システムおよびユーザー定義のアラートを表示し、それらの通知が有効になっているかどうかを確認できます。複数のシステム アラートとユーザー定義アラートを有効または無効にしたり、複数のユーザー定義アラートの E メール通知や Webhook 通知を設定したりできます。ユーザー定義アラートの履歴を表示することもできます。

前提条件

  • URL の形式が https://log_insight-host である vRealize Log Insight Web ユーザー インターフェイスにログインしていることを確認します。ここで、log_insight-hostvRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。
  • ユーザー アカウントがアラートに関連する権限を持つロールに関連付けられていることを確認します。

    ユーザー アカウントにアラートへの表示アクセス権を持つロール(ユーザー ロールなど)が割り当てられている場合は、組織内のすべてのアラートを表示および管理できます。

    ユーザー アカウントにアラートへの編集またはフル アクセス権を持つロール(スーパー管理者ロールなど)が割り当てられている場合:
    • 組織内のすべてのシステム アラートを有効または無効にできます。
    • 組織内のすべてのユーザー定義アラートを作成、変更、および削除できます。
    ロールの詳細については、『vRealize Log Insight の管理』のロールの作成と変更を参照してください。

手順

  • システム アラートを表示するには、[アラート] > [システム アラート] に移動します。
    システム アラートのリストがステータスと頻度に関する情報とともに表示されます。個々のアラートを有効または無効にするには、各アラートに対して切り替えボタンを使用します。複数のアラートを有効または無効にするには、アラートを選択してから、 [アクション] > [有効化] または [アクション] > [無効化] を選択します。
    ヒント: すべてのアラートを選択するには、ヘッダーのチェック ボックスをクリックします。
  • ユーザー定義のアラートを表示するには、[アラート] > [アラートの定義] に移動します。
    ユーザー定義アラートのリストが、ステータス、所有者、発生元、ターゲットに関する情報とともに表示されます。コンテンツ パック アラートの場合、 [発生元] の下にコンテンツ パック名がリストされます。次のタスクを実行できます。
    • テキスト検索を使用してアラートを検索します。
    • 発生元またはアラート タイプでアラートをフィルタリングし、[適用] をクリックします。

      発生元でアラートをフィルタリングする場合は、ユーザー定義アラート、一般的なアラート、または特定のコンテンツ パックのアラートを選択できます。

      アラート タイプでアラートをフィルタリングすると、リアルタイム アラートを選択できます。これは、すべての一致に基づくアラートです。カウントベースのアラートを選択することもできます。これは、イベントの合計数、フィールドの一意の数、またはフィールドに対する集計操作に基づくアラートです。

    • アラートをアラートの詳細、ステータス、所有者などで並べ替えます。
    • 表示するアラート情報を制御する列を追加または削除します。左下隅にある [列を表示または非表示にする] アイコンをクリックし、必要に応じて列を選択または選択解除します。
      ヒント:
      • [所有者] 列の値は、アラートを定義するユーザーの名前です。コンテンツ パック アラートの場合、この値は空白または [システム] です。

        vRealize Log Insight 8.4 以前のバージョンで作成されたアラートの場合、[所有者] 列の値はスーパー管理者ロールに割り当てられたユーザーです。

      • 最初のヒットが発生するまで、[前回のヒット] 列の値は [なし] のままです。
    • 個々のアラートを有効または無効にするには、各アラートに対して切り替えボタンを使用します。
    • 複数のアラートを有効または無効にするには、次の手順に従います。
      • 複数のアラートを有効にするには、アラートを選択してから、[アクション] > [有効化] を選択します。[アラートの有効化] ダイアログ ボックスで、選択したアラートの E メールまたは Webhook 通知を設定し、[有効化] をクリックします。
        E メール通知を送信するには、 [E メール] テキスト ボックスに、受信者のメール アドレスをカンマ区切りで入力します。
        注: E メール通知を有効にするように SMTP が構成されていることを確認します。詳細については、 Log Insight の SMTP サーバの構成を参照してください。

        Webhook 通知を送信するには、[Webhook] ドロップダウン メニューから Webhook を選択します。

      • 複数のアラートを無効にするには、アラートを選択してから、[アクション] > [無効化] を選択します。
      ヒント: すべてのアラートを選択するには、ヘッダーのチェック ボックスをクリックします。
    • アラートの履歴を表示します。アラートの履歴を表示するには、アラートに対する 3 つのドットのアイコンをクリックし、[履歴] をクリックします。

      [アラートの履歴] ダイアログ ボックスには、アラートに関連付けられたアラート インスタンスと、各アラート インスタンスの日時が表示されます。各アラート インスタンスを展開すると、追加情報が表示され、リンク アイコンをクリックすると、[ログの確認] ページにインスタンスが表示されます。

    • アラートに関連付けられたクエリのログ結果を表示します。アラートをクリックし、[クエリの実行] をクリックして [ログの確認] でクエリを開きます。
    • アラートを変更します
    • 1 つ以上のアラートを削除します。アラートを削除するには、アラートに対する 3 つのドットのアイコンをクリックし、[削除] をクリックします。複数のアラートを削除するには、アラートを選択してから、[アクション] > [削除] を選択します。
  • コンテンツ パック アラートを表示するには、[コンテンツ パック] ページに移動します。左側のペインで、コンテンツ パックをクリックし、[アラート] タブをクリックします。
    ユーザー アカウントに、コンテンツ パックとアラートに対するフル アクセス権限を持つロールが割り当てられている場合は、コンテンツ パック アラートを有効にして、[アラート] ページでその通知を変更できます。ただし、コンテンツ パック アラートを更新または削除することはできません。

例: VMware - vSphere コンテンツ パックからのアラートを有効にする

VMware - vSphere コンテンツ パックには、[ESXi:ログを停止しました] アラートなど、複数の定義済みアラート クエリが含まれています。

特定のバージョンの ESXi ホストは、vRealize Log Insight の再起動時に Syslog データの送信を停止することがあるため、[ESXi:ログを停止しました] アラートを有効にしておくことをお勧めします。このアラートは、vCenter Server イベント esx.problem.vmsyslogd.remote.failure を監視し、syslog フィードを停止した ESXi ホストがあれば検出します。

  1. [アラート] > [アラートの定義] に移動します。
  2. VMware - vSphere コンテンツ パック アラート [*** 重大 *** ESXi:ログを停止しました] を検索し、アラート名をクリックします。
  3. 右上隅の [編集] アイコンをクリックします。
  4. E メール通知、Webhook 通知、または vRealize Operations 通知イベントを有効にします。
  5. [有効化] をクリックします。

vRealize Log Insight の自分のインスタンスへのフィードの送信を停止した ESXi ホストのみを検出するには、フィルタ [vc_remote_host (VMware - vSphere)] [contains] <log-insight-hostname> をアラート クエリに追加して、この新しいクエリを自分のアラートに保存します。

Syslog の問題および解決方法の詳細については、https://kb.vmware.com/kb/2003127 でナレッジベースの記事「VMware ESXi 5.x host stops sending syslogs to the remote server (2003127)」を参照してください。