos recopilados se transforman con los atributos de syslog especificados por el usuario. Habilite esta opción para recopilar eventos sin transformaciones syslog.
  3. Guarde y cierre el archivo liagent.ini.

Ejemplo: Configuraciones

[filelog|messages]
directory=/var/log
include=messages;messages.?

[filelog|syslog]
directory=/var/log
include=syslog;syslog.?

[filelog|Apache]
directory=/var/log/apache2
include=*