vRealize Log Insight は、多数の個々のイベントを、それよりも少数の広範なイベント タイプにまとめます。vRealize Log Insight は機械学習を使用して類似するイベントをグループ化し、グループごとにグループ内のイベントの概算数を表示します。イベントをグループ化すると、通信が最も多いイベントと最も少ないイベントを特定できます。これらは両方とも、トラブルシューティングに不可欠な情報です。
[インタラクティブ分析] ページの [イベント タイプ] タブは、検索バーに表示され、クエリの指定された時間範囲のイベントを集約して表示します。グループ内のイベントは、代表イベントとして選択されます。それぞれのイベントの下にある [拡張] リンクをクリックすると、そのグループ内のイベントが表示されます。
イベントのグループ化の結果として、イベント タイプが各イベントに割り当てられます。適切な event_type フィールドが作成され、通常のクエリでさらに使用できるようになります。
vRealize Log Insight は、イベントをグループ化するための正確なメカニズムを記録しません。イベントが持つ共通部分の数に基づいて、類似するイベントのグループを自動的に検出しようと試みます。たとえば、次のイベントについて考えてみます。
[2019-05-20 06:41:24.291+0000] ["SearchWorker-thread-12999"/10.113.164.150 INFO] [com.company.product.analytics.distributed.LogSearchWorkerService] [Worker fully completed query (token=5f6e5e1faf93e4ce) in 11 msec]
[2019-05-20 06:41:24.284+0000] ["SearchWorker-thread-11961"/10.113.164.167 INFO] [com.company.product.analytics.distributed.SearchWorkerService] [Worker fully completed query (token=3b247b2ba6057c47) in 24 msec]
これらのイベントには、タイムスタンプ、スレッド名、ホストの IP アドレス、ログレベル、クラス名、メッセージテキスト、トークン番号、および期間という 8 つの共通部分があります。
ここで、次のイベントについて考えてみましょう。
[2019-05-20 06:41:24.291+0000] ["LogSearchWorker-thread-12999"/10.113.164.150 INFO] [com.vmware.loginsight.analytics.distributed.LogSearchWorkerService] [Worker finished search (wait=59500 token=5f6e5e1faf93e4ce) in 12 msec]
[2019-05-20 06:41:20.136+0000] ["AliasStudentStudyPool-thread-1"/192.168.110.24 INFO] [com.vmware.loginsight.analytics.alias.AliasStudent] [looking for alias due to rule DatastoreFromVmFileSystem]
これらのイベントには、タイム スタンプ、ホスト IP アドレス、およびログ レベルという 3 つのみの共通部分があります。
複数のイベントをグループ化する以外に、vRealize Log Insight はスマートフィールドと呼ばれる、グループの各イベントで有用なフィールドを識別します。各スマート フィールドは、その横にドロップダウン メニュー アイコンのあるハイパーリンクとして表示されます。アイコンをクリックして、フィールドの値のヒストグラムを表示したり、スマート フィールドに基づいて抽出されたフィールドを定義したりすることができます。