VMware Aria Operations for Logs はシステムの健全性について 2 種類の通知を提供します。1 つはすべての製品構成に適用される一般的な通知、もう 1 つはクラスタベース展開のクラスタに関連する通知です。

システム通知を表示するには、メイン メニューを展開し、[アラート] > [システム アラート] に移動します。適切な権限があれば、通知を有効または無効にできます。詳細については、『VMware Aria Operations for Logs の使用』のアラートの表示と管理を参照してください。

注: このトピックでは、管理者ユーザーとは、 スーパー管理者ロール、または関連する権限を持つロールに関連付けられたユーザーを指します。詳細については、 ロールの作成および変更を参照してください。

次の表に、VMware Aria Operations for Logsのシステム通知のリストとその説明を示します。

一般的なシステム通知

VMware Aria Operations for Logs は、アーカイブの障害やアラート スケジュールの遅延など、管理者の介入が必要な状態が発生すると通知を発行します。

通知名 説明
最も古いデータは間もなく検索できなくなります

VMware Aria Operations for Logs は、検索可能なデータの予想サイズ、ストレージ容量、および現在の取り込み速度に基づいて、仮想アプライアンス ストレージから古いデータの廃止を開始します。廃止されたデータは、アーカイブが構成されている場合はアーカイブされ、アーカイブが構成されていない場合は削除されます。

これに対処するには、ストレージを追加するか、リテンション通知のしきい値を調整します。詳細については、健全性通知を送信するように VMware Aria Operations for Logs を構成するを参照してください。

VMware Aria Operations for Logsサービスが再起動されるたびに、通知が送信されます。

リポジトリ保持時間

保持期間は、VMware Aria Operations for Logsインスタンスのローカル ディスクにデータが保持される時間を表します。保持期間は、システムが保持できるデータ量と現在の取り込み速度によって決まります。たとえば、インデックスの作成後に 10 Gb/日のデータを受信し、容量が 300 GB の場合には、保存期間は 30 日になります。

ストレージの制限に達すると、新しく取り込まれたデータを記録するため、古いデータが削除されます。これは、現在の取り込み速度で VMware Aria Operations for Logs が保存できる検索可能なデータの量が、仮想アプライアンス上で利用可能なストレージ容量を超えていることを通知します。

[リテンション通知のしきい値] で設定した期間が過ぎる前にストレージが不足することがあります。ストレージを追加するか、リテンション通知のしきい値を調整します。

イベントが削除されました

VMware Aria Operations for Logs は、すべての受信ログ メッセージの取り込みに失敗しました。

  • VMware Aria Operations for Logs サーバによる追跡中にいずれかの TCP メッセージがドロップした場合は、次に示す頻度でシステム通知が送信されます。
    • 1 日に 1 回
    • 手動か自動かを問わず、VMware Aria Operations for Logs サービスが再起動された場合
  • E メールには、前回の通知 E メールが送信された後にドロップしたメッセージの数、および VMware Aria Operations for Logs の前回の再起動以降にドロップしたメッセージの総数が記載されます。
注: 送信行の時間は E メール クライアントで制御され、ローカルなタイム ゾーンで示されますが、E メール本体には UTC 時刻が表示されます。
インデックス バケットが破損しました

ディスク上のインデックスの一部が破損しています。インデックスが破損している場合は通常、基本となるストレージ システムに重大な問題が発生しています。インデックスの破損部分は、実行しているクエリから除外されます。破損したインデックスは新しいデータの取り込みに影響します。サービスを起動すると、VMware Aria Operations for Logs はインデックスの整合性を確認します。破損が検出された場合、VMware Aria Operations for Logs は次の頻度でシステム通知を送信します。

  • 1 日に 1 回
  • 手動か自動かを問わず、VMware Aria Operations for Logs サービスが再起動された場合
ディスク容量不足

VMware Aria Operations for Logs の割り当てられたディスク容量が不足しています。ほとんどの場合、VMware Aria Operations for Logs でストレージ関連の問題が発生しています。

アーカイブ領域がいっぱいです 間もなく、VMware Aria Operations for Logs データをアーカイブするために使用される NFS サーバのディスクの空き容量がなくなります。NFS サーバが現在の取り込み速度で保持できるアーカイブ済みデータの量が 7 日未満の場合、システム通知が送信されます。たとえば、1 日あたりのディスク使用率が 708.9 MB のデータをアーカイブしていて、2000 MB の容量がある場合、約 3 日間の容量があり、これはしきい値を下回ります。この場合、この容量を下回っているという通知を受け取ります。
ディスク容量の合計サイズが変更されました

VMware Aria Operations for Logs データ ストレージのパーティションの合計サイズが減少しています。この通知は通常、基盤となるストレージ システムで重大な問題が発生しています。VMware Aria Operations for Logs はこの状況を検出すると、次の頻度でこの通知を送信します。

  • ただちに
  • 1 日に 1 回
アーカイブが保留されています VMware Aria Operations for Logs は期待したとおりにデータをアーカイブできません。通常は、データ アーカイブ用に構成された NFS ストレージに問題が発生しています。
割り当てられたログ レコード ストレージ ボリュームが、最大ログ レコード ストレージ容量の 75 パーセントに達しました VMware Aria Operations for Logs が、STIG のコンプライアンスを確保するように構成されており、割り当てられたログ レコード ストレージ ボリュームが、リポジトリの最大ログ レコード ストレージ容量の 75 パーセントに達しました。
注: この通知はノードごとに送信されます。
ライセンスがまもなく期限切れになります VMware Aria Operations for Logs のライセンスが間もなく期限切れになります。
ライセンスは期限切れです VMware Aria Operations for Logs のライセンスが期限切れになっています。
SSL 証明書がまもなく期限切れになります VMware Aria Operations for Logs クラスタの SSL 証明書は 30 日後に期限切れになります。
AD サーバに接続できません VMware Aria Operations for Logs は構成された Active Directory サーバに接続できません。
High Availability の IP アドレス <IP Address> は、既に別のマシンで保持されているため引き継ぐことができません VMware Aria Operations for Logs クラスタが統合ロード バランサ (ILB) の設定済み IP アドレスを引き継ぐことができませんでした。この通知の最も一般的な理由は、同じネットワーク内の別のホストが IP アドレスを保持しているため、クラスタが IP アドレスを引き継ぐことができないことです。

この競合は、現在その IP アドレスを保持しているホストからアドレスを解放するか、VMware Aria Operations for Logs の統合ロード バランサに、ネットワーク内で使用可能な固定 IP アドレスを構成するかのいずれかの方法で解決できます。ILB の IP アドレスを変更する場合は、新しい IP アドレスまたはこの IP アドレスに解決される FQDN/URL に宛ててログを送信するように、すべてのクライアントを必ず再構成する必要があります。また、[vSphere 統合] ページで、VMware Aria Operations for Logsと統合されたすべての vCenter Server の構成を一度解除してから、再構成する必要があります。

High Availability の IP アドレス <IP Address> は、ノードの障害が多すぎるため使用できません 統合ロード バランサ (ILB) の設定済み IP アドレスを使用できません。つまり、ILB IP アドレス、またはこの IP アドレスに解決される FQDN/URL を介して VMware Aria Operations for Logs クラスタにログを送信しようとするクライアントには、その IP アドレスが使用できないものとして表示します。この通知の最も一般的な理由は、VMware Aria Operations for Logs クラスタの大多数のノードが、健全でない、利用できない、またはプライマリ ノードからアクセスできない状態であることです。また、これ以外の一般的な原因としては、NTP の時刻同期が有効になっていない場合や、構成されている各 NTP サーバの時刻に著しい誤差があることなどが挙げられます。問題が解消されたかどうかを確認するには、その IP アドレスに対して(可能な場合は)ping を実行して、そのアドレスが到達可能かどうかを確認できます。

この問題は、クラスタ ノードの大半を健全で到達可能な状態にし、NTP の時刻同期を有効にして NTP サーバ間での誤差をなくすようにすることで解決できます。

VMware Aria Operations for Logs ノード間での、High Availability IP アドレス [IP Address] の移行が多すぎます 統合ロード バランサ (ILB) 用に構成された IP アドレスが直近の 10 分間で移行された回数が多すぎます。

通常の操作では、IP アドレスがVMware Aria Operations for Logsクラスタ ノード間で移動されることはほとんどありません。しかし、現在の所有者ノードが再起動されたりメンテナンス モードになった場合には、IP アドレスが移動される場合があります。これ以外に、VMware Aria Operations for Logs クラスタ ノード間で時刻同期が行われていないことも理由の 1 つとして考えられます。この処理は、クラスタが適切に機能するために欠かすことができません。後者の場合は、NTP の時刻同期を有効にして NTP サーバ間での誤差をなくすようにすることで、問題を解決できます。

SSL 証明書エラー

Syslog ソースが SSL 経由で VMware Aria Operations for Logs への接続を開始しましたが、突然接続を終了しました。この通知は、syslog ソースが SSL 証明書の有効性を確認できなかったことを示している可能性があります。VMware Aria Operations for Logsが SSL を介して Syslog メッセージを受け取るためには、クライアントによって検証された証明書が必要となり、システムのクロックが同期されている必要があります。SSL 証明書またはネットワーク タイム サービスに問題が発生している可能性があります。

SSL 証明書が Syslog ソースによって信頼されることを検証し、SSL を使用しないようにソースを再構成するか、SSL 証明書を再インストールすることができます。VMware Aria Operations for Logs エージェントの SSL パラメータの構成およびカスタム SSL 証明書のインストールを参照してください。

vCenter の収集の失敗

VMware Aria Operations for Logs は VMware vCenter Server イベント、タスク、およびアラームを収集できません。収集の失敗の原因となったエラーを正確に特定し、収集機能が動作しているかを確認するには、/var/log/vmware/loginsight/plugins/vsphere/li-vsphere.log ファイルを調べます。

vCenter Kubernetes サービスのイベント収集に失敗しました

VMware Aria Operations for Logs は VMware vCenter Server Kubernetes システム イベント、タスク、およびアラームを収集できません。収集の失敗の原因となったエラーを正確に特定し、収集機能が動作しているかを確認するには、/var/log/vmware/loginsight/plugins/vsphere/li-vsphere.log ファイルを調べます。

イベント フォワーダのイベントをドロップしました

フォワーダは接続または過負荷の問題のためにイベントをドロップします。

例:

Operations for Logs Admin Alert: Event Forwarder Events Dropped 
This alert is about your Operations for Logs installation on https://<your_url>

Event Forwarder Events Dropped triggered at 2016-08-02T18:41:06.972Z

Operations for Logs just dropped 670 events for forwarder target 'Test',
reason: Pending queue is full.
スケジュールより遅れたアラート クエリ

VMware Aria Operations for Logs は設定された時刻にユーザー定義のアラートを実行できませんでした。遅延の理由は、1 つ以上の非効率なユーザー定義のアラート クエリがあるか、またはシステムが取り込みおよびクエリ ロード向けに適切にサイズ調整されていないためである可能性があります。

自動的に無効になったアラート

ユーザー定義のアラートが 10 回以上実行され、その平均実行時間が 1 時間を超える場合、アラートは非効率とみなされ、その他のユーザー定義のアラートに影響するのを防ぐために無効になります。

非効率なアラート クエリ

ユーザー定義のアラートの終了に 1 時間以上かかる場合、アラートは非効率とみなされます。

新しいユーザーが作成されるか、ユーザーが初めてログインしました VMware Aria Operations for Logs が、STIG のコンプライアンスを確保するように構成されており、新しいユーザーが作成されるか、Active Directory または VMware Workspace ONE Access ユーザーが初めてログインしました。

クラスタのシステム通知

VMware Aria Operations for Logsは、新しいクラスタ メンバーの追加や一時的なノード通信の問題など、クラスタ トポロジの変更に関する通知を送信します。

送信元 通知名 説明
プライマリ ノード 新しいワーカー ノードに承認が必要でした

ワーカー ノードがクラスタに参加するための要求を送信しています。管理者ユーザーは、要求を承認または拒否する必要があります。

プライマリ ノード 新しいワーカー ノードが承認されました

管理者ユーザーがワーカー ノードからの VMware Aria Operations for Logs クラスタに参加するためのメンバーシップ要求を承認しました。

プライマリ ノード 新しいワーカー ノードが拒否されました

管理者ユーザーがワーカー ノードからの VMware Aria Operations for Logs クラスタに参加するためのメンバーシップ要求を拒否しました。要求が誤って拒否された場合、管理者ユーザーはワーカー ノードから要求を再送信して、プライマリ ノードで承認することができます。

プライマリ ノード ワーカー ノードが増えたためサポートされている最大ノード数を超過しました

新しいワーカー ノードが原因で VMware Aria Operations for Logs クラスタ内のワーカー ノードの数がサポートされている最大数を超えました。

プライマリ ノード 許可されているノード数を超過し、新しいワーカー ノードが拒否されました

ユーザーがクラスタに最大許容数を超えたノードを追加しようとして、ノードが拒否されました。

プライマリ ノード ワーカー ノードが切断されました

以前に接続されたワーカー ノードが VMware Aria Operations for Logs クラスタから切断されました。

プライマリ ノード ワーカー ノードが再接続されました

ワーカー ノードが VMware Aria Operations for Logs クラスタに再接続されました。

プライマリ ノード ワーカー ノードが失効されました

管理者ユーザーによってワーカー ノードのメンバーシップが失効され、そのノードが VMware Aria Operations for Logs クラスタの一部ではなくなりました。

プライマリ ノード 不明なワーカー ノードが拒否されました

ワーカー ノードがプライマリにとって不明であるため、VMware Aria Operations for Logs プライマリ ノードがワーカー ノードからの要求を拒否しました。ワーカーが有効なノードであり、クラスタに追加する必要がある場合は、ワーカー ノードにログインし、/storage/core/loginsight/config/ 内のトークン ファイルおよびユーザー構成を削除して、ワーカー ノードで restart loginsight service を実行します。

プライマリ ノード ワーカー ノードがメンテナンス モードになりました

ワーカー ノードがメンテナンス モードになったため、構成の変更を受信してクエリを実行するには、管理者ユーザーはワーカー ノードをメンテナンス モードから削除する必要があります。

プライマリ ノード ワーカー ノードがサービス状態に戻りました

メンテナンス モードが終了し、ワーカー ノードがサービス状態に戻りました。

ワーカー ノード プライマリに障害が発生したか、ワーカー ノードから切断されました

通知を送信するワーカー ノードが VMware Aria Operations for Logs プライマリ ノードに接続できません。この通知は、プライマリ ノードに障害が発生していて、再起動が必要なことを示している可能性があります。プライマリ ノードに障害が発生した場合は、オンラインに戻るまでクラスタを構成できず、クエリを送信することもできません。ワーカー ノードはメッセージの取り込みを継続します。

注: 多数のワーカーがプライマリ ノードの障害を個別に検出して通知する可能性があるため、このような通知を多数受信することがあります。
ワーカー ノード プライマリがワーカー ノードに接続しました

通知を送信するワーカー ノードが VMware Aria Operations for Logs プライマリ ノードに再接続されました。