VMware Aria Operations for Logs がメッセージとイベントをどのように処理するかを理解することは、VMware Aria Operations for Logs を効果的に使用するために重要です。

ログ メッセージまたはイベントのライフ サイクルには、読み取り、解析、取り込み、インデックス作成、警告、クエリ適用、アーカイブ、削除などの複数の段階があります。

イベントとメッセージは次の段階を通じて移行します。

  1. イベントがデバイス上で生成されます(VMware Aria Operations for Logs の外部)。
  2. 以下のいずれかの方法で選択され VMware Aria Operations for Logs に送信されます。
    • 取り込み API または syslog を使用する VMware Aria Operations for Logs エージェントによって
    • Syslog を使用する、rsyslog、syslog-ng、または log4j などのサードパーティ エージェントによって
    • 取り込み API へのカスタムの書き込みによって(log4j appender など)
    • syslog へのカスタムの書き込みによって(log4j appender など)
  3. VMware Aria Operations for Logs がイベントを受信します。
    • 統合ロード バランサ (ILB) を使用している場合は、イベントはイベントの処理を行う単一ノードに送信されます。
    • イベントが拒否される場合、クライアントは UDP 削除、プロトコルが設定された TCP、またはディスクバックアップされたキューを備えた CFAPI でイベント拒否を処理します。
    • イベントが受け付けられると、クライアントに通知されます。
  4. イベントは VMware Aria Operations for Logs 取り込みパイプラインを通して渡され、そこから次の手順が発生します。
    • キーワード インデックスが作成または更新される。インデックスがローカル ディスク上に専用形式で格納される。
    • クラスタ イベントに機械学習が適用される。
    • イベントは、ローカル ディスク上のバケット内に、圧縮された専用形式で格納される。
  5. イベントがクエリされる。
    • キーワードと glob のクエリは、キーワード インデックスに対して照会される。
    • 正規表現は、圧縮されたイベントに対して照会される。
  6. イベントはバケットに移動してアーカイブされる。
    • バケットはシールされ、0.5 GB に達したときにアーカイブされる。
  7. イベントが削除される。
    • バケットは FIFO の順で削除される。

詳細情報

詳細については、VMware Technical Publications のビデオをご覧ください。