VMware Aria Operations for Logs regroupe un grand nombre d'événements individuels en un plus petit nombre de types d'événements généraux. VMware Aria Operations for Logs utilise l'apprentissage automatique pour regrouper des événements semblables, chaque groupe affichant le nombre approximatif d'événements qu'il contient. Le regroupement d'événements permet d'identifier les événements ayant un grand nombre ou un petit nombre de communications, ce qui est essentiel pour le dépannage.
L'onglet Types d'événements, sous la barre de recherche de la page Explorer les journaux, fournit une vue agrégée des événements pour l'intervalle de temps spécifié pour la requête. Un événement d'un groupe est sélectionné en tant qu'événement représentatif. Vous pouvez cliquer sur le lien Développer sous chaque événement représentatif pour afficher les événements du groupe.
Le regroupement des événements permet d'attribuer un type d'événement à chaque événement. Un champ event_type approprié est créé, et vous pouvez l'utiliser dans les requêtes standard.
VMware Aria Operations for Logs ne documente pas le mécanisme exact de regroupement des événements. Il tente de détecter automatiquement les groupes d'événements semblables en fonction du nombre de parties communes dont disposent ces événements. Par exemple, considérons les événements suivants :
[2019-05-20 06:41:24.291+0000] ["SearchWorker-thread-12999"/10.113.164.150 INFO] [com.company.product.analytics.distributed.LogSearchWorkerService] [Worker fully completed query (token=5f6e5e1faf93e4ce) in 11 msec][2019-05-20 06:41:24.284+0000] ["SearchWorker-thread-11961"/10.113.164.167 INFO] [com.company.product.analytics.distributed.SearchWorkerService] [Worker fully completed query (token=3b247b2ba6057c47) in 24 msec]
Ces événements ont huit parties communes : horodatage, nom de thread, adresse IP de l'hôte, niveau de journalisation, nom de la classe, texte du message, numéro de jeton et durée.
Considérons maintenant les événements suivants :
[2019-05-20 06:41:24.291+0000] ["LogSearchWorker-thread-12999"/10.113.164.150 INFO] [com.vmware.loginsight.analytics.distributed.LogSearchWorkerService] [Worker finished search (wait=59500 token=5f6e5e1faf93e4ce) in 12 msec][2019-05-20 06:41:20.136+0000] ["AliasStudentStudyPool-thread-1"/192.168.110.24 INFO] [com.vmware.loginsight.analytics.alias.AliasStudent] [looking for alias due to rule DatastoreFromVmFileSystem]
Ces événements ont uniquement trois parties communes : horodatage, adresse IP de l'hôte et niveau de journalisation.
Outre le regroupement d'événements, VMware Aria Operations for Logs identifie des champs utiles dans chaque événement du groupe, appelés champs intelligents. Chaque champ intelligent s'affiche dans l'événement représentatif sous la forme d'un lien hypertexte avec une icône de menu déroulant à côté de celui-ci. Vous pouvez cliquer sur l'icône pour afficher un histogramme des valeurs du champ ou pour définir un champ extrait basé sur le champ intelligent.
