Vous pouvez définir une alerte dans vRealize Log Insight et envoyer des notifications par e-mail ou Webhook, ou déclencher des événements de notification dans vRealize Operations si le nombre d'événements correspondant à la requête d'alerte dépasse les seuils que vous avez définis.

Conditions préalables

  • Vérifiez que vous êtes connecté à l'interface utilisateur Web de vRealize Log Insight, pour laquelle le format de l'URL est https://log_insight-host. Dans ce cas, log_insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel vRealize Log Insight.
  • Vérifiez que votre compte d'utilisateur est associé à un rôle disposant des autorisations appropriées pour les alertes.

    Si un rôle est attribué à votre compte d'utilisateur avec un accès en affichage aux alertes (par exemple, rôle d'utilisateur), vous pouvez afficher et gérer toutes les alertes de votre organisation.

    Si un rôle est attribué à votre compte d'utilisateur avec un accès en modification ou complet aux alertes (par exemple, rôle de super administrateur) :
    • Vous pouvez activer ou désactiver toutes les alertes système de votre organisation.
    • Vous pouvez créer, modifier et supprimer toutes les alertes définies par l'utilisateur dans votre organisation.
    Pour plus d'informations sur les rôles, reportez-vous à la section Créer et modifier des rôles dans Administration de vRealize Log Insight.

Procédure

  1. Développez le menu principal et accédez à Alertes > Définition d'alertes.
  2. Cliquez sur Créer nouveau.
    Info-bulle : Vous pouvez également accéder à la page Explorer les journaux et créer une alerte basée sur une requête. Entrez une requête, et en regard du bouton Rechercher, cliquez sur "" et sélectionnez Créer une alerte à partir d'une requête.
  3. Entrez un nom pour l'alerte.
    Vous pouvez personnaliser le nom de l'alerte en incluant un champ au format ${field name }. Par exemple, vous pouvez entrer le nom de l'alerte sous la forme Alert for ${hostname} VPXA Logs. En supposant qu'il existe deux noms d'hôtes et que vous avez configuré des notifications par e-mail pour l'alerte, le sujet de l'e-mail ressemble à ceci :
    Alert for "hostname loginsight-01.eng.vmware.com and 1 more" VPXA Logs
    Vous pouvez utiliser d'autres champs statiques dans la description, tels que event_type, source, filepath, etc. Vous pouvez également utiliser des champs extraits.
    Note :
    • Vous ne pouvez ajouter qu'un seul champ statique ou extrait au nom de l'alerte.
    • Si vous utilisez un champ extrait dans le nom de l'alerte, il doit faire partie de la requête d'alerte. Si la condition de l'alerte est « Grouper par », le champ extrait doit également faire partie de la condition « Grouper par ».
    • Si vous envoyez des notifications à vRealize Operations, un événement de notification est envoyé pour chaque champ. Par exemple, si votre nom d'alerte contient ${hostname} et qu'il existe cinq noms d'hôtes, cinq événements de notification sont envoyés, un pour chaque nom d'hôte.
  4. Entrez une brève description significative de l'événement qui déclenche l'alerte.
    Vous pouvez personnaliser la description de l'alerte en incluant un ou plusieurs champs au format ${field name }. Par exemple, vous pouvez entrer la description de l'alerte telle que VPXA logs were generated for ${hostname}. En supposant qu'il existe deux noms d'hôtes et que vous avez configuré des notifications par e-mail pour l'alerte, l'e-mail répertorie des exemples de journaux, puis affiche les informations suivantes :
    Additional notes for this alert:
    VPXA logs were generated for
    hostname
    loginsight-01.eng.vmware.com
    loginsight-02.eng.vmware.com
    Vous pouvez utiliser d'autres champs statiques dans la description, tels que event_type, source, filepath, etc. Vous pouvez également utiliser des champs extraits.
    Note :
    • Vous ne pouvez utiliser qu'un seul champ statique ou extrait dans la description de l'alerte.
    • Si vous utilisez un champ extrait dans le nom de l'alerte, il doit faire partie de la requête d'alerte. Si la condition de l'alerte est « Grouper par », le champ extrait doit également faire partie de la condition « Grouper par ».
  5. Entrez la requête sur laquelle l'alerte est basée.
  6. Entrez la condition de déclenchement de l'alerte. Vous pouvez sélectionner une période et regrouper les résultats de la requête par champs statiques ou extraits.
    Condition de déclenchement Description
    À chaque correspondance
    Note : Vous pouvez définir cette condition de déclenchement lorsque vous sélectionnez En temps réel dans le menu déroulant Période.

    La requête d'alerte s'exécute automatiquement toutes les minutes. Une notification est déclenchée lorsqu'au moins un événement au cours de la dernière minute correspond à la requête.

    Nombre total d'événements

    Une notification est déclenchée lorsque plus ou moins de X événements correspondants se produisent dans la période que vous sélectionnez dans le menu déroulant.

    Si ce type d'alerte est déclenché, il est répété pendant la durée de sa période pour empêcher que des alertes dupliquées ne soient générées pour le même ensemble d'événements. Si vous souhaitez activer une alerte pendant qu'elle est répétée, vous pouvez la désactiver, puis la réactiver.

    Nombre unique d'un champ

    Une notification est déclenchée lorsque le nombre unique du champ F est supérieur ou inférieur à X dans la période que vous sélectionnez dans le menu déroulant.

    Opération d'agrégation sur un champ

    Une notification est déclenchée lorsque l'opération d'agrégation A appliquée au champ F est supérieure ou inférieure à X, dans la période que vous sélectionnez dans le menu déroulant.

    Vous pouvez configurer l'alerte afin d'envoyer des notifications basées sur la condition du déclencheur.
  7. (Facultatif) Entrez une recommandation pour l'alerte, qui est incluse dans le message de notification lors de l'envoi de l'alerte.
  8. (Facultatif) Pour envoyer une notification d'alerte de test, cliquez sur Envoyer une alerte de test.
  9. Cliquez sur Enregistrer.

Résultats

Votre définition d'alerte s'affiche sur la page Définition d'alertes.

Que faire ensuite

Vous pouvez activer, désactiver ou modifier l'alerte.