システムおよびユーザー定義のアラートを表示し、それらの通知が有効になっているかどうかを確認できます。

前提条件

  • URL の形式が https://log_insight-host である vRealize Log Insight Web ユーザー インターフェイスにログインしていることを確認します。ここで、log_insight-hostvRealize Log Insight 仮想アプライアンスの IP アドレスまたはホスト名です。
  • ユーザー アカウントがアラートに関連する権限を持つロールに関連付けられていることを確認します。

    ユーザー アカウントにアラートへの表示アクセス権を持つロール(ユーザー ロールなど)が割り当てられている場合は、組織内のすべてのアラートを表示できます。ただし、ユーザーが管理できるのは、自分のアラートだけです。

    ユーザー アカウントにアラートへの編集またはフル アクセス権を持つロール(スーパー管理者ロールなど)が割り当てられている場合:
    • 組織内のすべてのシステム アラートを有効または無効にできます。
    • 組織内のすべてのユーザー定義アラートを作成、変更、および削除できます。
    ロールの詳細については、『vRealize Log Insight の管理』のロールの作成と変更を参照してください。

手順

  • システム アラートを表示するには、[アラート] タブに移動します。左側のペインで、[システム アラート] をクリックします。
    システム アラートのリストがステータスと頻度に関する情報とともに表示されます。個々のアラートを有効または無効にするには、切り替えボタンを使用します。複数のアラートを有効または無効にするには、アラートを選択してから、 [アクション] > [有効化] または [アクション] > [無効化] を選択します。
  • ユーザー定義アラートを表示するには、[アラート] タブに移動します。左側のペインで、[アラート] をクリックします。
    ユーザー定義アラートのリストが、ステータス、所有者、発生元、ターゲットに関する情報とともに表示されます。コンテンツ パック アラートの場合、 [発生元] の下にコンテンツ パック名がリストされます。次のタスクを実行できます。
    • テキスト検索を使用してアラートを検索します。
    • 発生元またはアラート タイプでアラートをフィルタリングし、[適用] をクリックします。

      発生元でアラートをフィルタリングする場合は、ユーザー定義アラート、一般的なアラート、または特定のコンテンツ パックのアラートを選択できます。

      アラート タイプでアラートをフィルタリングすると、リアルタイム アラートを選択できます。これは、すべての一致に基づくアラートです。カウントベースのアラートを選択することもできます。これは、イベントの合計数、フィールドの一意の数、またはフィールドに対する集計操作に基づくアラートです。

    • アラートをアラートの詳細、ステータス、所有者などで並べ替えます。
    • 表示するアラート情報を制御する列を追加または削除します。左下隅にある [列を表示または非表示にする] アイコンをクリックし、必要に応じて列を選択または選択解除します。
      ヒント:
      • [所有者] 列の値は、アラートを定義するユーザーの名前です。コンテンツ パック アラートの場合、この値は空白または [システム] です。

        vRealize Log Insight 8.4 以前のバージョンで作成されたアラートの場合、[所有者] 列の値はスーパー管理者ロールに割り当てられたユーザーです。

      • 最初のヒットが発生するまで、[前回のヒット] 列の値は [なし] のままです。
    • 個々のアラートを有効または無効にするには、切り替えボタンを使用します。複数のアラートを有効または無効にするには、アラートを選択してから、[アクション] > [有効化] または [アクション] > [無効化] を選択します。
    • アラートに関連付けられたクエリのログ結果を表示します。アラートをクリックし、[クエリの実行] をクリックしてインタラクティブ分析でクエリを開きます。
    • アラートを変更します
    • 1 つ以上のアラートを削除します。アラートを削除するには、アラートに対する 3 つのドットのアイコンをクリックし、[削除] をクリックします。複数のアラートを削除するには、アラートを選択してから、[アクション] > [削除] を選択します。
  • コンテンツ パック アラートを表示するには、[コンテンツ パック] タブに移動します。左側のペインで、コンテンツ パックをクリックし、[アラート] タブをクリックします。
    ユーザー アカウントに、コンテンツ パックとアラートに対するフル アクセス権限を持つロールが割り当てられている場合は、コンテンツ パック アラートを有効にして、[アラート] ページでその通知を変更できます。ただし、コンテンツ パック アラートを更新または削除することはできません。

例: VMware - vSphere コンテンツ パックからのアラートを有効にする

VMware - vSphere コンテンツ パックには、[ESXi:ログを停止しました] アラートなど、複数の定義済みアラート クエリが含まれています。

特定のバージョンの ESXi ホストは、vRealize Log Insight の再起動時に Syslog データの送信を停止することがあるため、[ESXi:ログを停止しました] アラートを有効にしておくことをお勧めします。このアラートは、vCenter Server イベント esx.problem.vmsyslogd.remote.failure を監視し、syslog フィードを停止した ESXi ホストがあれば検出します。

  1. [アラート] タブで、左側のペインの [アラート] をクリックします。
  2. VMware - vSphere コンテンツ パックの場合、[*** 重大 *** ESXi:ログを停止しました] をクリックします。
  3. E メール通知、Webhook 通知、または vRealize Operations 通知イベントを有効にします。
  4. [有効化] をクリックします。

vRealize Log Insight の自分のインスタンスへのフィードの送信を停止した ESXi ホストのみを検出するには、フィルタ [vc_remote_host (VMware - vSphere)] [contains] <log-insight-hostname> をアラート クエリに追加して、この新しいクエリを自分のアラートに保存します。

Syslog の問題および解決方法の詳細については、https://kb.vmware.com/kb/2003127 でナレッジベースの記事「VMware ESXi 5.x host stops sending syslogs to the remote server (2003127)」を参照してください。