イベントのライフサイクル

vRealize Log Insight がメッセージとイベントをどのように処理するかを理解することは、vRealize Log Insight を効果的に使用するために重要です。

ログメッセージまたはイベントのライフサイクルには、読み取り、解析、取り込み、インデックス作成、警告、クエリ適用、アーカイブ、削除などの複数の段階があります。

イベントとメッセージは次の段階を通じて移行します。

イベントがデバイス上で生成されます（vRealize Log Insight の外部）。
以下のいずれかの方法で選択され vRealize Log Insight に送信されます。
- 取り込み API または syslog を使用する vRealize Log Insight エージェントによって
- Syslog を使用する、rsyslog、syslog-ng、または log4j などのサードパーティエージェントによって
- 取り込み API へのカスタムの書き込みによって（log4j appender など）
- syslog へのカスタムの書き込みによって（log4j appender など）
vRealize Log Insight がイベントを受信します。
- 統合ロードバランサ (ILB) を使用している場合は、イベントはイベントの処理を行う単一ノードに送信されます。
- イベントが拒否される場合、クライアントは UDP 削除、プロトコルが設定された TCP、またはディスクバックアップされたキューを備えた CFAPI でイベント拒否を処理します。
- イベントが受け付けられると、クライアントに通知されます。
イベントは vRealize Log Insight 取り込みパイプラインを通して渡され、そこから次の手順が発生します。
- キーワードインデックスが作成または更新される。インデックスがローカルディスク上に専用形式で格納される。
- クラスタイベントにマシンラーニングが適用される。
- イベントは、ローカルディスク上のバケット内に、圧縮された専用形式で格納される。
イベントがクエリされる。
- キーワードと glob のクエリは、キーワードインデックスに対して照会される。
- 正規表現は、圧縮されたイベントに対して照会される。
イベントはバケットに移動してアーカイブされる。
- バケットはシールされ、0.5 GB に達したときにアーカイブされる。
イベントが削除される。
- バケットは FIFO の順で削除される。

詳細情報

詳細については、VMware Technical Publications のビデオをご覧ください。