쿼리와 일치하는 이벤트 수가 설정된 임계값을 초과하면 VMware Aria Operations for Logs에서 경고를 정의하고 이메일 또는 webhook 알림을 보내거나 VMware Aria Operations에서 알림 이벤트를 트리거할 수 있습니다.

사전 요구 사항

  • URL 형식이 https://operations_for_logs-hostVMware Aria Operations for Logs 웹 사용자 인터페이스에 로그인했는지 확인합니다. 여기서 operations_for_logs-hostVMware Aria Operations for Logs 가상 장치의 IP 주소 또는 호스트 이름입니다.
  • 사용자 계정이 경고에 관한 관련 사용 권한이 있는 역할과 연결되어 있는지 확인합니다.

    사용자 계정에 경고에 관한 보기 액세스 권한이 있는 역할(예: 사용자 역할)이 할당된 경우 조직의 모든 경고를 보고 관리할 수 있습니다.

    사용자 계정에 경고에 관한 편집 또는 전체 액세스 권한이 있는 역할이 할당된 경우(예: 슈퍼 관리자 역할):
    • 조직의 모든 시스템 경고를 활성화하거나 비활성화할 수 있습니다.
    • 조직에서 모든 사용자 정의 경고를 생성, 수정 및 제거할 수 있습니다.
    역할에 관한 내용은 "VMware Aria Operations for Logs 관리" 에서 역할 생성 및 수정을 참조하십시오.

프로시저

  1. 기본 메뉴를 확장하고 경고 > 경고 정의로 이동합니다.
  2. 새로 생성을 클릭합니다.
    팁: 또는 로그 탐색 페이지로 이동하여 쿼리를 기준으로 경고를 생성할 수 있습니다. 쿼리를 입력하고 검색 버튼 옆에 있는 ""을 클릭하고 쿼리에서 경고 만들기를 선택합니다.
  3. 경고의 이름을 입력합니다.
    필드를 ${필드 이름 } 형식으로 포함하여 경고 이름을 사용자 지정할 수 있습니다. 예를 들어 경고 이름을 ${hostname} VPXA 로그에 관한 경고로 입력할 수 있습니다. 두 개의 호스트 이름이 있고 경고에 관한 이메일 알림을 설정했다고 가정하면 이메일 제목은 다음과 같습니다.
    Alert for "hostname loginsight-01.eng.vmware.com and 1 more" VPXA Logs
    설명에 다른 고정 필드(예: event_type, source, filepath 등)를 사용할 수 있습니다. 추출된 필드를 사용할 수도 있습니다.
    참고:
    • 경고 이름에는 고정 또는 추출된 필드를 하나만 추가할 수 있습니다.
    • 경고 이름에 추출된 필드를 사용하는 경우 경고 쿼리의 일부여야 합니다. 경고에 "그룹화 기준" 조건이 있는 경우 추출된 필드도 "그룹화 기준" 조건의 일부여야 합니다.
    • VMware Aria Operations에 알림을 보내는 경우 각 필드에 대해 하나의 알림 이벤트가 전송됩니다. 예를 들어 경고 이름에 ${hostname}이 포함되어 있고 5개의 호스트 이름이 있는 경우 각 호스트 이름에 대해 하나씩 5개의 알림 이벤트가 전송됩니다.
  4. 경고를 트리거하는 이벤트에 관한 간단한 의미 있는 설명을 입력하십시오.
    하나 이상의 필드를 ${필드 이름 } 형식으로 포함하여 경고 설명을 사용자 지정할 수 있습니다. 예를 들어 경고 설명을 VPXA 로그가 ${hostname}에 대해 생성되었습니다.로 입력할 수 있습니다. 두 개의 호스트 이름이 있고 경고에 관한 이메일 알림을 설정했다고 가정하면 이메일은 일부 샘플 로그를 나열한 후 다음 정보를 표시합니다.
    Additional notes for this alert:
    VPXA logs were generated for
    hostname
    loginsight-01.eng.vmware.com
    loginsight-02.eng.vmware.com
    설명에 다른 고정 필드(예: event_type, source, filepath 등)를 사용할 수 있습니다. 추출된 필드를 사용할 수도 있습니다.
    참고:
    • 경고 설명에는 고정 또는 추출된 필드를 하나만 추가할 수 있습니다.
    • 경고 이름에 추출된 필드를 사용하는 경우 경고 쿼리의 일부여야 합니다. 경고에 "그룹화 기준" 조건이 있는 경우 추출된 필드도 "그룹화 기준" 조건의 일부여야 합니다.
  5. 경고의 기준이 되는 쿼리를 입력합니다.
  6. 경고에 관한 트리거 조건을 입력합니다. 기간을 선택하고 고정 또는 추출된 필드를 기준으로 쿼리 결과를 그룹화할 수 있습니다.
    트리거 조건 설명
    모든 일치 항목
    참고: [기간] 드롭다운 메뉴에서 실시간을 선택하면 이 트리거 조건을 설정할 수 있습니다.

    1분마다 경고 쿼리가 자동으로 실행됩니다. 지난 1분 내에 하나 이상의 이벤트가 쿼리와 일치하는 경우 알림이 트리거됩니다.

    총 이벤트 수

    드롭다운 메뉴에서 선택한 기간 내에 일치하는 이벤트가 X개보다 많거나 적으면 알림이 트리거됩니다.

    이 경고 유형이 트리거되는 경우 동일한 이벤트 집합에 대해 중복 경고가 발생하지 않도록 해당 기간 동안 경고가 일시 중지됩니다. 일시 중지된 동안 경고를 활성화하려면, 비활성화했다가 다시 활성화할 수 있습니다.

    필드의 고유 수

    드롭다운 메뉴에서 선택한 기간 내에 필드 F의 고유 수가 X보다 크거나 작으면 알림이 트리거됩니다.

    필드에 관한 집계 작업

    필드 F에 적용된 집계 작업 A가 드롭다운 메뉴에서 선택한 기간 내에 X보다 크거나 작으면 알림이 트리거됩니다.

    트리거 조건에 따라 알림을 보내도록 경고를 구성할 수 있습니다.
  7. (선택 사항) 경고가 전송될 때 알림 메시지에 포함되는 경고에 관한 권장 사항을 입력합니다.
  8. (선택 사항) 테스트 경고 알림을 보내려면 테스트 경고 보내기를 클릭합니다.
  9. 저장을 클릭합니다.

결과

경고 정의가 [경고 정의] 페이지에 나타납니다.

다음에 수행할 작업

경고를 활성화하거나 비활성화하거나 수정할 수 있습니다.