Vous pouvez configurer l'agent Windows vRealize Log Insight afin qu'il collecte des événements de journaux à partir d'un ou de plusieurs fichiers journaux.

Les champs de noms sont limités. Les noms suivants sont réservés et ne peuvent pas être utilisés comme noms de champs.

  • event_type
  • hostname
  • source
  • text

Vous pouvez avoir jusqu'à trois destinations pour les informations de l'agent et filtrer les informations avant leur envoi. Reportez-vous à Transfert de journaux à partir d'un agent vRealize Log Insight.

Note :
  • La surveillance d'un grand nombre de fichiers, par exemple un millier ou plus, entraîne une utilisation plus élevée des ressources par l'agent et affecte les performances globales de la machine hôte. Pour éviter cela, configurez l'agent pour qu'il surveille uniquement les fichiers nécessaires à l'aide de modèles et de caractères génériques ou qu'il archive les anciens fichiers journaux. S'il n'est pas nécessaire de surveiller un grand nombre de fichiers, augmentez les paramètres de l'hôte, tels que le CPU et la RAM.
  • L'agent peut effectuer la collecte depuis des répertoires chiffrés, mais uniquement en cas d'exécution par l'utilisateur qui a chiffré le répertoire.
  • L'agent ne prend en charge que les structures de répertoires statiques. Si les répertoires ont été renommés ou ajoutés, vous devez redémarrer l'agent pour commencer à surveiller ces répertoires, à condition que la configuration couvre ces répertoires.

Conditions préalables

Connectez-vous à la machine Windows sur laquelle vous avez installé vRealize Log Insight Windows Agent et démarrez le Gestionnaire de services pour vérifier que le service vRealize Log Insight Agent est installé.

Procédure

  1. Accédez au répertoire des données du programme de l'agent vRealize Log Insight Windows.
    %ProgramData%\VMware\Log Insight Agent
  2. Ouvrez le fichier liagent.ini dans un éditeur de texte quelconque.
  3. Localisez la section [server|<dest_id>] du fichier. Ajoutez des paramètres de configuration et définissez les valeurs de votre environnement.
    [filelog|section_name]
    directory=path_to_log_directory
    include=glob_pattern
    ...
    Paramètre Description
    [filelog|section_name] Nom unique de la section de configuration.
    directory=full-path-to-log-file Chemin d'accès complet au répertoire du fichier journal. Les modèles comportant des caractères génériques sont pris en charge. Exemples de configurations :
    • Pour effectuer une collecte à partir de tous les sous-répertoires du répertoire D:\Logs\new_test_logs, utilisez directory=D:\Logs\new_test_logs\*
    • Si vos sous-répertoires disposent de leurs propres sous-répertoires, utilisez la configuration suivante pour surveiller tous les sous-répertoires directory=D:\Logs\new_test_logs\*\*
    Note : Pour limiter le nombre de fichiers et de répertoires et éviter une consommation de ressources élevée, vous ne pouvez pas définir un répertoire glob pour les répertoires de premier ou de deuxième niveau, tels que : directory=c:/tmp/* ou directory=c:\Logs\*. Le chemin au répertoire doit être d'au moins deux niveaux.

    Vous pouvez définir un chemin vers un répertoire non existant, et l'agent collectera les fichiers journaux dans ce répertoire une fois le répertoire et les fichiers créés.

    Vous pouvez définir le même répertoire pour une ou plusieurs sections de configuration différentes, ceci afin de collecter plusieurs fois les journaux depuis le même fichier. Ce processus rend possible l'application de différents filtres et différentes balises à la même source d'événements.
    Note : Si vous utilisez des configurations identiques pour ces sections, les événements en double apparaissent du côté serveur.
    include=file_name; ... (Facultatif) Nom de fichier ou masque de fichier (modèle glob) à partir duquel collecter des données. Vous pouvez fournir des valeurs sous la forme d'une liste séparée par des points-virgules. La valeur par défaut est * qui prévoit l'inclusion de tous les fichiers. Le paramètre respecte la casse.

    Un masque de fichier (modèle glob) peut être utilisé pour grouper les fichiers qui suivent la même convention de dénomination, ainsi que dans un nom de fichier unique. Par exemple, les noms de fichier qui contiennent des espaces, tels que vRealize Ops Analytics.log et vRealize Ops Collector.log, peuvent être spécifiés avec vRealize vRealize?Ops?Analytics*.log ou vRealize*.log. En utilisant des masques de fichier, vous pouvez spécifier des noms de fichier qui sont acceptables pour la configuration de l'agent sous des hôtes Linux et Windows.

    Les fichiers .zip et .gz sont exclus par défaut de la collecte.

    Important : Si vous collectez un fichier journal archivé par rotation, utilisez les paramètres include et exclude pour spécifier un modèle générique correspondant au fichier principal et au fichier archivé par rotation. Si le modèle générique correspond uniquement au fichier journal principal, les agents vRealize Log Insight peuvent ne pas prendre en compte des événements lors de l'archivage par rotation. Les agents vRealize Log Insight déterminent automatiquement l'ordre correct des fichiers archivés par rotation et envoient les événements au serveur vRealize Log Insight dans l'ordre approprié. Par exemple, si votre fichier journal principal se nomme myapp.log et si les journaux archivés par rotation sont myapp.log.1, myapp.log.2 etc., vous pouvez utiliser le modèle include suivant :

    include= myapp.log;myapp.log.*

    exclude=regular_expression (Facultatif) Nom ou masque de fichier (modèle générique) à exclure de la collecte. Vous pouvez fournir des valeurs sous la forme d'une liste séparée par des points-virgules. La liste est vide par défaut, ce qui signifie qu'aucun fichier n'est exclu.
    event_marker=regular_expression (Facultatif) Expression régulière qui désigne le début d'un événement dans le fichier journal. En cas d'omission, la valeur par défaut est nouvelle ligne. Les expressions que vous tapez doivent utiliser la syntaxe des expressions régulières Perl.
    Note : Les symboles, par exemple les guillemets ( " "), ne sont pas traités comme des wrappers pour les expressions régulières. Ils sont traités comme partie intégrante du modèle.

    Étant donné que l'agent vRealize Log Insight est optimisé pour la collecte en temps réel, les messages journaux partiels écrits avec un délai interne peuvent être fractionnés en plusieurs événements. Si l'ajout de fichiers journaux s'arrête pendant plus de 200 ms sans nouvel event_marker, l'événement partiel est traité comme terminé, analysé et livré. Cette logique de minutage est non configurable et prioritaire par rapport au paramètre event_marker. Les appenders de fichiers journaux doivent purger les événements complets.

    enabled=yes|no (Facultatif) Paramètre permettant d'activer ou de désactiver la section de configuration. Les valeurs possibles sont yes ou no. La valeur par défaut est yes.
    charset=char-encoding-type (Facultatif) Codage de caractères des fichiers journaux que surveille l'agent. Les valeurs possibles sont :
    • UTF-8
    • UTF-16LE
    • UTF-16BE
    La valeur par défaut est UTF-8.
    tags={"tag-name" : "tag-value", ...}

    (Facultatif) Paramètre permettant d'ajouter des balises personnalisées aux champs d'événements collectés. Définissez des balises avec la notation JSON. Les noms de balises peuvent contenir des lettres, des chiffres et des traits de soulignement. Un nom de balise ne peut commencer que par une lettre ou un trait de soulignement, et ne doit pas dépasser 64 caractères. Les noms de balise ne sont pas sensibles à la casse. Par exemple, si vous utilisez tags={"nom_balise1" : "valeur balise 1", "Nom_Balise1" : "valeur balise 2" }, Nom_Balise1 est ignoré, car il est en double. Vous ne pouvez pas utiliser event_type et timestamp comme noms de balises. Tous les doublons inclus dans la même déclaration sont ignorés.

    Si la destination est un serveur Syslog, les balises peuvent remplacer le champ APP-NAME. Par exemple, tags={"appname":"VROPS"}.

    exclude_fields (Facultatif) Paramètre permettant d'exclure des champs donnés d'une collecte. Vous pouvez fournir plusieurs valeurs sous forme de liste séparée par des points-virgules ou des virgules. Par exemple,
    • exclude_fields=hostname; filepath
    • exclude_fields=type; size
    • exclude_fields=type, size
    raw_syslog=Yes|No Pour les agents utilisant le protocole Syslog, cette option autorise l'agent à collecter et à envoyer des événements Syslog bruts. La valeur par défaut est Non, ce qui signifie que les événements collectés sont transformés par des attributs Syslog spécifiés par l'utilisateur. Activez cette option pour collecter des événements sans transformations Syslog.

Exemple : Configurations

[filelog|vCenterMain]
directory=C:\ProgramData\VMware\VMware VirtualCenter\Logs
include=vpxd-*.log
exclude=vpxd-alert-*.log;vpxd-profiler-*.log
event_marker=^\d{4}-\d{2}-\d{2}[A-Z]\d{2}:\d{2}:\d{2}\.\d{3} 
[filelog|ApacheAccessLogs]
enabled=yes
directory=C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs
include=*.log
exclude=*_old.log
tags={"Provider" : "Apache"}
[filelog|MSSQL]
directory=C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Log
charset=UTF-16LE 
event_marker=^[^\s]