VMware Aria Operations for Logs propose deux ensembles de notifications à propos de la santé du système, les notifications générales, applicables à toutes les configurations de produit, et les notifications relatives aux clusters pour les déploiements basés sur un cluster.
Pour afficher les notifications système, développez le menu principal et accédez à Alertes > Alertes système. Grâce aux autorisations appropriées, vous pouvez activer ou désactiver les notifications. Pour plus d'informations, reportez-vous à la section Afficher et gérer les alertes dans Utilisation de VMware Aria Operations for Logs.
Les tableaux suivants répertorient et décrivent les notifications système dans VMware Aria Operations for Logs.
Notifications système générales
VMware Aria Operations for Logs génère des notifications à propos des notifications pouvant nécessiter l'intervention de l'administrateur, notamment en cas d'échec de l'archivage ou de retards dans la planification des alertes.
| Nom de la notification | Description |
|---|---|
| Vous ne pourrez bientôt plus rechercher les données les plus anciennes | VMware Aria Operations for Logs est censé démarrer la désactivation des anciennes données du stockage du dispositif virtuel en fonction de la taille prévue des données pouvant être recherchées, de l'espace de stockage et de l'état d'ingestion actuel. Si vous avez configuré l'archivage, les données ayant changé sont archivées ; sinon, elles sont supprimées. Pour résoudre ce problème, ajoutez un stockage ou ajustez le seuil des notifications de rétention. Pour plus d'informations, consultez Configurer VMware Aria Operations for Logs pour envoyer des notifications de santé. La notification est envoyée après chaque redémarrage du service VMware Aria Operations for Logs. |
| Durée de rétention du référentiel | Une période de rétention correspond à la durée pendant laquelle les données sont conservées sur le disque local de votre instance VMware Aria Operations for Logs. Une période de rétention est déterminée par le volume de données que le système peut contenir et le taux d'ingestion actuel. Par exemple, si vous recevez 10 Go/jour de données (après indexation) et que vous disposez de 300 Go d'espace, votre taux de rétention est de 30 jours. Lorsque votre limite de stockage est atteinte, les anciennes données sont supprimées pour laisser de l'espace aux données venant d'être ingérées. Cette notification vous indique à quel moment le volume de données pouvant être recherchées et que VMware Aria Operations for Logs peut stocker, en fonction des taux d'ingestion actuels, dépasse l'espace de stockage disponible sur le dispositif virtuel. Le stockage peut s'avérer insuffisant avant la période définie à l'aide du Seuil des notifications de rétention. Ajoutez un stockage ou ajustez le seuil des notifications de rétention. |
| Événements annulés | VMware Aria Operations for Logs n'a pas pu ingérer tous les messages entrants du journal.
Note : L'heure indiquée sur la ligne d'envoi dépend du client de messagerie et suit le fuseau horaire local, alors que le corps de texte de l'e-mail indique l'heure UTC.
|
| Compartiments d'index corrompus | Une partie de l'index sur disque est corrompue. ce qui indique en général de graves problèmes au niveau du système de stockage sous-jacent. La partie corrompue de l'index est exclue des requêtes de service. Un index corrompu a une incidence sur l'ingestion des nouvelles données. VMware Aria Operations for Logs vérifie l'intégrité de l'index après le démarrage du service. En cas de détection d'une corruption, VMware Aria Operations for Logs envoie une notification système comme suit :
|
| Disque insuffisant | L'espace disque alloué est insuffisant dans VMware Aria Operations for Logs. VMware Aria Operations for Logs a fort probablement rencontré un problème de stockage. |
| L'espace d'archivage va être plein | L'espace disque utilisé pour l'archivage des données VMware Aria Operations for Logs sur le serveur NFS sera bientôt épuisé. Si la quantité de données archivées que le serveur NFS peut contenir au taux d'ingestion actuel est inférieure à sept jours, une notification système est envoyée. Par exemple, si vous effectuez un archivage à un taux d'utilisation de disque de 708,9 Mo par jour et que vous disposez de 2 000 Mo d'espace, il vous reste une capacité d'environ trois jours, ce qui est inférieur au seuil. Dans ce cas, vous recevrez une notification indiquant que vous êtes en dessous de cette capacité. |
| Modification de l'espace disque total | La taille totale de la partition de stockage des données de VMware Aria Operations for Logs a diminué. Cette notification indique en général un problème grave du système de stockage sous-jacent. Lorsque VMware Aria Operations for Logs détecte cette condition, cette notification est envoyée comme suit :
|
| Archivages en attente | VMware Aria Operations for Logs ne peut pas archiver les données comme prévu. ce qui indique en général des problèmes au niveau du stockage NFS que vous avez configuré pour l'archivage des données. |
| Le volume de stockage d'enregistrement de journal alloué a atteint 75 % de la capacité maximale de stockage d'enregistrement de journal. | VMware Aria Operations for Logs est configuré pour garantir la conformité STIG, et le volume de stockage d'enregistrement de journal alloué atteint 75 % de la capacité de stockage d'enregistrement de journal maximale du référentiel.
Note : Cette notification est envoyée par nœud.
|
| La licence est sur le point d'expirer | La licence de VMware Aria Operations for Logs est sur le point d'expirer. |
| La licence a expiré | La licence de VMware Aria Operations for Logs a expiré. |
| Le certificat SSL est sur le point d'expirer | Le certificat SSL du cluster VMware Aria Operations for Logs expirera dans 30 jours. |
| Connexion au serveur AD impossible | VMware Aria Operations for Logs ne peut pas se connecter au serveur Active Directory configuré. |
| Impossible de récupérer l'adresse IP High Availability [adresse IP], car elle est déjà prise par une autre machine | Le cluster VMware Aria Operations for Logs n'a pas pu récupérer l'adresse IP configurée pour l'équilibrage de charge intégré (ILB). Cette notification se produit le plus souvent lorsqu'un autre hôte du même réseau détient l'adresse IP et que celle-ci ne peut donc pas être prise par le cluster. Vous pouvez résoudre ce conflit en libérant l'adresse IP de l'hôte qui la détient actuellement ou en configurant l'équilibrage de charge intégrée de VMware Aria Operations for Logs avec une adresse IP statique disponible sur le réseau. Lors de la modification de l'adresse IP de l'équilibrage de charge intégré, vous devez reconfigurer tous les clients pour envoyer les journaux à la nouvelle adresse IP ou à un nom de domaine complet/une URL dont la résolution correspond à cette adresse IP. Vous devez également annuler la configuration de chaque système vCenter Server intégré avec VMware Aria Operations for Logs, puis le reconfigurer à partir de la page Intégration vSphere. |
| L'adresse IP High Availability [adresse IP] n'est pas disponible en raison d'un trop grand nombre de pannes de nœuds | L'adresse IP configurée pour l'équilibrage de charge intégré (ILB) n'est pas disponible. Les clients qui tentent d'envoyer des journaux à un cluster VMware Aria Operations for Logs via l'adresse IP de l'équilibrage de charge intégré ou via un nom de domaine complet/une URL dont la résolution équivaut à cette adresse IP, verront cette adresse comme non disponible. Cette notification se produit le plus souvent lorsqu'une majorité des nœuds du cluster VMware Aria Operations for Logs sont défectueux, non disponibles ou inaccessibles à partir du nœud principal. Elle peut également se produire lorsque la synchronisation de l'heure NTP n'a pas été activée ou que les serveurs NTP configurés présentent entre eux un décalage horaire significatif. Vous pouvez confirmer que le problème persiste en essayant d'exécuter une commande ping (si elle est autorisée) sur une adresse IP pour vérifier son accessibilité. Pour résoudre ce problème, vérifiez l'intégrité et la disponibilité de la plupart de vos nœuds de clusters et activez la synchronisation de l'heure NTP sur des serveurs NTP précis. |
| Trop de migrations de l'adresse IP High Availability [votre adresse IP] entre nœuds VMware Aria Operations for Logs | L'adresse IP configurée pour l'équilibrage de charge intégré (ILB) a migré trop souvent au cours des 10 dernières minutes. Dans des conditions de fonctionnement normales, l'adresse IP se déplace rarement entre les nœuds de cluster VMware Aria Operations for Logs. Cependant, l'adresse IP peut se déplacer si le nœud propriétaire actuel redémarre ou passe en mode de maintenance. Il se peut également que la synchronisation de l'heure soit insuffisante entre des nœuds de clusters VMware Aria Operations for Logs. Elle est essentielle au bon fonctionnement des clusters. Dans ce dernier cas, vous pouvez corriger le problème en activant la synchronisation de l'heure NTP sur des serveurs NTP précis. |
| Erreur de certificat SSL | Une source Syslog a lancé une connexion à VMware Aria Operations for Logs via SSL, mais a brusquement mis fin à la connexion. Cette notification peut indiquer que la source Syslog n'a pas été en mesure de confirmer la validité du certificat SSL. Pour permettre à VMware Aria Operations for Logs d'accepter des messages syslog sur SSL, un certificat validé par le client est requis et les horloges des systèmes doivent être synchronisées. Le certificat SSL ou le service de temps du réseau peut présenter un problème. Vous pouvez valider que le certificat SSL est approuvé par votre source Syslog, reconfigurer la source pour ne pas utiliser SSL ou réinstaller le certificat SSL. Reportez-vous à la section Configurer les paramètres SSL de l'agent VMware Aria Operations for Logs et à la section Installer un certificat SSL personnalisé. |
| La collecte vCenter a échoué | VMware Aria Operations for Logs ne peut pas collecter les événements, tâches et alarmes de VMware vCenter. Pour rechercher l'erreur exacte à l'origine de l'échec de la collecte et pour vérifier si la collecte est en cours d'exécution, reportez-vous au fichier /var/log/vmware/loginsight/plugins/vsphere/li-vsphere.log. |
| Échec de la collecte d'événements du service vCenter Kubernetes | VMware Aria Operations for Logs ne peut pas collecter les événements, tâches et alarmes système de VMware vCenter Kubernetes. Pour rechercher l'erreur exacte à l'origine de l'échec de la collecte et pour vérifier si la collecte est en cours d'exécution, reportez-vous au fichier /var/log/vmware/loginsight/plugins/vsphere/li-vsphere.log. |
| Événements abandonnés par le redirecteur d'événements | Un redirecteur abandonne les événements en raison de problèmes de connexion ou de surcharge. Exemple : Operations for Logs Admin Alert: Event Forwarder Events Dropped This alert is about your Operations for Logs installation on https://<your_url> Event Forwarder Events Dropped triggered at 2016-08-02T18:41:06.972Z Operations for Logs just dropped 670 events for forwarder target 'Test', reason: Pending queue is full. |
| Requêtes d'alertes derrière la planification | VMware Aria Operations for Logs n'a pas pu exécuter une alerte définie par l'utilisateur à l'heure configurée. Le retard peut être dû à une ou plusieurs alertes définies par l'utilisateur inefficaces ou à une taille inadéquate du système pour la charge d'ingestion et de requête. |
| Alerte désactivée automatiquement | Si une alerte définie par l'utilisateur a été exécutée au moins 10 fois et que sa durée d'exécution moyenne est supérieure à une heure, l'alerte est considérée comme inefficace ; elle est alors désactivée pour éviter toute incidence sur d'autres alertes définies par l'utilisateur. |
| Requête d'alerte inefficace | Si une alerte définie par l'utilisateur met plus d'une heure à se terminer, elle est considérée comme étant inefficace. |
| Utilisateur créé ou utilisateur connecté pour la première fois | VMware Aria Operations for Logs est configuré pour garantir la conformité STIG et un utilisateur est créé ou un utilisateur Active Directory ou VMware Workspace ONE Access se connecte pour la première fois. |
Notifications système pour les clusters
VMware Aria Operations for Logs envoie des notifications concernant les modifications de topologie des clusters, notamment l'ajout de nouveaux membres au cluster ou les problèmes de communication temporaires des nœuds.
| Expéditeur | Nom de la notification | Description |
|---|---|---|
| Nœud principal | Un nouveau nœud travailleur nécessite une approbation | Un nœud worker envoie une demande pour rejoindre un cluster. Un utilisateur Admin doit approuver la demande ou la rejeter. |
| Nœud principal | Un nouveau nœud travailleur a été approuvé | Un utilisateur Admin a approuvé une demande d'appartenance d'un nœud worker souhaitant rejoindre un cluster VMware Aria Operations for Logs. |
| Nœud principal | Un nouveau nœud travailleur a été refusé | Un utilisateur Admin a rejeté une demande d'appartenance d'un nœud worker souhaitant rejoindre un cluster VMware Aria Operations for Logs. Si la demande a été refusée par erreur, un utilisateur Admin peut envoyer de nouveau la demande depuis le travailleur, puis l'approuver dans le nœud principal. |
| Nœud principal | Le nombre maximal de nœuds pris en charge a été dépassé à cause du nœud travailleur | Le nombre de nœuds worker du cluster VMware Aria Operations for Logs est supérieur au nombre maximal pris en charge en raison de la présence d'un nouveau nœud worker. |
| Nœud principal | Le nombre de nœuds autorisés a été dépassé et le nouveau nœud travailleur est refusé | Un utilisateur a tenté d'ajouter au cluster davantage de nœuds que le nombre maximal autorisé et l'ajout du nœud a été refusé. |
| Nœud principal | Nœud travailleur déconnecté | Un nœud worker précédemment connecté s'est déconnecté du cluster VMware Aria Operations for Logs. |
| Nœud principal | Nœud travailleur reconnecté | Un nœud worker s'est reconnecté au cluster VMware Aria Operations for Logs. |
| Nœud principal | Nœud worker révoqué par | Un utilisateur Admin a révoqué l'appartenance d'un nœud worker et ce dernier ne fait plus partie du cluster VMware Aria Operations for Logs. |
| Nœud principal | Nœud travailleurworker inconnu rejeté | Le nœud principal VMware Aria Operations for Logs a rejeté la demande d'un nœud travailleurworker, car il lui est inconnu. Si le nœud worker est valide et qu'il doit être ajouté au cluster, connectez-vous au nœud worker, supprimez son fichier de jeton et la configuration utilisateur dans /storage/core/loginsight/config/, puis exécutez restart loginsight service sur le nœud worker. |
| Nœud principal | Le nœud travailleur worker est passé en mode de maintenance | Un nœud worker est passé en mode de maintenance. Pour pouvoir modifier la configuration et pour que le nœud worker puisse servir des requêtes, un utilisateur Admin doit désactiver ce mode sur le nœud. |
| Nœud principal | Le nœud travailleur worker est revenu en mode service | Un nœud worker est sorti du mode maintenance et est revenu en mode service. |
| Nœud travailleurworker | Le nœud principal a échoué ou s'est déconnecté du nœud travailleurworker | Le nœud travailleur worker qui envoie la notification n'est pas en mesure de contacter le nœud principal de VMware Aria Operations for Logs. Cette notification peut indiquer l'échec du nœud principal et peut nécessiter un redémarrage. En cas d'échec du nœud principal, le cluster ne peut pas être configuré et les requêtes ne peuvent pas être envoyées jusqu'à ce que le nœud soit de nouveau en ligne. Les nœuds travailleursworker continuent cependant à ingérer des messages.
Note : Il peut vous arriver de recevoir plusieurs notifications de ce genre, car plusieurs nœuds travailleurs worker peuvent détecter la panne du nœud principal et envoyer chacun une notification.
|
| Nœud travailleurworker | Nœud principal connecté au nœud workertravailleur | Le nœud travailleur worker qui envoie la notification est reconnecté au nœud principal de VMware Aria Operations for Logs. |
