Vous pouvez conserver les données du journal dans une partition avec un filtre et une période de rétention. Les partitions d'index vous permettent de définir différentes périodes de rétention pour différents types de journaux. Par exemple, les journaux contenant des informations sensibles peuvent nécessiter une période de rétention courte, comme cinq jours. Vous pouvez également archiver les données d'une partition d'index sur un montage NFS afin de conserver les journaux pendant une période prolongée.

Les données de journal qui correspondent aux critères de filtre d'une partition d'index sont stockées dans la partition pour la période de rétention spécifiée. Si vous activez l'archivage, les données sont transférées vers un stockage NFS après la période de rétention. Les journaux qui ne correspondent aux critères de filtre dans aucune des partitions d'index définies sont stockés dans la partition par défaut. Cette partition est toujours activée et stocke les données pendant une durée illimitée. Vous pouvez modifier la période de rétention et activer l'archivage pour la partition par défaut.
Note : Vous pouvez créer un maximum de cinq partitions d'index.

Conditions préalables

  • Si vous souhaitez activer l'archivage pour une partition d'index, vérifiez que vous avez accès à une partition NFS qui répond aux exigences suivantes.
    • La partition NFS doit permettre aux comptes invités de réaliser des opérations de lecture et d'écriture.
    • Le montage ne doit nécessiter aucune authentification.
    • Le serveur NFS doit prendre en charge NFS v3 ou v4.
    • Si vous utilisez un serveur Windows NFS, autorisez un accès utilisateurs UNIX non mappé (par UID/GID).
    Pour plus d'informations sur l'archivage, reportez-vous à la section Archivage des données.
  • Vérifiez que vous êtes connecté à l'interface utilisateur Web de vRealize Log Insight en tant qu'utilisateur super administrateur ou en tant qu'utilisateur associé à un rôle disposant des autorisations appropriées. Pour plus d'informations, reportez-vous à la section Créer et modifier des rôles. Le format de l'URL de l'interface utilisateur Web est https://log-insight-host, où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel vRealize Log Insight.

Procédure

  1. Développez le menu principal, cliquez sur Gestion de journaux, puis sur Partitions d'index.
  2. Pour afficher les détails de la partition par défaut, tels que la période de rétention et l'emplacement de l'archivage, cliquez sur l'icône de modification en regard de la partition intitulée Partition par défaut. Pour modifier les détails de la partition, cliquez sur l'icône de modification et suivez les étapes 7 à 9.
  3. Pour créer une partition, cliquez sur Nouvelle partition et suivez les étapes 5 à 9.
  4. Dans la zone de texte Nom de la partition, entrez un nom pour la partition d'index.
  5. Ajoutez un ou plusieurs filtres pour affiner les journaux que vous souhaitez stocker dans la partition d'index. Vous pouvez éventuellement cliquer sur Exécuter sur la page Explorer les journaux pour afficher un aperçu des résultats filtrés des journaux.
  6. Dans la zone de texte Période de rétention, entrez le nombre de jours pendant lesquels vous souhaitez conserver les journaux dans la partition d'index. Entrez 0 pour une durée de rétention illimitée.
  7. Cliquez sur le bouton bascule Emplacement d'archivage pour archiver les données de journaux dans la partition. Dans la zone de texte, entrez l'emplacement NFS dans lequel vous souhaitez stocker les données archivées, au format nfs://servername<:port-number>/exportname. Le numéro de port par défaut est 2049.
    Cliquez sur Tester pour vérifier la connexion avec le stockage NFS.
  8. Cliquez sur Enregistrer.
    Note :
    • La partition d'index est activée par défaut. Pour la désactiver, utilisez le bouton bascule sur la partition dans l'onglet Partitions d'index.
    • La création, la modification et la suppression de partitions d'index nécessitent le redémarrage de vRealize Log Insight sur tous les nœuds du cluster.

      Après le redémarrage de vRealize Log Insight, vérifiez que les flux Syslog provenant de ESXi continuent à arriver dans vRealize Log Insight.

Résultats

La partition d'index est répertoriée dans l'onglet Partitions d'index avec des informations indiquant si la partition est activée, les critères de filtre, la période de rétention, le stockage utilisé et l'heure d'ingestion du premier journal. Vous pouvez afficher ou modifier les détails de la partition en cliquant sur l'icône de modification en regard du nom de la partition.