Il est impératif de comprendre la manière dont vRealize Log Insight traite les messages et les événements pour utiliser vRealize Log Insight efficacement.
Le cycle de vie d'un message de journal ou d'un événement comporte plusieurs étapes, notamment la lecture, l'analyse, l'ingestion, l'indexation, l'émission d'alertes, l'application de requête, l'archivage et la suppression.
Les événements et les messages passent par les étapes suivantes.
- Il est généré sur un périphérique (à l'extérieur de vRealize Log Insight).
- Il est prélevé et envoyé à vRealize Log Insight de l'une des manières suivantes :
- Par un agent vRealize Log Insight utilisant l'API Ingestion ou Syslog
- Via un agent tiers tel que rsyslog, syslog-ng ou log4j utilisant Syslog
- Par l'écriture personnalisée dans l'API Ingestion (par exemple log4j appender)
- Par l'écriture personnalisée dans Syslog (par exemple log4j appender)
- vRealize Log Insight reçoit l'événement.
- Si vous utilisez l'équilibrage de charge intégré, l'événement est dirigé vers un nœud unique chargé de le traiter.
- Si l'événement est refusé, le client traite les refus avec des abandons UDP, TCP avec des paramètres de protocole ou CFAPI avec une file d'attente sauvegardée sur disque.
- Si l'événement est accepté, le client en est informé.
- L'événement est transmis par le pipeline d'ingestion de vRealize Log Insight, à partir duquel les étapes suivantes sont exécutées :
- Un index de mots clés est créé ou mis à jour. L'index est stocké dans un format propriétaire sur un disque local.
- L'apprentissage de machine s'applique aux événements des clusters.
- L'événement est stocké dans un format propriétaire compressé sur le disque local dans un compartiment.
- L'événement est interrogé.
- Les requêtes de mots clés et de globs sont comparées à l'index de mots clés.
- Regex est comparé à des événements compressés.
- L'événement est déplacé vers un compartiment et archivé.
- Un compartiment est scellé et archivé lorsqu'il atteint 0,5 Go.
- L'événement est supprimé.
- Les compartiments sont supprimés selon la règle du premier entré, premier sorti.
Pour en savoir plus
Pour plus d'informations, reportez-vous à la vidéo VMware Tech Pubs relative