Vous pouvez conserver les données du journal dans une partition avec un filtre et une période de rétention. Les partitions de données vous permettent de définir différentes périodes de rétention pour différents types de journaux. Par exemple, les journaux contenant des informations sensibles peuvent nécessiter une période de rétention courte, comme cinq jours. Vous pouvez également archiver les données d'une partition vers un montage NFS, afin de conserver les journaux pendant une période prolongée.

Les données de journal qui correspondent aux critères de filtre d'une partition de données sont stockées dans la partition pendant la période de rétention spécifiée. Si vous activez l'archivage, les données sont transférées vers un stockage NFS après la période de rétention. Les journaux qui ne correspondent aux critères de filtre d'aucune des partitions de données définies sont stockés dans la partition par défaut. Cette partition est toujours activée et stocke les données pendant une durée illimitée. Vous pouvez modifier la période de rétention et activer l'archivage pour la partition par défaut.
Note : Vous pouvez créer cinq partitions de données au maximum.

Conditions préalables

  • Si vous souhaitez activer l'archivage pour une partition de données, vérifiez que vous avez accès à une partition NFS qui remplit les critères suivants.
    • La partition NFS doit permettre aux comptes invités de réaliser des opérations de lecture et d'écriture.
    • Le montage ne doit nécessiter aucune authentification.
    • Le serveur NFS doit prendre en charge NFS v3 ou v4.
    • Si vous utilisez un serveur Windows NFS, autorisez un accès utilisateurs UNIX non mappé (par UID/GID).
    Pour plus d'informations sur l'archivage, reportez-vous à la section Archivage des données.

  • Vérifiez que vous êtes connecté à l'interface utilisateur Web de vRealize Log Insight en tant qu'utilisateur super administrateur ou en tant qu'utilisateur associé à un rôle disposant des autorisations appropriées. Pour plus d'informations, reportez-vous à la section Créer et modifier des rôles. Le format de l'URL de l'interface utilisateur Web est https://log-insight-host, où log-insight-host est l'adresse IP ou le nom d'hôte du dispositif virtuel vRealize Log Insight.

Procédure

  1. Accédez à l'onglet Administration.
  2. Sous Gestion, cliquez sur Gestion de journaux, puis cliquez sur Partitions d'index.
  3. Pour afficher les détails de la partition par défaut, tels que la période de rétention et l'emplacement de l'archivage, cliquez sur l'icône de modification en regard de la partition intitulée Partition par défaut. Pour modifier les détails de la partition, cliquez sur l'icône de modification et suivez les étapes 7 à 9.
  4. Pour créer une partition, cliquez sur Nouvelle partition et suivez les étapes 5 à 9.
  5. Dans le champ Nom de la partition, entrez un nom pour la partition de données.
  6. Ajoutez un ou plusieurs filtres pour affiner les journaux que vous souhaitez stocker dans la partition de données. Vous pouvez éventuellement cliquer sur Exécuter dans l'analyse interactive pour afficher un aperçu des résultats filtrés du journal.
  7. Dans la zone de texte Période de rétention, entrez le nombre de jours pendant lesquels vous souhaitez conserver les journaux dans la partition de données. Entrez 0 pour une durée de rétention illimitée.
  8. Cliquez sur le bouton bascule Emplacement d'archivage pour archiver les données de journaux dans la partition. Dans la zone de texte, entrez l'emplacement NFS dans lequel vous souhaitez stocker les données archivées, au format nfs://servername<:port-number>/exportname. Le numéro de port par défaut est 2049.
    Cliquez sur Tester pour vérifier la connexion avec le stockage NFS.
  9. Cliquez sur Enregistrer.
    Note :
    • La partition de données est activée par défaut. Pour la désactiver, utilisez le bouton bascule sur la partition dans l'onglet Partitions d'index.
    • La création, la modification et la suppression de partitions de données nécessitent le redémarrage de vRealize Log Insight sur tous les nœuds du cluster.

      Après le redémarrage de vRealize Log Insight, vérifiez que les flux Syslog provenant de ESXi continuent à arriver dans vRealize Log Insight.

Résultats

La partition de données est répertoriée dans l'onglet Partitions d'index avec des informations indiquant si la partition est activée, les critères de filtre, la période de rétention, le stockage utilisé et l'heure d'ingestion du premier journal. Vous pouvez afficher ou modifier les détails de la partition en cliquant sur l'icône de modification en regard du nom de la partition.