vRealize Log Insight 8.8.2 リリースノート

vRealize Log Insight 8.8.2 | 2022 年 7 月 12 日

これらのリリースノートへの追加や更新を確認してください。

vRealize Log Insight について

vRealize Log Insight は、特に VMware 環境に最適なリアルタイムのアーカイブログ管理を提供します。機械学習ベースのインテリジェントなグループ化と高性能な検索により、物理環境、仮想環境、クラウド環境にわたり高速なトラブルシューティングが可能になります。vRealize Log Insight ではテラバイト単位でのログの分析、構造化されていないデータの構造検出、最新の Web インターフェイスを使用したエンタープライズ規模の視覚化が可能になります。

詳細については、https://docs.vmware.com/jp/vRealize-Log-Insight/index.html の vRealize Log Insight 製品ドキュメントを参照してください。

新機能

vRealize Log Insight 8.8.2 はメンテナンスリリースです。このリリースの主な特長のいくつかを以下に示します。

脆弱性の解決: このリリースでは、CVE-2022-31654 および CVE-2022-31655 が解決されています。影響を受ける製品スイートおよびリリースラインの情報を含むこの脆弱性の詳細については、VMSA-2022-0019 を参照してください。
vRealize Operations 統合のための DNS ルックアップ最適化：詳細については、KB 82240 を参照してください。
カスタム Webhook パラメータの変更: カスタム webhook 構成で messages パラメータの代わりに messagesString パラメータがデフォルトで使用されるようになりました。
vSphere API の収集ステータス情報
Apache Tomcat および Photon OS のアップデート

互換性

vRealize Log Insight 8.8.2 は、以下の VMware 製品およびバージョンをサポートしています。

vRealize Log Insight は VMware vCenter Server バージョン 6.0 以降からイベント、タスク、アラームのデータを取得できます。FIPS モードでは、vRealize Log Insight を VMware vCenter Server 6.0 U1 以降と統合できます。
vRealize Log Insight 8.8.2 は、vRealize Operations 8.0.1 以降と統合できます。
vRealize Suite Lifecycle Manager を使用して、vRealize Log Insight をインストールおよびアップグレードできます。詳細については、『vRealize Suite Lifecycle Manager のインストール、アップグレード、および管理』ガイドについてを参照してください。

ブラウザのサポート

vRealize Log Insight 8.8.2 では、以下のブラウザのバージョンがサポートされます。これより新しいバージョンのブラウザも vRealize Log Insight で使用できますが、まだ検証されていません。

Mozilla Firefox 80.0 以降
Google Chrome 91.0 以降
Safari 13.1.2 以降
Microsoft Edge 91.0 以降

サポート対象のブラウザの最低解像度は、1280 X 800 ピクセルです。

重要: ブラウザでは Cookie を有効にする必要があります。

vRealize Log Insight Windows エージェントのサポート

vRealize Log Insight 8.8.2 Windows エージェントは、以下のバージョンをサポートします。

Windows 7、Windows 8、Windows 8.1、Windows 10
Windows Server 2008、Windows Server 2008 R2、Windows Server 2012、Windows Server 2012 R2、Windows Server 2016、Windows Server 2019

vRealize Log Insight Linux エージェントのサポート

vRealize Log Insight 8.8.2 Linux エージェントは、以下のディストリビューションとバージョンをサポートします。

RHEL 5、RHEL 6、RHEL 7、および RHEL 8
SUSE Enterprise Linux (SLES 11 SP3) および SLES 12 SP1
Ubuntu 14.04 LTS、Ubuntu 16.04 LTS、および Ubuntu 18.04
VMware Photon、バージョン 1 リビジョン 2、バージョン 2、およびバージョン 3

制限事項

vRealize Log Insight 8.8.2 には以下の制限事項があります。

全般

vRealize Log Insight では、印字不可能な ASCII 文字は正常に処理されません。
vRealize Log Insight は印刷をサポートしていません。ただし、ブラウザの印刷オプションは使用できます。印刷結果は使用しているブラウザによって異なることがあります。vRealize Log Insight ユーザーインターフェイスの印刷部分には Internet Explorer または Firefox の使用をお勧めします。
ホストテーブルでは、デバイスが、IP アドレス、ホスト名、FQDN の組み合わせなどによる、異なるフォーマットごとに重複して表示されることがあります。たとえば、foo.bar.com という名前のデバイスが foo と foo.bar.com のように表示されることがあります。
ホストテーブルでは、Syslog RFC で定義された hostname フィールドが使用されます。デバイスによって Syslog プロトコル経由で送信されたイベントにホスト名がない場合、vRealize Log Insight はソースをホスト名として使用します。vRealize Log Insight は 2 つの形式が同じデバイスを指していることを判別できないため、デバイスが 2 つ以上リスト表示されることになります。
新しいインデックスパーティションの追加後または既存のインデックスパーティションの削除後に、新しい構成を有効にするには、クラスタを再起動する（クラスタノードを 1 台ずつ再起動する）必要があります。ただし、既存のインデックスパーティションのルーティングフィルタ、有効化ステータス、および保持期間の変更はただちに適用されます（クラスタの再起動は必要ありません）。
一度有効にすると、FIPS モードを無効にできません。

vRealize Log Insight Windows および Linux エージェント

vRealize Log Insight の Windows エージェントおよび Linux エージェントが Syslog モードで実行されていると、hostname フィールドと source フィールドの ASCII 以外の文字が正常に送信されません。

vRealize Log Insight Windows エージェント

vRealize Log Insight Windows エージェントは 32 ビットのアプリケーションで、C:\Windows\System32 サブディレクトリからファイルを開く要求はすべて WOW64 によって C:\Windows\SysWOW64 にリダイレクトされます。ただし、特別なエイリアス C:\Windows\Sysnative を使用して vRealize Log Insight Windows エージェントが C:\Windows\System32 から収集するように構成できます。たとえば、MS DHCP サーバのデフォルトの場所からログを収集するには、vRealize Log Insight Windows エージェントの構成ファイルの対応する場所に以下の行を追加します：=C:\Windows\Sysnative\dhcp。

vRealize Log Insight Linux エージェント

オペレーティングシステムの制限事項のため、イベントを Syslog 経由で送信するように構成していると、vRealize Log Insight Linux エージェントがネットワークの停止を検出しません。
vRealize Log Insight Linux エージェントは、フィールドまたはタグ名に含まれた英語以外 (UTF-8) の記号をサポートしません。
vRealize Log Insight Linux エージェントは、デフォルトで隠しファイルおよび隠しディレクトリを収集します。これを回避するには、exclude=.* オプションを各構成セクションに追加する必要があります。オプション exclude では、隠しファイルの形式を表すのに glob パターン .* を使用します。
ファイルへの標準出力リダイレクトを使用してログを生成すると、vRealize Log Insight エージェントはそのログファイル内のイベントの境界を認識できないことがあります。

vRealize Log Insight の統合

仮想マシンの IP アドレスが vRealize Operations インスタンスから認識されず、vCenter Server によって仮想マシンの [仮想マシンのサマリ] タブに表示されない場合は、仮想マシンに対する vRealize Log Insight と vRealize Operations のどちらの場合もコンテキストでの起動は動作しません。vmware-tools ユーティリティがないため IP アドレスを使用できない可能性があります。vmware-tools のバージョンが古い、またはサポートされていない場合、あるいは誤動作している場合も、IP アドレスが使用できないことがあります。

適切なバージョンの VMware Tools が仮想マシンにインストールされ、vCenter Server の 仮想マシンのサマリ タブに仮想マシンの IP アドレスが表示されていることを確認します。

vRealize Log Insight の旧バージョンからのアップグレード

このバージョンの vRealize Log Insight にアップグレードする場合は次の点に注意してください。

アップグレードパス

8.8 または 8.6.x から vRealize Log Insight 8.8.2 にアップグレードできます。

アップグレードに関する重要事項

vRealize Log Insight 8.8.2 にアップグレードするには、vRealize Log Insight 8.8 または 8.6.x が稼働していることが必要です。
コマンドラインから手動でアップグレードする際には、ワーカーを 1 つずつアップグレードする必要があります。複数のワーカーを同時にアップグレードすると、アップグレード失敗の原因になります。
ユーザーインターフェイスからプライマリノードを vRealize Log Insight 8.8.2 にアップグレードすると、明示的に無効化されない限り、ローリングアップグレードが発生します。
アップグレードはプライマリノードの FQDN から実行する必要があります。統合ロードバランサの IP アドレスを使用したアップグレードはサポートされていません。
vRealize Log Insight は 2 ノードのクラスタをサポートしていません。アップグレードを実行する前に、既存の 2 つのノードと同じバージョンの 3 つ目の vRealize Log Insight ノードを追加します。
Photon OS には、同時 SSH 接続数に対する厳密なルールがあります。/etc/ssh/sshd_config ファイルで MaxAuthtries 値がデフォルトで 2 に設定されているため、複数の接続が存在すると、vRealize Log Insight 仮想アプライアンスへの SSH 接続が失敗し、次のメッセージが表示されることがあります。「xx.xx.xx.xxx ポート 22:2 からの切断を受信しました。認証の失敗が多すぎます」。この問題については、次のいずれかの回避策を使用できます。
- SSH を介して接続する場合は、IdentitiesOnly=yes オプションを使用します。#ssh -o IdentitiesOnly=yes user@ip
- ~/.ssh/config ファイルを更新して以下を追加します。Host* IdentitiesOnly yes
- /etc/ssh/sshd_config ファイルを変更し、sshd サービスを再起動して、MaxAuthtries の値を変更します。
アップグレード後は、Slack エンドポイントを使用して既存の Webhook 構成を手動で更新する必要があります。
仮想マシンの SSH フィンガープリントは保持されず、アップグレードのたびに変わります。これにより、SSH を使用して接続するユーザーの外観とユーザーインターフェイスが影響を受ける可能性があります。アップグレード後に新しい SSH フィンガープリントを受け入れる必要があります。

国際化のサポート

vRealize Log Insight 8.8.2 には以下のローカライズ機能があります。

vRealize Log Insight サーバの Web ユーザーインターフェイスは、日本語、フランス語、スペイン語、ドイツ語、簡体字中国語、繁体字中国語、韓国語にローカライズされています。
機械学習機能も含め、vRealize Log Insight サーバの Web ユーザーインターフェイスでは Unicode データがサポートされています。
vRealize Log Insight エージェントは、英語以外のネイティブの Windows で動作します。

制限事項

エージェントのインストーラおよびコンテンツパックはローカライズされていません。vRealize Log Insight サーバの Web ユーザーインターフェイスの一部に、ローカライズされていない文字列が表示され、レイアウトの問題がある可能性があります。
vRealize Log Insight は、ローカライズ版の vCenter Server および vRealize Operations と相互運用できます。ただし、コンテンツパックは適合する非ローカライズ版のログメッセージに依存します。vCenter Server のイベントはデフォルトのロケールで取得されるため、米国英語 (en_US) に設定する必要があります。詳細については、http://kb.vmware.com/kb/2121646 を参照してください。
ASCII 文字以外のユーザー名を持つ Active Directory、vSphere および vRealize Operations との統合はサポートされていません。
イベントログのローカライズはサポートされていません。イベントログがサポートするエンコードは、UTF-8 と UTF-16 のみです。

解決した問題

このリリースでは、次の問題が解決されました。

予約済みフィールド名を含むログが取り込み API によって拒否される

取り込み API を使用してログを取り込むときに、予約済みフィールド名を持つフィールドを含むログが拒否されます。予約済みフィールド名とは、text、event_type、timestamp、source などです。

回避策：取り込み API を使用してログを取り込む場合は、予約済みフィールドを含めないでください。
null フィールド値を含むログが取り込み API によって拒否される

取り込み API を使用してログを取り込むときに、null 値のフィールドを含むログが拒否されます。

回避策：null フィールド値を文字列「null」に置き換えます。
エージェントグループの構成を 2 番目のサーバの宛先で保存することができない

2 番目のサーバの宛先が構成されている場合、vRealize Log Insight UI からエージェントグループの構成を保存することはできません。

回避策：内部構成ページから、または REST API を使用して、エージェントグループの構成を更新します。

既知の問題

このリリースには、次の既知の問題があります。

アラートの構成中に vRealize Operations オブジェクトのロードに長い時間がかかる

vRealize Operations に多数の vCenter Server、ホストおよび仮想マシンオブジェクトがある場合、アラートを作成するときに vRealize Operations フォールバックオブジェクトのリストをロードするのに長い時間がかかります。

回避策：フィルタを使用して、vRealize Operations フォールバックオブジェクトを一覧表示します。
ログが vRealize Log Insight Cloud にリレーされると、非アクティブなホスト通知が送信される

vRealize Log Insight で、[管理] > [ホスト] の下にある 非アクティブなホスト通知 チェックボックスをオンにし、vRealize Log Insight Cloud へのログ転送を構成するときに リレーのみ オプションを選択すると、非アクティブなホストから通知を受信します。ホスト ページの 最新の受信イベント 列の値は時間とともに増加します。これは、以前にアクティブなホストがログを取り込んでいないことを示します。

これは、イベントが取り込まれるまでログイベントが受信されたと見なされないためです。クラウド転送で リレーのみ オプションを選択すると、特定のカテゴリのログイベントが取り込まれず（フィルタの定義によって異なります）、一部のホストが、取り込みをせず非アクティブであると誤って報告されます。

回避策：なし。
リアルタイムアラートの最初の実行が遅延する

リアルタイムアラートの最初の実行は、アラートを作成または有効にしてから 5 分後にスケジュール設定されます。

回避策：リアルタイムアラートを作成または有効にしてから 5 分間待機します。その後、スケジューラは期待どおりに動作し、アラートクエリは 1 分ごとに実行されます。
一部のディレクトリからの収集は、ディレクトリがエージェントの起動または再構成イベントの前に作成された場合は実行されない

エージェントの再構成後に新しいディレクトリが作成されている場合は、新たに作成されたディレクトリからの収集は行われません。

回避策：ディレクトリ監視を開始するには、サービスを再起動するか、liagent.ini ファイルを使用して、または [サーバ管理エージェント] ページからエージェント構成を更新します。
Photon OS の vRealize Log Insight エージェントには自動アップグレードがない

Photon OS は gpg コマンドをサポートしていないため、Photon OS の vRealize Log Insight エージェントでは自動アップグレードを実行できません。

回避策：手動でのアップグレードを実行します。
IPv6 を介したパブリックメールサーバの SMTP 構成が機能しないことがある

Google や Yahoo などのパブリック E メールサービスでは、IPv6 に対してより厳格な制限ポリシーを適用している場合があるため、SMTP 構成はそれらのサービスでは機能しない可能性があります。

回避策：会社のメールサーバなどの代替メールサーバを使用するか、専用サーバを起動します。
VMware Identity Manager を IPv4 を介して vRealize Log Insight と統合すると、リダイレクト URL ホストが IPv6 アドレスに変更される

vRealize Log Insight 仮想アプライアンスをデプロイするときに IPv6 アドレスを優先するオプションを選択すると、IPv6 をサポートしていない VMware Identity Manager との統合時に、リダイレクト URL ホストのリストが IPv6 ノードアドレスで設定されます。

回避策：vRealize Log Insight と VMware Identity Manager を統合するための予備の IPv4 仮想 IP アドレスを作成します。
REST API 呼び出し「POST /api/v1/sessions」が失敗する

vRealize Log Insight 8.2 または 8.3 の新しくデプロイされたノードを 4.8 以前からアップグレードされた古いクラスタに参加させると、新しいワーカーノードへの REST API 呼び出し「POST /api/v1/sessions」が失敗し、次のエラーがスローされます。

Error: write EPROTO 1319245176:error:100000f7:SSL routines:OPENSSL_internal:WRONG_VERSION_NUMBER:../../third_party/boringssl/src/ssl/tls_record.cc:242:

関連するログは、REST クライアントで確認できます。このエラーのため、ノードのセッションを取得できません。

回避策：影響を受けるノードで「service loginsight restart」コマンドを実行して、vRealize Log Insight サービスを再起動します。
vRealize Log Insight で、アップグレードが成功したのに、「アップグレードは未確認です」というメッセージが表示される

vRealize Log Insight 8.4 へのアップグレード中に、アップグレードの状態が未確認であることを示すメッセージが表示される場合があります。このメッセージは、全体的なアップグレードの状態に影響するものではなく、最終的にはアップグレードに成功します。

回避策：なし。
vRealize Log Insight が自己署名証明書を使用して Webhook サーバに接続できない

Trust On First Use (TOFU) ポップアップウィンドウが表示されないため、vRealize Log Insight を自己署名証明書を使用する Webhook サーバと統合することはできません。

回避策：自己署名証明書を vRealize Log Insight 仮想アプライアンスに手動で追加し、アプライアンスを再起動します。

$ keytool -import -alias webhook -file <certificate> -keystore /usr/java/jre-vmware/lib/security/cacerts -storepass changeit$ service loginsight restart
[アラート] および vRealize Log Insight Cloud ページの文字列がローカライズされていない

アラート ページと LI クラウド ページのページで使用されているテキストは英語のみで、ローカライズされていません。

回避策：なし。
統合権限のない vRealize Operations エンドポイントのアラート定義がない

vRealize Operations の統合権限がない vRealize Operations エンドポイントを持つアラートを定義することはできません。

回避策：アラートの作成者に関連付けられたロールに適切な統合権限を割り当てます。管理] > [アクセス制御 に移動します。ロール タブでロールを変更し、統合] > [vRealize Operations] > [編集 権限をそのロールに付与します。
基本認証の問題により、Webhook URL に送信されたテストアラートが失敗する

Webhook 通知を含むアラートを作成してテストアラートを送信すると、アラートが失敗します。これは、基本認証の問題が原因で、正しい認証情報が拒否された場合に発生します。

回避策：エンコードされた username:password の組み合わせでカスタムヘッダーを追加します。