Vous pouvez afficher les alertes système et définies par l'utilisateur et vérifier si leurs notifications sont activées. Vous pouvez activer ou désactiver plusieurs alertes système et définies par l'utilisateur, et configurer des notifications par e-mail et Webhook pour plusieurs alertes définies par l'utilisateur. Vous pouvez également afficher l'historique des alertes définies par l'utilisateur.

Conditions préalables

  • Vérifiez que vous êtes connecté à l'interface utilisateur Web de VMware Aria Operations for Logs, pour laquelle le format de l'URL est https://operations_for_logs-host. Dans ce cas, operations_for_logs-host est l'adresse IP ou le nom d'hôte du dispositif virtuel VMware Aria Operations for Logs.
  • Vérifiez que votre compte d'utilisateur est associé à un rôle disposant des autorisations appropriées pour les alertes.

    Si un rôle est attribué à votre compte d'utilisateur avec un accès en affichage aux alertes (par exemple, rôle d'utilisateur), vous pouvez afficher et gérer toutes les alertes de votre organisation.

    Si un rôle est attribué à votre compte d'utilisateur avec un accès en modification ou complet aux alertes (par exemple, rôle de super administrateur) :
    • Vous pouvez activer ou désactiver toutes les alertes système de votre organisation.
    • Vous pouvez créer, modifier et supprimer toutes les alertes définies par l'utilisateur dans votre organisation.
    Pour plus d'informations sur les rôles, reportez-vous à la section Créer et modifier des rôles dans Administration de VMware Aria Operations for Logs.

Procédure

  • Pour afficher les alertes système, accédez à Alertes > Alertes système.
    Une liste d'alertes système s'affiche avec des informations sur leur état et fréquence. Vous pouvez activer ou désactiver des alertes individuelles à l'aide du bouton bascule associé à chaque alerte. Pour activer ou désactiver plusieurs alertes, sélectionnez les alertes, puis Actions > Activer ou Actions > Désactiver.
    Info-bulle : Pour sélectionner toutes les alertes, cochez la case dans l'en-tête.
  • Pour afficher les alertes définies par l'utilisateur, accédez à Alertes > Définition d'alertes.
    Une liste d'alertes définies par l'utilisateur s'affiche avec des informations sur leur état, propriétaire, origine et cible. Pour les alertes du pack de contenu, le nom de ce dernier est répertorié dans la colonne Origine. Vous pouvez effectuer les tâches suivantes :
    • Rechercher z des alertes à l'aide de la recherche de texte.
    • Filtrez les alertes par origine ou par type d'alerte, puis cliquez sur Appliquer.

      Lorsque vous filtrez les alertes par origine, vous pouvez sélectionner des alertes générales définies par l'utilisateur ou des alertes pour des packs de contenu spécifiques.

      Lorsque vous filtrez les alertes par type d'alerte, vous pouvez sélectionner des alertes en temps réel basées sur chaque correspondance. Vous pouvez également sélectionner des alertes basées sur le nombre, c'est-à-dire, le nombre total d'événements, le nombre unique d'un champ ou une opération d'agrégation sur un champ.

    • Trier les alertes par détails de l'alerte, état, propriétaire, etc.
    • Ajoutez ou supprimez des colonnes pour contrôler les informations affichées sur l'alerte. Cliquez sur l'icône Afficher ou masquer les colonnes dans le coin inférieur gauche et sélectionnez ou désélectionnez les colonnes en fonction de vos besoins.
      Info-bulle :
      • La valeur dans la colonne Propriétaire est le nom de l'utilisateur qui définit l'alerte. Pour les alertes de packs de contenu, cette valeur est vide ou Système.

        Pour les alertes créées dans VMware Aria Operations for Logs 8.4 ou une version antérieure, la valeur dans la colonne Propriétaire est un utilisateur disposant du rôle de super administrateur.

      • La valeur dans la colonne Dernier résultat reste jamais jusqu'à ce que le premier résultat s'affiche.
    • Activez ou désactivez des alertes individuelles à l'aide du bouton bascule associé à chaque alerte.
    • Activez ou désactivez plusieurs alertes en procédant comme suit.
      • Pour activer plusieurs alertes, sélectionnez-les, puis sélectionnez Actions > Activer. Dans la boîte de dialogue Activer les alertes, vous pouvez configurer les notifications par e-mail ou Webhook des alertes sélectionnées et cliquer sur Activer.
        Pour envoyer des notifications par e-mail, entrez les adresses e-mail des destinataires séparées par des virgules dans la zone de texte E-mails.
        Note : Assurez-vous que SMTP est configuré pour activer les notifications par e-mail. Pour plus d'informations, reportez-vous à la section Configurer le serveur SMTP pour Log Insight.

        Pour envoyer des notifications Webhook, sélectionnez les Webhooks dans le menu déroulant Webhook.

      • Pour désactiver plusieurs alertes, sélectionnez-les, puis sélectionnez Actions > Désactiver.
      Info-bulle : Pour sélectionner toutes les alertes, cochez la case dans l'en-tête.
    • Afficher l'historique d'une alerte. Pour afficher l'historique d'une alerte, cliquez sur l'icône à trois points en regard de l'alerte, puis cliquez sur Historique.

      Vous pouvez consulter les instances associées à l'alerte, ainsi que la date et l'heure de chaque instance d'alerte dans la boîte de dialogue Historique d'alerte. Vous pouvez développer chaque instance d'alerte pour obtenir des informations supplémentaires, puis cliquer sur l'icône de lien pour afficher l'instance sur la page Explorer les journaux.

    • Afficherz les résultats du journal pour la requête associée à une alerte. Cliquez sur l'alerte, puis sur Exécuter la requête pour ouvrir la requête dans Explorer les journaux.
    • Modifier une alerte.
    • Supprimez une ou plusieurs alertes. Pour supprimer une alerte, cliquez sur l'icône à trois points en regard de l'alerte, puis cliquez sur Supprimer. Pour supprimer plusieurs alertes, sélectionnez-les, puis sélectionnez Actions > Supprimer.
  • Pour afficher les alertes de packs de contenu, accédez à la page Packs de contenu. Dans le volet de gauche, cliquez sur un pack de contenu, puis sur l'onglet Alertes.
    Si un rôle est attribué à votre compte d'utilisateur avec l'accès complet aux packs de contenu et aux alertes, vous pouvez activer une alerte de pack de contenu et modifier ses notifications sur la page Alertes. Toutefois, vous ne pouvez pas mettre à jour l'alerte du pack de contenu, ni la supprimer.

Exemple : Activer une alerte à partir du pack de contenu VMware - vSphere

Le pack de contenu VMware vSphere contient plusieurs requêtes d'alerte prédéfinies, notamment l'alerte ESXi : a arrêté la journalisation.

L'activation de l'alerte ESXi : a arrêté la journalisation est recommandée, car certaines versions d'hôtes ESXi peuvent arrêter l'envoi de données de Syslog lorsque vous redémarrez VMware Aria Operations for Logs. Cette alerte surveille l'événement vCenter Server esx.problem.vmsyslogd.remote.failure pour détecter si un hôte ESXi a arrêté d'envoyer des flux syslog.

  1. Accédez à Alertes > Définition d'alertes.
  2. Recherchez l'alerte de pack de contenu VMware - vSphere *** CRITIQUE *** ESXi : a arrêté la journalisation et cliquez sur le nom de l'alerte.
  3. Cliquez sur l'icône Modifier dans le coin supérieur droit.
  4. Activez les notifications par e-mail, les notifications Webhook ou les événements de notification de VMware Aria Operations.
  5. Cliquez sur Activer.

Pour détecter uniquement les hôtes ESXi qui arrêtent d'envoyer des flux à votre instance de VMware Aria Operations for Logs, vous pouvez ajouter le filtre suivant à votre requête d'alerte : vc_remote_host (VMware - vSphere) contient <operations_for_logs-hostname> et enregistrer la nouvelle requête dans vos alertes.

Pour plus de détails sur les problèmes et solutions Syslog, consultez l'article de la base de connaissances Un hôte VMware ESXi 5.x arrête d'envoyer des journaux Syslog à un serveur distant (2003127) à l'adresse https://kb.vmware.com/kb/2003127.