Vous pouvez configurer l'agent Linux vRealize Log Insight afin qu'il collecte des événements de journaux à partir d'un ou de plusieurs fichiers journaux.

Par défaut, l'agent Linux vRealize Log Insight collecte les fichiers cachés créés par des applications ou des éditeurs. Les noms des fichiers cachés commencent par un point. Pour empêcher l'agent Linux vRealize Log Insight de collecter les fichiers cachés, ajoutez le paramètre d'exclusion exclude=.*.

Les champs de noms sont limités. Les noms suivants sont réservés et ne peuvent pas être utilisés comme noms de champs.

  • event_type
  • hostname
  • source
  • text

Vous pouvez spécifier jusqu'à trois destinations pour les informations de l'agent et filtrer les informations avant leur envoi. Reportez-vous à Transfert de journaux à partir d'un agent vRealize Log Insight

Note : La surveillance d'un grand nombre de fichiers, comme un millier ou plus, entraîne une utilisation plus élevée des ressources par vRealize Log Insight Agent et affecte les performances globales de la machine hôte. Pour éviter cela, configurez l'agent pour qu'il surveille uniquement les fichiers nécessaires à l'aide de modèles et de caractères génériques ou qu'il archive les anciens fichiers journaux. S'il n'est pas nécessaire de surveiller un grand nombre de fichiers, augmentez les paramètres de l'hôte, tels que le CPU et la RAM.

Conditions préalables

  • Connectez-vous en tant que root ou utilisez sudo pour exécuter des commandes de console.
  • Vérifiez que l'agent Linux vRealize Log Insight est installé et en cours d'exécution. Connectez-vous à la machine Linux sur laquelle vous avez installé l'agent Linux vRealize Log Insight, ouvrez une console et exécutez pgrep liagent.

Procédure

  1. Ouvrez le fichier /var/lib/loginsight-agent/liagent.ini dans n'importe quel éditeur de texte.
  2. Localisez la section [server|<dest_id>] du fichier. Ajoutez des paramètres de configuration et définissez les valeurs de votre environnement. 
    [filelog|section_name]
directory=path_to_log_directory
include=glob_pattern
...
    Paramètre Description
    [filelog|section_name] Nom unique de la section de configuration.
    directory=full-path-to-log-file Chemin d'accès complet au répertoire du fichier journal. Les modèles comportant des caractères génériques sont pris en charge. Exemples de configurations :
    • Pour effectuer une collecte à partir de tous les sous-répertoires du répertoire D:\Logs\new_test_logs, utilisez directory=D:\Logs\new_test_logs\*
    • Si vos sous-répertoires disposent de leurs propres sous-répertoires, utilisez la configuration suivante pour surveiller tous les sous-répertoires directory=D:\Logs\new_test_logs\*\*
    Note : Pour limiter le nombre de fichiers et de répertoires et éviter une consommation de ressources élevée, vous ne pouvez pas définir un répertoire glob pour les répertoires de premier ou de deuxième niveau, tels que : directory=c:/tmp/* ou directory=c:\Logs\*. Le chemin au répertoire doit être d'au moins deux niveaux.

    Vous pouvez définir un chemin vers un répertoire non existant, et l'agent collectera les fichiers journaux dans ce répertoire une fois le répertoire et les fichiers créés.

    Vous pouvez définir le même répertoire pour une ou plusieurs sections de configuration différentes, ceci afin de collecter plusieurs fois les journaux depuis le même fichier. Ce processus rend possible l'application de différents filtres et différentes balises à la même source d'événements.
    Note : Si vous utilisez des configurations identiques pour ces sections, les événements en double apparaissent du côté serveur.
    include=file_name; ... (Facultatif) Nom de fichier ou masque de fichier (modèle glob) à partir duquel collecter des données. Vous pouvez fournir des valeurs sous la forme d'une liste séparée par des points-virgules. La valeur par défaut est * qui prévoit l'inclusion de tous les fichiers. Le paramètre respecte la casse.

    Un masque de fichier (modèle glob) peut être utilisé pour grouper les fichiers qui suivent la même convention de dénomination, ainsi que dans un nom de fichier unique. Par exemple, les noms de fichier qui contiennent des espaces, tels que vRealize Ops Analytics.log et vRealize Ops Collector.log, peuvent être spécifiés avec vRealize vRealize?Ops?Analytics*.log ou vRealize*.log. En utilisant des masques de fichier, vous pouvez spécifier des noms de fichier qui sont acceptables pour la configuration de l'agent sous des hôtes Linux et Windows.

    Les fichiers .zip et .gz sont exclus par défaut de la collecte.

    Important : Si vous collectez un fichier journal archivé par rotation, utilisez les paramètres include et exclude pour spécifier un modèle générique correspondant au fichier principal et au fichier archivé par rotation. Si le modèle générique correspond uniquement au fichier journal principal, les agents vRealize Log Insight peuvent ne pas prendre en compte des événements lors de l'archivage par rotation. Les agents vRealize Log Insight déterminent automatiquement l'ordre correct des fichiers archivés par rotation et envoient les événements au serveur vRealize Log Insight dans l'ordre approprié. Par exemple, si votre fichier journal principal se nomme myapp.log et si les journaux archivés par rotation sont myapp.log.1, myapp.log.2 etc., vous pouvez utiliser le modèle include suivant :

    include= myapp.log;myapp.log.*

    exclude=regular_expression (Facultatif) Nom ou masque de fichier (modèle générique) à exclure de la collecte. Vous pouvez fournir des valeurs sous la forme d'une liste séparée par des points-virgules. La liste est vide par défaut, ce qui signifie qu'aucun fichier n'est exclu.
    event_marker=regular_expression (Facultatif) Expression régulière qui désigne le début d'un événement dans le fichier journal. En cas d'omission, la valeur par défaut est nouvelle ligne. Les expressions que vous tapez doivent utiliser la syntaxe des expressions régulières Perl.
    Note : Les symboles, par exemple les guillemets ( " "), ne sont pas traités comme des wrappers pour les expressions régulières. Ils sont traités comme partie intégrante du modèle.

    Étant donné que l'agent vRealize Log Insight est optimisé pour la collecte en temps réel, les messages journaux partiels écrits avec un délai interne peuvent être fractionnés en plusieurs événements. Si l'ajout de fichiers journaux s'arrête pendant plus de 200 ms sans nouvel event_marker, l'événement partiel est traité comme terminé, analysé et livré. Cette logique de minutage est non configurable et prioritaire par rapport au paramètre event_marker. Les appenders de fichiers journaux doivent purger les événements complets.

    enabled=yes|no (Facultatif) Paramètre permettant d'activer ou de désactiver la section de configuration. Les valeurs possibles sont yes ou no. La valeur par défaut est yes.
    charset=char-encoding-type (Facultatif) Codage de caractères des fichiers journaux que surveille l'agent. Les valeurs possibles sont :
    • UTF-8
    • UTF-16LE
    • UTF-16BE
    La valeur par défaut est UTF-8.
    tags={"tag-name" : "tag-value", ...}

    (Facultatif) Paramètre permettant d'ajouter des balises personnalisées aux champs d'événements collectés. Définissez des balises avec la notation JSON. Les noms de balises peuvent contenir des lettres, des chiffres et des traits de soulignement. Un nom de balise ne peut commencer que par une lettre ou un trait de soulignement, et ne doit pas dépasser 64 caractères. Les noms de balise ne sont pas sensibles à la casse. Par exemple, si vous utilisez tags={"nom_balise1" : "valeur balise 1", "Nom_Balise1" : "valeur balise 2" }, Nom_Balise1 est ignoré, car il est en double. Vous ne pouvez pas utiliser event_type et timestamp comme noms de balises. Tous les doublons inclus dans la même déclaration sont ignorés.

    Si la destination est un serveur Syslog, les balises peuvent remplacer le champ APP-NAME. Par exemple, tags={"appname":"VROPS"}.

    exclude_fields (Facultatif) Paramètre permettant d'exclure des champs donnés d'une collecte. Vous pouvez fournir plusieurs valeurs sous forme de liste séparée par des points-virgules ou des virgules. Par exemple,
    • exclude_fields=hostname; filepath
    • exclude_fields=type; size
    • exclude_fields=type, size
    raw_syslog=Yes|No Pour les agents utilisant le protocole Syslog, cette option autorise l'agent à collecter et à envoyer des événements Syslog bruts. La valeur par défaut est Non, ce qui signifie que les événements collectés sont transformés par des attributs Syslog spécifiés par l'utilisateur. Activez cette option pour collecter des événements sans transformations syslog.
  3. Enregistrez et fermez le fichier liagent.ini.

Exemple : Configurations

[filelog|messages]
directory=/var/log
include=messages;messages.?

[filelog|syslog]
directory=/var/log
include=syslog;syslog.?

[filelog|Apache]
directory=/var/log/apache2
include=*