您可以利用篩選器和保留期間將記錄資料保留在磁碟分割中。索引磁碟分割可讓您針對不同類型的記錄定義不同的保留期間。例如,包含敏感資訊的記錄可能需要的保留期間較短,例如五天。您也可以將索引磁碟分割中的資料封存至 NFS 掛接,以延長保留記錄的時間。

與索引磁碟分割篩選準則相符的記錄資料會儲存在指定保留期間的磁碟分割中。如果您啟用封存,則資料會在擷取時移至 NFS 儲存區。與任何已定義索引磁碟分割中的篩選準則不相符的記錄會儲存在預設磁碟分割中。此磁碟分割一律會啟用並儲存無限長時間的資料。您可以修改預設磁碟分割的保留期間及啟用預設磁碟分割的封存。
備註: 您最多可以有 10 個索引磁碟分割。

必要條件

  • 如果您想要啟用索引磁碟分割的封存,請確認您可以存取滿足下列需求的 NFS 磁碟分割。
    • NFS 磁碟分割必須允許客體帳戶的讀取和寫入作業。
    • 掛接不需要驗證。
    • NFS 伺服器必須支援 NFS v3 或 v4。
    • 如果使用 Windows NFS 伺服器,則允許未對應的使用者 UNIX 存取 (透過 UID/GID)。
    如需封存的詳細資訊,請參閱資料封存

  • 確認您是以超級管理員使用者身分,或是以其相關聯角色具有相關權限的使用者身分,來登入 VMware Aria Operations for Logs Web 使用者介面。如需詳細資訊,請參閱建立和修改角色

程序

  1. 展開主功能表,按一下記錄管理,然後按一下索引磁碟分割
  2. (選擇性) 若要檢視預設磁碟分割的詳細資料 (例如:保留期間和封存位置),請針對名為預設的磁碟分割,按一下對應的編輯圖示。若要修改磁碟分割的詳細資料,請按一下編輯圖示,然後按照步驟 7 至 9 進行。
  3. 若要建立磁碟分割,請按一下新增磁碟分割,然後按照步驟 5 至 9 進行。
  4. 磁碟分割名稱文字方塊中,輸入索引磁碟分割的名稱。
  5. 新增一或多個篩選器,以縮小要儲存在索引磁碟分割中的記錄。您可以選擇性地按一下在 [探索記錄] 頁面中執行,以預覽篩選後的記錄結果。
  6. 保留期間文字方塊中,輸入要在索引磁碟分割中保留記錄的天數。保留預設值 0 以便無限期保留。
  7. 輸入儲存封存資料的位置。
    1. 按一下封存位置切換按鈕,以將記錄資料封存在磁碟分割中。
    2. 在文字方塊中,以 nfs://servername:<port-number>/exportname 格式輸入您要儲存已封存資料的 NFS 位置。

      連接埠號碼預設為 2049。

      在 [索引磁碟分割] 頁面上建立新磁碟分割。
    3. 按一下測試以確認與 NFS 儲存區的連線。
  8. 按一下儲存
    備註:
    • 依預設,會啟用索引磁碟分割。若要將其停用,請針對索引磁碟分割索引標籤上的磁碟分割使用切換按鈕。
    • 建立、修改和刪除索引磁碟分割需要重新啟動所有叢集節點上的 VMware Aria Operations for Logs

      VMware Aria Operations for Logs 重新啟動之後,請確認 ESXi 的 syslog 摘要會繼續送達 VMware Aria Operations for Logs

結果

索引磁碟分割會在 索引磁碟分割索引標籤中列出,並包含磁碟分割是否已啟用、篩選準則、保留期間、已使用的儲存空間,以及擷取第一個記錄的時間等相關資訊。您可以針對磁碟分割名稱按一下編輯圖示,來檢視或修改該磁碟分割的詳細資料。