vRealize Log Insight를 효과적으로 사용하려면 vRealize Log Insight가 메시지 및 이벤트를 처리하는 방식을 반드시 이해해야 합니다.
로그 메시지 또는 이벤트의 수명 주기는 읽기, 구문 분석, 수집, 인덱싱, 경고, 쿼리 적용, 보관 및 삭제를 포함한 여러 단계로 구성됩니다.
이벤트 및 메시지는 다음 단계를 거쳐 전환됩니다.
- 디바이스에서 생성됩니다(vRealize Log Insight 외부).
- 다음 방법 중 하나를 사용하여 선택된 후 vRealize Log Insight로 전송됩니다.
- 수집 API 또는 syslog를 사용하여 vRealize Log Insight 에이전트에 의해
- syslog를 사용하여 rsyslog, syslog-ng 또는 log4j와 같은 타사 에이전트를 통해
- 수집 API로의 사용자 지정 쓰기에 의해(예: log4j 어펜더)
- syslog로의 사용자 지정 쓰기에 의해(예: log4j 어펜더)
- vRealize Log Insight는 이벤트를 수신합니다.
- ILB(통합된 로드 밸런서)를 사용하는 경우 이벤트는 이벤트 처리를 담당하는 단일 노드로 전송됩니다.
- 이벤트가 거부되면 클라이언트는 UDP 삭제, 프로토콜 설정을 포함하는 TCP 또는 디스크 백업 대기열을 포함하는 CFAPI를 통해 이러한 거부를 처리합니다.
- 이벤트가 수락되면 클라이언트에게 알림이 전송됩니다.
- 이벤트는 vRealize Log Insight 수집 파이프라인을 통해 전달되며 여기서 다음 단계가 발생합니다.
- 키워드 인덱스가 생성되거나 업데이트됩니다. 인덱스가 로컬 디스크에 전용 형식으로 저장됩니다.
- 클러스터 이벤트에 시스템 학습이 적용됩니다.
- 이벤트가 압축된 전용 형식으로 버킷의 로컬 디스크에 저장됩니다.
- 이벤트가 쿼리됩니다.
- 키워드 및 glob 쿼리를 키워드 인덱스와 비교하여 일치시킵니다.
- 정규식을 압축된 이벤트와 비교하여 일치시킵니다.
- 이벤트가 버킷으로 이동된 후 아카이브됩니다.
- 버킷은 0.5GB에 도달하면 봉인되고 아카이브됩니다.
- 이벤트가 삭제됩니다.
- 버킷은 FIFO 순서로 삭제됩니다.
추가 정보
자세한 내용은 다음 VMware 기술 자료 비디오를 참조하십시오.