Il est impératif de comprendre la manière dont VMware Aria Operations for Logs traite les messages et les événements pour utiliser VMware Aria Operations for Logs efficacement.

Le cycle de vie d'un message de journal ou d'un événement comporte plusieurs étapes, notamment la lecture, l'analyse, l'ingestion, l'indexation, l'émission d'alertes, l'application de requête, l'archivage et la suppression.

Les événements et les messages passent par les étapes suivantes.

  1. Il est généré sur un périphérique (à l'extérieur de VMware Aria Operations for Logs).
  2. Il est prélevé et envoyé à VMware Aria Operations for Logs de l'une des manières suivantes :
    • Par un agent VMware Aria Operations for Logs utilisant l'API Ingestion ou Syslog
    • Via un agent tiers tel que rsyslog, syslog-ng ou log4j utilisant Syslog
    • Par l'écriture personnalisée dans l'API Ingestion (par exemple log4j appender)
    • Par l'écriture personnalisée dans Syslog (par exemple log4j appender)
  3. VMware Aria Operations for Logs reçoit l'événement.
    • Si vous utilisez l'équilibrage de charge intégré, l'événement est dirigé vers un nœud unique chargé de le traiter.
    • Si l'événement est refusé, le client traite les refus avec des abandons UDP, TCP avec des paramètres de protocole ou CFAPI avec une file d'attente sauvegardée sur disque.
    • Si l'événement est accepté, le client en est informé.
  4. L'événement est transmis par le pipeline d'ingestion de VMware Aria Operations for Logs, à partir duquel les étapes suivantes sont exécutées :
    • Un index de mots clés est créé ou mis à jour. L'index est stocké dans un format propriétaire sur un disque local.
    • L'apprentissage automatique est appliqué aux événements de cluster.
    • L'événement est stocké dans un format propriétaire compressé sur le disque local dans un compartiment.
  5. L'événement est interrogé.
    • Les requêtes de mots clés et de globs sont comparées à l'index de mots clés.
    • Regex est comparé à des événements compressés.
  6. L'événement est déplacé vers un compartiment et archivé.
    • Un compartiment est scellé et archivé lorsqu'il atteint 0,5 Go.
  7. L'événement est supprimé.
    • Les compartiments sont supprimés selon la règle du premier entré, premier sorti.

Pour en savoir plus

Pour plus d'informations, reportez-vous à la vidéo VMware Tech Pubs relative