1 つまたは複数のログ ファイルからログ イベントを収集するように、vRealize Log Insight Windows エージェントを構成できます。

フィールド名には制限があります。次の名前は予約されているため、フィールド名としては使用できません。

  • event_type
  • hostname
  • source
  • text

エージェント情報には最大 3 つの宛先を設定し、送信前に情報をフィルタできます。vRealize Log Insight エージェントからのログの転送を参照してください。

注:
  • 数千を超えるような多数のファイルを監視する場合、エージェントによるリソースの使用率が高くなり、ホスト マシン全体のパフォーマンスに影響を与えます。これを防ぐには、パターンと glob を使用して必要なファイルのみを監視するようにエージェントを構成するか、古いログ ファイルをアーカイブします。多数のファイルを監視する必要がある場合は、CPU や RAM などのホスト パラメータの値を増やします。
  • エージェントがディレクトリを暗号化したユーザーによって実行されている場合のみ、エージェントは暗号化されたディレクトリから収集できます。
  • エージェントは静的ディレクトリ構造のみをサポートします。ディレクトリが名前変更または追加されている場合は、これらのディレクトリの監視を開始するためにエージェントを再起動する必要があります(構成の対象にディレクトリが含まれている場合)。

前提条件

vRealize Log InsightWindows エージェントをインストールした Windows マシンにログインし、サービス マネージャを起動して vRealize Log Insight エージェント サービスがインストールされていることを確認します。

手順

  1. vRealize Log InsightWindows エージェントのプログラム データ ディレクトリに移動します。
    %ProgramData%\VMware\Log Insight Agent
  2. 任意のテキスト エディタで liagent.ini を開きます。
  3. ファイルで [server|<dest_id>] セクションを探します。構成パラメータを追加し、使用環境の値を設定します。
    [filelog|section_name]
    directory=path_to_log_directory
    include=glob_pattern
    ...
    パラメータ 説明
    [filelog|section_name] 構成セクションの一意な名前。
    directory=full-path-to-log-file ログ ファイル ディレクトリへの完全パス。Glob パターンがサポートされます。構成例:
    • D:\Logs\new_test_logs ディレクトリのすべてのサブディレクトリから収集するには、directory=D:\Logs\new_test_logs\* を使用します。
    • サブディレクトリ自身にサブディレクトリがある場合は、次の構成を使用してすべてのサブディレクトリを監視します。directory=D:\Logs\new_test_logs\*\*
    注: ファイルとディレクトリの数を制限し、リソースの消費を抑える場合、最初または 2 番目のレベルのディレクトリ(たとえば directory=c:/tmp/* または directory=c:\Logs\*)のディレクトリ glob を定義することはできません。ディレクトリ パスは 2 つ以上のレベルにする必要があります。

    まだ存在しないディレクトリのパスを定義できます。実際にディレクトリとファイルが作成されると、エージェントはそのディレクトリ内のログ ファイルを収集します。

    1 つまたは複数の異なる構成セクションで同一のディレクトリを定義し、同一ファイルから繰り返しログを収集することができます。この処理により、同一イベントのソースに異なるタグやフィルタを適用することができます。
    注: これらのセクションに同一の構成を使用すると、重複したイベントがサーバ側で確認されます。
    include=file_name; ... (オプション)データを収集するファイル名またはファイル マスク(glob パターン)。複数の値をセミコロンで区切って指定することができます。デフォルトの値は *で、これはすべてのファイルが含まれることを意味します。パラメータは大文字と小文字が区別されます。

    ファイル マスク(グロブ パターン)を使用して、同じ命名規則に従う、単一のファイル名で指定されるファイルをグループ化することができます。たとえば、vRealize Ops Analytics.log および vRealize Ops Collector.log のようにファイル名にスペースが含まれる場合は、vRealize?Ops?Analytics*.log または vRealize*.log のように指定できます。ファイル マスクを使用すると、Linux および Windows ホストのエージェント構成で、使用可能なファイル名を指定できます。

    デフォルトでは、.zip ファイルおよび .gz ファイルが収集から除外されています。

    重要: ローテーションされるログ ファイルを収集している場合、 includeおよび exclude パラメータを使用してプライマリ ファイルとローテーションされるファイルの両方に一致する glob パターンを指定します。glob パターンがプライマリ ログ ファイルにのみ一致する場合、 vRealize Log Insightエージェントはローテーション中にイベントを収集できない場合があります。 vRealize Log Insightエージェントは自動的にローテーション ファイルの正しい順序を判断し、 vRealize Log Insight サーバに正しい順序でイベントを送信します。たとえば、プライマリ ログ ファイルの名前が myapp.log で、ローテーション ログが myapp.log.1 および myapp.log.2 と続く場合、次の include パターンを使用できます。

    include= myapp.log;myapp.log.*

    exclude=regular_expression (オプション)収集から除外するファイル名またはファイル マスク(glob パターン)。複数の値をセミコロンで区切って指定することができます。デフォルトの値は空で、これは除外するファイルがないことを意味します。
    event_marker=regular_expression (オプション)ログ ファイル内のイベントの開始を示す正規表現。省略した場合、デフォルトは改行です。入力する表現には、Perl 正規表現構文を使用する必要があります。
    注: 引用符( " ")のような文字は、正規表現ではラッパーとみなされることはありません。これらはパターンの一部とみなされます。

    vRealize Log Insightエージェントはリアルタイム収集用に最適化されているため、内部遅延によって書き込まれた部分的なログ メッセージが複数のイベントに分割されることがあります。ログ ファイルの追加が 200 ミリ秒以上停止していて、その間に新しいevent_markerが観察されなかった場合は、部分的なイベントが完了、解析済み、および配信済みとして処理されます。このタイミング ロジックは構成することができず、event_marker設定よりも優先します。ログ ファイル アペンダによってすべてのイベントがフラッシュされます。

    enabled=yes|no (オプション)構成セクションを有効または無効にするパラメータ。設定可能な値は yesまたはno です。デフォルト値は yesです。
    charset=char-encoding-type (オプション)エージェントが監視するログ ファイルの文字エンコーディング。値は次のとおりです。
    • UTF-8
    • UTF-16LE
    • UTF-16BE
    デフォルト値は UTF-8です。
    tags={"tag-name" : "tag-value", ...}

    (オプション)収集したイベントのフィールドにカスタム タグを追加するためのパラメータ。JSON 表記を使用してタグを定義します。タグ名には文字、数字、アンダースコアを含めることができます。タグ名の先頭は文字またはアンダースコアにする必要があり、タグ名の長さは 64 文字以内にする必要があります。タグ名は、大文字と小文字が区別されません。たとえば、tags={"tag_name1" : "tag value 1", "Tag_Name1" : "tag value 2" } を使用する場合、Tag_Name1 は重複として無視されます。event_type および timestamp をタグ名として使用することはできません。同一の宣言内での重複は無視されます。

    ターゲットが Syslog サーバの場合、タグで APP-NAME フィールドをオーバーライドできます。例:tags={"appname":"VROPS"}

    exclude_fields (オプション)収集から個別のフィールドを除外するパラメータ。複数の値をセミコロン区切りリストまたはコンマ区切りリストとして指定することができます。次に例を示します。
    • exclude_fields=hostname; filepath
    • exclude_fields=type; size
    • exclude_fields=type, size
    raw_syslog=Yes|No Syslog プロトコルを使用するエージェントの場合、このオプションを使用すると、未加工の Syslog イベントの収集と送信をエージェントに許可します。デフォルトは No です。収集されたイベントは、指定した Syslog 属性を使用して変換されます。Syslog 変換を行わずにイベントを収集するには、このオプションを有効にします。

例: 構成

[filelog|vCenterMain]
directory=C:\ProgramData\VMware\VMware VirtualCenter\Logs
include=vpxd-*.log
exclude=vpxd-alert-*.log;vpxd-profiler-*.log
event_marker=^\d{4}-\d{2}-\d{2}[A-Z]\d{2}:\d{2}:\d{2}\.\d{3} 
[filelog|ApacheAccessLogs]
enabled=yes
directory=C:\Program Files (x86)\Apache Software Foundation\Apache2.2\logs
include=*.log
exclude=*_old.log
tags={"Provider" : "Apache"}
[filelog|MSSQL]
directory=C:\Program Files\Microsoft SQL Server\MSSQL10.MSSQLSERVER\MSSQL\Log
charset=UTF-16LE 
event_marker=^[^\s]